Некоторые аспекты защиты информации в электронном

Некоторые аспекты защиты информации в электронном государстве
Доклад на IV Научно-практической конференции «Право и Интернет: теория и практика»
Петрова Ольга Моисеевна
компания Dekart
Кишинев, Молдова
«...Умом, прежде всего, движет желание неограниченной свободы, а это чувство неизменно
сопровождается другим – паническим страхом перед последствиями такой свободы» (из
письма Цезаря Луцию Мамилию Туррину)[1]. Это сказано много веков тому назад, но и
сегодня эти слова не потеряли своей актуальности, особенно это относится к сети Internet, к
киберпространству. На сегодняшний день киберпространство является неким отражением
(слепком) окружающей нас реальности. Поэтому, как и все лучшие, так и все негативные
стороны нашей жизни находят свое место в киберпространстве.
В отчете Комитета экспертов по правонарушениям в киберпространстве Европейского
комитета по проблемам правонарушений определены следующие наиболее опасные и
самые распространенные преступления [4]:
1.
Преступления против конфиденциальности, целостности компьютерных данных и
работоспособности компьютерных систем.
2.
Преступления, связанные с вычислительной техникой (подлог и мошенничество,
совершенные с помощью компьютера).
3.
Преступления, связанные с содержанием, публикуемой в Сети информации
(воздействие «вредной информации» на физическое и моральное здоровье человека,
например, размещение материалов, относящейся к детской порнографии).
4.
Преступления, относящиеся к нарушению авторских и смежных прав.
К сожалению, увеличивается число преступлений, совершаемых на стыке реального и
кибернетического пространств.
В [3] приводятся объективные причины возникновения и развития киберпреступности.
Среди субъективных причин, побуждающих людей заниматься противоправной
деятельностью в киберпространстве, можно выделить следующие:
1.
Стремление отомстить кому-либо (конкретной личности, компании в целом);
2.
Стремление быстро обогатиться, не прикладывая особых усилий;
3.
Стремление доказать свое могущество, попытка самоутвердиться любым способом;
4.
У молодых людей размываются границы между реальным миром и
киберпространством, жизнь рассматривается как продолжение компьютерной игры. В
результате этого у человека иногда отсутствует даже представление о том, что
совершается преступление.
5.
У человека, сидящего за персональным компьютером дома, или на работе, или в
Internet-кафе, возникает иллюзия своей защищенности и неуязвимости.
Все вышеизложенное не может быть отнесено к какому-либо государству и имеет
интернациональный характер.
Для того чтобы изменить сложившуюся ситуацию в лучшую сторону, необходимо принять
меры как социального, так и технического характера. К первой группе следует отнести
требование соблюдения правовых и морально-этических норм, как в реальном мире, так и в
киберпространстве [3, 13]. Размещаемые в Internet материалы не должны наносить вред
кому-либо ни прямым, ни косвенным образом. Обстановка в киберпространстве напрямую
зависит от поведения каждого, входящего в киберсообщество. Поскольку демократические
свободы в Сети отнюдь не означают вседозволенности, то возможен компромисс между
правами личности на самовыражение, распространение информации и соблюдением прав
на личную безопасность всех остальных [11, 12].
Перед тем, как перейти к мерам технического характера я хотела бы кратко остановиться на
вопросе, что именно мы защищаем, когда говорим о защите информации. Начать с того, что
до сих пор нет четкого общенаучного определения понятия «информация». В [1] дается
следующее определение: «информация - сведения о лицах, предметах, фактах, событиях,
явлениях и процессах независимо от формы их представления», но и оно не отражает
реалии сегодняшнего дня. Можно выделить две задачи по защите информации. Первая –
это задача ограничения доступа к конфиденциальной информации, и вторая – защита
открытой информации от ненадлежащего ее использования (например, плагиат) [5 - 8]. В
обоих случаях наиболее надежным, по моему мнению, техническим инструментом защиты в
настоящее время является применение технологии PKI (Public Key Infrastructure) – систем
защиты информации на основе открытых ключей, т.е. систем цифровой подписи с
одновременным шифрованием или без оного[2]. Данная технология подразумевает наличие
у каждого участника системы пары взаимосвязанных ключей (секретного и открытого),
причем открытый ключ сертифицируется (заверяется) центром сертификации открытых
ключей. Принятие законов о цифровой подписи дает правовую основу для построения
иерархии доверительных пространств [10] относительно центров сертификации внутри
отдельного государства. При этом вышестоящий центр сертификации сертифицирует ключи
нижестоящих центров. На самой вершине данной пирамиды должен стоять национальный
центр сертификации государства (можно привести аналогию с банковской системой –
центральный банк и остальные банки). Функционирующая иерархия доверительных
пространств может стать технической базой построения электронного государства. Если
любые материалы, размещаемые на сайтах, будут снабжены цифровыми подписями их
авторов, официальные документы – цифровыми подписями ответственных лиц (президента,
председателя парламента, главы кабинета министров и т.д.), то это позволит решить
проблему целостности (неискаженности) электронного документа и подтвердить его
авторство[3]. И здесь мы подходим к следующей проблеме. Секретный ключ каждого
пользователя это электронный документ, который, как и следует из его названия, подлежит
защите. В данном случае принятие всех мер предосторожности по охране секретного ключа
лежит на самом пользователе и зависит от его фантазии, возможностей и степени его
аккуратности и собранности. Компрометация ключа пользователя – вещь неприятная, но ее
последствия можно преодолеть путем включения сертификата открытого ключа данного
пользователя в «черный список». Иное дело – компрометация (потеря, искажение)
секретного ключа центра сертификации. Данное обстоятельство автоматически приводит к
разрушению всего доверительного пространства. К еще более разрушительным
последствиям приведет компрометация ключа национального центра сертификации
государства.
