Некоторые аспекты защиты информации в электронном государстве Доклад на IV Научно-практической конференции «Право и Интернет: теория и практика» Петрова Ольга Моисеевна компания Dekart Кишинев, Молдова «...Умом, прежде всего, движет желание неограниченной свободы, а это чувство неизменно сопровождается другим – паническим страхом перед последствиями такой свободы» (из письма Цезаря Луцию Мамилию Туррину)[1]. Это сказано много веков тому назад, но и сегодня эти слова не потеряли своей актуальности, особенно это относится к сети Internet, к киберпространству. На сегодняшний день киберпространство является неким отражением (слепком) окружающей нас реальности. Поэтому, как и все лучшие, так и все негативные стороны нашей жизни находят свое место в киберпространстве. В отчете Комитета экспертов по правонарушениям в киберпространстве Европейского комитета по проблемам правонарушений определены следующие наиболее опасные и самые распространенные преступления [4]: 1. Преступления против конфиденциальности, целостности компьютерных данных и работоспособности компьютерных систем. 2. Преступления, связанные с вычислительной техникой (подлог и мошенничество, совершенные с помощью компьютера). 3. Преступления, связанные с содержанием, публикуемой в Сети информации (воздействие «вредной информации» на физическое и моральное здоровье человека, например, размещение материалов, относящейся к детской порнографии). 4. Преступления, относящиеся к нарушению авторских и смежных прав. К сожалению, увеличивается число преступлений, совершаемых на стыке реального и кибернетического пространств. В [3] приводятся объективные причины возникновения и развития киберпреступности. Среди субъективных причин, побуждающих людей заниматься противоправной деятельностью в киберпространстве, можно выделить следующие: 1. Стремление отомстить кому-либо (конкретной личности, компании в целом); 2. Стремление быстро обогатиться, не прикладывая особых усилий; 3. Стремление доказать свое могущество, попытка самоутвердиться любым способом; 4. У молодых людей размываются границы между реальным миром и киберпространством, жизнь рассматривается как продолжение компьютерной игры. В результате этого у человека иногда отсутствует даже представление о том, что совершается преступление. 5. У человека, сидящего за персональным компьютером дома, или на работе, или в Internet-кафе, возникает иллюзия своей защищенности и неуязвимости. Все вышеизложенное не может быть отнесено к какому-либо государству и имеет интернациональный характер. Для того чтобы изменить сложившуюся ситуацию в лучшую сторону, необходимо принять меры как социального, так и технического характера. К первой группе следует отнести требование соблюдения правовых и морально-этических норм, как в реальном мире, так и в киберпространстве [3, 13]. Размещаемые в Internet материалы не должны наносить вред кому-либо ни прямым, ни косвенным образом. Обстановка в киберпространстве напрямую зависит от поведения каждого, входящего в киберсообщество. Поскольку демократические свободы в Сети отнюдь не означают вседозволенности, то возможен компромисс между правами личности на самовыражение, распространение информации и соблюдением прав на личную безопасность всех остальных [11, 12]. Перед тем, как перейти к мерам технического характера я хотела бы кратко остановиться на вопросе, что именно мы защищаем, когда говорим о защите информации. Начать с того, что до сих пор нет четкого общенаучного определения понятия «информация». В [1] дается следующее определение: «информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления», но и оно не отражает реалии сегодняшнего дня. Можно выделить две задачи по защите информации. Первая – это задача ограничения доступа к конфиденциальной информации, и вторая – защита открытой информации от ненадлежащего ее использования (например, плагиат) [5 - 8]. В обоих случаях наиболее надежным, по моему мнению, техническим инструментом защиты в настоящее время является применение технологии PKI (Public Key Infrastructure) – систем защиты информации на основе открытых ключей, т.е. систем цифровой подписи с одновременным шифрованием или без оного[2]. Данная технология подразумевает наличие у каждого участника системы пары взаимосвязанных ключей (секретного и открытого), причем открытый ключ сертифицируется (заверяется) центром сертификации открытых ключей. Принятие законов о цифровой подписи дает правовую основу для построения иерархии доверительных пространств [10] относительно центров сертификации внутри отдельного государства. При этом вышестоящий центр сертификации сертифицирует ключи нижестоящих центров. На самой вершине данной пирамиды должен стоять национальный центр сертификации государства (можно привести аналогию с банковской системой – центральный банк и остальные банки). Функционирующая иерархия доверительных пространств может стать технической базой построения электронного государства. Если любые материалы, размещаемые на сайтах, будут снабжены цифровыми подписями их авторов, официальные документы – цифровыми подписями ответственных лиц (президента, председателя парламента, главы кабинета министров и т.