В Федеральном законе РФ «Об информации, информатизации и защите информации» подпись указывается как обязательное средство документированной информации. В связи с обсуждением Федерального закона «Об электронно-цифровой подписи» возникают специальные, не имеющие аналогов в реальном мире юридические проблемы.
Электронно-цифровая подпись (ЭЦП) – это цифровое представление информации об отправителе электронного сообщения, созданное с использованием закрытого ключа подписи и позволяющее при использовании открытого ключа подписи подтвердить неизменность и целостность электронного сообщения.
К одним из основных понятий относится понятие электронного сообщения – информации, пересылаемой в цифровом виде через средства компьютерной техники, в том числе по телекоммуникационным сетям. Закрытый ключ – это информация (последовательность символов), известная только ее пользователю и позволяющая создавать электронно-цифровую подпись. Открытый ключ – это информация (последовательность символов), предназначенная для проверки электронно-цифровой подписи и сообщаемая пользователем закрытого ключа получателю электронного сообщения либо удостоверяющему центру (с целью обеспечения открытого доступа к ней). Центр удостоверения открытых ключей электронно-цифровой подписи (удостоверяющий центр) – это лицо, осуществляющее деятельность по хранению открытых ключей электронно-цифровой подписи и по удостоверению их соответствия атрибутам свидетельств электронно-цифровой подписи пользователей закрытых ключей. Свидетельство электронно-цифровой подписи – это документ, содержащий сведения о пользователе закрытого ключа, выдаваемый ему удостоверяющим центром.
В электронных документах подпись представлена в виде цифрового кода. Необходима компьютерная программа для проверки подлинности этой подписи. Проверка электронно-цифровой подписи – это действия получателя электронного сообщения, позволяющие с помощью средств электронно-цифровой подписи подтвердить неизменность и целостность электронного сообщения после его подписания электронно-цифровой подписью.
Экспертное исследование рукописных подписей является одной из самых сложных идентификационных задач. Исследование подлинности электронно-цифровой подписи – еще более сложная задача, требующая высокопрофессионального подхода для ее решения.
В проекте Федерального закона «Об электронно-цифровой подписи» устанавливается порядок использования электронно-цифровой подписи при совершении гражданско-правовых сделок и иных случаях, предусмотренных законодательством Российской Федерации.
Электронно-цифровая подпись должна являться аналогом собственноручной подписи. Электронное сообщение, подписанное электронно-цифровой подписью, должно признаваться документом при наличии всех иных реквизитов, позволяющих его идентифицировать. Обмен электронными сообщениями, подписанными электронно-цифровыми подписями и выражающими содержание гражданско-правовой сделки, должен признаваться заключением договора в письменной форме. Отправитель электронного сообщения самостоятельно принимает решение о его подписании электронно-цифровой подписью. Использование электронно-цифровой подписи не является использованием шифрования информации, а средства электронно-цифровой подписи не являются средствами шифрования информации. Любое лицо, отправляющее электронные сообщения, вправе создать свою электронно-цифровую подпись и подписывать ею свои сообщения.
Лицо, получившее электронное сообщение с электронной подписью, может обратиться в удостоверяющий центр для проверки подписи. Удостоверяющим центром выдается свидетельство электронно-цифровой подписи о получении от него открытого ключа и сведений, подлежащих включению в свидетельство, которое имеет следующие обязательные атрибуты:
– наименование пользователя закрытого ключа (фамилия, имя, отчество гражданина);
– регистрационный номер;
– наименование и местонахождение удостоверяющего центра;
– дата выдачи свидетельства и дата окончания срока его действия;
– наименование средств электронно-цифровой подписи;
– открытый ключ;
– сведения о порядке предоставления открытого доступа к открытому ключу (в частности, указание адреса электронной почты в сети Интернет).
Использование электронно-цифровой подписи государственными органами и органами местного самоуправления должно производиться в порядке, установленном законом. Формирование и распределение закрытых ключей для федеральных и иных органов власти, органов местного самоуправления должно производиться организациями, уполномоченными для совершения указанных действий Правительством Российской Федерации.
При направлении органами государственной власти и органами местного самоуправления документов в электронной форме указанные документы должны быть подписаны электронно-цифровой подписью должностного лица соответствующего органа государственной власти, уполномоченного на подписание официальных документов от имени такого органа.
Особенности применения электронно-цифровой подписи при выполнении процессуальных действий органами судебной власти и органами охраны правопорядка должны устанавливаться гражданско-процессуальным, арбитражно-процессуальным и уголовно-процессуальным законодательством Российской Федерации.