Исходя из вышеизложенного необходимо:
1.
Дополнить термин информация, фигурирующий в законодательных актах:
«Информация – данные (независимо от формы их представления), используемые
человеком в целях осуществления своей деятельности».
2.
Изменить понятие электронный документ в [2] следующим образом: «Электронный
документ - форма создания, обработки, хранения и передачи информации с помощью
электронных технических средств».
3.
Признать (и внести соответствующие поправки в законодательство), что секретный
ключ цифровой подписи – это информация, подлежащая защите. При этом секретный ключ
простого участника системы следует считать конфиденциальной информацией, секретный
ключ центра сертификации – служебной тайной. Секретный же ключ национального центра
сертификации государства следует отнести к государственной тайне, также как и секретный
ключ главы государства.
4.
Упорядочить терминологию, т.е. привести в соответствие друг другу юридические и
технические термины. Так, на мой взгляд, необходимо заменить термин «закрытый ключ» на
«секретный ключ» в законе «Об электронной цифровой подписи», как соответствующий в
большей степени его функции.
Защита информации, как известно, идет по трем направлениям – при помощи технических
средств, применяя меры юридического и организационного характера. Реалии
сегодняшнего дня заставляют не только использовать все три направления для
обеспечения информационной безопасности личности, организации, государства в целом,
но и те методы и средства, которые возникают на стыке направлений.
Литература
1.
Федеральный закон РФ «Об информации, информатизации и защите информации» (20
февраля 1995 года N 24-ФЗ)
2.
Федеральный закон РФ «Об электронной цифровой подписи» (10 января 2002 года N
1-ФЗ)
3.
Доктрина информационной безопасности Российской Федерации. Утверждена 9
сентября 2000 г. № Пр-1895.
4.
European Committee on Crime Problems. Committee of Experts on Crime in Cyber-Space.
“Final Activity Report”, 2001.
5.
Наумов В. Судьба объектов интеллектуальной собственности в российском сегменте
сети Интернет// Материалы конференции «Актуальные проблемы телекоммуникационного
права», Москва, июль 1998 г.
6.
Петрова О. Защита авторства в Internet// Материалы третьей всероссийиской
конференции «Право и Интернет: теория и практика », Москва, ноябрь 2000. С. 83 - 85.
7.
Семилетов С. Проблемы охраны авторских прав в российском секторе Интернета//
Материалы третьей всероссийиской конференции «Право и Интернет: теория и практика»,
Москва, ноябрь 2000. С. 98 - 104.
8.
Борьба с нарушениями авторских прав в сети Интернет: попытка саморегулирования//
Центр «Право и средства массовой информации»
9.
Лепский В. Информационно-психологическая безопасность предприятий// Acta
Academia, Кишинев: Evrica, 1999. С. 315 - 316.
10.
Куцый А. Инфраструктура современных криптографических
информации// Acta Academia, Кишинев: Evrica, 1999. С. 135 – 142.
систем
защиты
11. Национальный кодекс деятельности в области информатики и телекоммуникаций // PC
Week, 30 июня 1996, №№ 29-30.
12. Шабашов А. Кодексы Интернет – система стандартов нового информационного
законодательства// Slavic division of HON Foundation, 1999
13. Федотов М. Киберпространство как сфера обитания права// Кафедра ЮНЕСКО по
авторскому праву и другим отраслям права интеллектуальной собственности
14. Черешкин Д. Основные положения по формированию единого информационного
пространства стран-участниц СНГ// Acta Academia, Кишинев: Evrica, 1999. С. 312 - 315.
-------------------------------------------------------------------------------[1] Цитата взята из книги: Уайлдер Т. Мартовские иды. – Кишинев: Лумина, 1990. – 672 с.
[2] Данный подход может быть использован как самостоятельно, так и в совокупности с
другими методами.
[3] Кроме того, данный подход, лишит возможности некоторых «любителей» размещать
безымянные материалы (данные) на сайтах; совершать подлог, подписывая собственный
опус чужим именем (в данном случае не имеется в виду псевдоним); заставит относиться
более ответственно к качеству представляемой широкой общественности информации; а
также, при необходимости (в случае разрешения конфликтов в судебном или ином порядке)
поможет создать доказательную базу.