д.), то это позволит решить проблему целостности (неискаженности) электронного документа и подтвердить его авторство[3]. И здесь мы подходим к следующей проблеме. Секретный ключ каждого пользователя это электронный документ, который, как и следует из его названия, подлежит защите. В данном случае принятие всех мер предосторожности по охране секретного ключа лежит на самом пользователе и зависит от его фантазии, возможностей и степени его аккуратности и собранности. Компрометация ключа пользователя – вещь неприятная, но ее последствия можно преодолеть путем включения сертификата открытого ключа данного пользователя в «черный список». Иное дело – компрометация (потеря, искажение) секретного ключа центра сертификации. Данное обстоятельство автоматически приводит к разрушению всего доверительного пространства. К еще более разрушительным последствиям приведет компрометация ключа национального центра сертификации государства. Исходя из вышеизложенного необходимо: 1. Дополнить термин информация, фигурирующий в законодательных актах: «Информация – данные (независимо от формы их представления), используемые человеком в целях осуществления своей деятельности». 2. Изменить понятие электронный документ в [2] следующим образом: «Электронный документ - форма создания, обработки, хранения и передачи информации с помощью электронных технических средств». 3. Признать (и внести соответствующие поправки в законодательство), что секретный ключ цифровой подписи – это информация, подлежащая защите. При этом секретный ключ простого участника системы следует считать конфиденциальной информацией, секретный ключ центра сертификации – служебной тайной. Секретный же ключ национального центра сертификации государства следует отнести к государственной тайне, также как и секретный ключ главы государства. 4. Упорядочить терминологию, т.е. привести в соответствие друг другу юридические и технические термины. Так, на мой взгляд, необходимо заменить термин «закрытый ключ» на «секретный ключ» в законе «Об электронной цифровой подписи», как соответствующий в большей степени его функции. Защита информации, как известно, идет по трем направлениям – при помощи технических средств, применяя меры юридического и организационного характера. Реалии сегодняшнего дня заставляют не только использовать все три направления для обеспечения информационной безопасности личности, организации, государства в целом, но и те методы и средства, которые возникают на стыке направлений. Литература 1. Федеральный закон РФ «Об информации, информатизации и защите информации» (20 февраля 1995 года N 24-ФЗ) 2. Федеральный закон РФ «Об электронной цифровой подписи» (10 января 2002 года N 1-ФЗ) 3. Доктрина информационной безопасности Российской Федерации. Утверждена 9 сентября 2000 г. № Пр-1895. 4. European Committee on Crime Problems. Committee of Experts on Crime in Cyber-Space. “Final Activity Report”, 2001. 5. Наумов В. Судьба объектов интеллектуальной собственности в российском сегменте сети Интернет// Материалы конференции «Актуальные проблемы телекоммуникационного права», Москва, июль 1998 г. 6. Петрова О. Защита авторства в Internet// Материалы третьей всероссийиской конференции «Право и Интернет: теория и практика », Москва, ноябрь 2000. С. 83 - 85. 7. Семилетов С. Проблемы охраны авторских прав в российском секторе Интернета// Материалы третьей всероссийиской конференции «Право и Интернет: теория и практика», Москва, ноябрь 2000. С. 98 - 104. 8. Борьба с нарушениями авторских прав в сети Интернет: попытка саморегулирования// Центр «Право и средства массовой информации» 9. Лепский В. Информационно-психологическая безопасность предприятий// Acta Academia, Кишинев: Evrica, 1999. С. 315 - 316. 10. Куцый А. Инфраструктура современных криптографических информации// Acta Academia, Кишинев: Evrica, 1999. С. 135 – 142. систем защиты 11. Национальный кодекс деятельности в области информатики и телекоммуникаций // PC Week, 30 июня 1996, №№ 29-30. 12. Шабашов А. Кодексы Интернет – система стандартов нового информационного законодательства// Slavic division of HON Foundation, 1999 13. Федотов М. Киберпространство как сфера обитания права// Кафедра ЮНЕСКО по авторскому праву и другим отраслям права интеллектуальной собственности 14. Черешкин Д. Основные положения по формированию единого информационного пространства стран-участниц СНГ// Acta Academia, Кишинев: Evrica, 1999. С. 312 - 315. -------------------------------------------------------------------------------[1] Цитата взята из книги: Уайлдер Т. Мартовские иды. – Кишинев: Лумина, 1990. – 672 с. [2] Данный подход может быть использован как самостоятельно, так и в совокупности с другими методами. [3] Кроме того, данный подход, лишит возможности некоторых «любителей» размещать безымянные материалы (данные) на сайтах; совершать подлог, подписывая собственный опус чужим именем (в данном случае не имеется в виду псевдоним); заставит относиться более ответственно к качеству представляемой широкой общественности информации; а также, при необходимости (в случае разрешения конфликтов в судебном или ином порядке) поможет создать доказательную базу.