Документы в электронной форме, подписанные электронно-цифровой подписью, должны приниматься судами в качестве письменных доказательств. При наличии спора о достоверности электронно-цифровой подписи к соответствующему электронно-цифровому сообщению должна быть представлена надлежаще заверенная копия свидетельства электронно-цифровой подписи. Лица, неправомерно использующие электронно-цифровую подпись другого лица, должны нести гражданскую, административную и уголовную ответственность в порядке, установленном законодательством Российской Федерации. Пользователи закрытых ключей электронно-цифровой подписи должны нести ответственность за необеспечение соответствующей охраны закрытого ключа, обязаны направить удостоверяющему центру, выдавшему свидетельство электронно-цифровой подписи, заявление с требованием прекращения действия соответствующего свидетельства.
При проверке подписи проверяющий должен располагать открытым ключом абонента, поставившего подпись. Этот ключ должен быть аутентифицирован, т. е. проверяющий должен быть полностью уверен, что данный открытый ключ принадлежит тому абоненту, который выдает себя за его хозяина. В случае, когда абоненты самостоятельно обмениваются ключами, эта уверенность может подкрепляться связью по телефону, личным контактом или любым другим способом. В случае, когда абоненты действуют в сети с выделенным центром, открытые ключи абонентов подписываются (сертифицируются) центром и непосредственный контакт абонентов между собой (при передаче или подтверждении подлинности ключей) заменяется на контакт каждого из них в отдельности с центром.
Процедура проверки электронно-цифровой подписи состоит из двух этапов: вычисления хэш-функции документа и собственно математических вычислений, предусмотренных в данном алгоритме подписи. Последние заключаются в проверке того или иного соотношения, связывающего хэш-функцию документа, подпись под этим документом и открытый ключ подписавшего абонента. Если рассматриваемое соотношение оказывается выполненным, то подпись признается правильной, а сам документ – подлинным, в противном случае документ считается измененным, а подпись под ним – недействительной (рис. 17.1).
Побочное, но не менее важное назначение электронной подписи – подтверждение авторства сообщения. Обычно в файлы ключей ЭЦП записывается различная дополнительная информация (помимо собственно ключа), по-разному интерпретируемая различными криптосистемами, например ФИО владельца ключа, его место работы, срок действия ключа и т. п. Информация из секретного ключа, прежде всего информация о его владельце, копируется обычно в подпись сообщения или документа. Это и позволяет установить автора сообщения (не нужно запоминать, кто именно прислал тот открытый ключ, проверка которым показала, что ЭЦП верна – а открытых ключей, используемых конкретным пользователем, на практике может быть несколько сотен или тысяч). Причем корректно реализованные средства работы с ЭЦП в расчет собственно электронной подписи сообщения включают и информацию об авторе, чтобы не было возможности ее изменить. А результат проверки ЭЦП обычно выводится на экран в понятном для восприятия виде, например: «Подпись файла compromat.bmp верна (Автор: Сидоров Василий Семенович)».
Защита информации
Защите подлежит секретная и конфиденциальная информация.
К секретной информации относится информация, содержащая сведения, составляющие государственную тайну. Ее несанкционированное распространение может нанести ущерб интересам государственных органов, организациям, субъектам и РФ в целом. Под конфиденциальной понимается служебная, профессиональная, промышленная, коммерческая или иная информация, правовой режим которой устанавливается ее собственником на основе законов о коммерческой, профессиональной тайне, государственной службе и других законодательных актов.
Под коммерческой тайной предприятия понимаются не являющиеся государственным секретом сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка) которых может нанести вред его интересам.
Информация доступна человеку, если она содержится на материальном носителе (вещественном или в форме поля). Зафиксированное на материальном носителе сообщение с указанием источника его происхождения называется документированными сведениями.
Если данные на носителе предназначены ограниченному кругу пользователей, то такие данные называются закрытыми. Различают носители – источники информации, носители – переносчики информации и носители – получатели информации.
Ценность информации определяется степенью ее полезности для пользователя (собственника, владельца, получателя). Информация может обеспечивать ее пользователю определенные преимущества: приносить прибыль, уменьшить риск в его деятельности в результате принятия более обоснованных решений и т.д.
Нейтральная информация не влияет на состояние дел ее пользователя, но носитель с нейтральной для конкретного получателя информацией может оказать вредное воздействие на другой носитель с полезной информацией, если параметры носителей близки по значениям (например, частоты колебаний электромагнитных полей разных источников). Носители информации, оказывающие воздействие на другой носитель, представляют собой помехи. То, что для одного получателя является информацией, для другого может быть помехой. Когда во время телефонного разговора слышен разговор других людей, то каждая пара абонентов воспринимает другой разговор как помеху.
Вредной является информация, в результате использования которой ее получателю наносится моральный или материальный ущерб. Когда такая информация создается преднамеренно, ее называют дезинформацией.
Полезность информации всегда конкретна. Информация полезна или вредна для конкретного ее пользователя. Чрезвычайно ценная информация для одних пользователей может не представлять ценности для других. Поэтому при защите информации определяют круг лиц (фирм, государств), заинтересованных в защищаемой информации, так как вероятно, что среди них окажутся злоумышленники.
В интересах защиты ценной информации ее владелец (государство, организация, физическое лицо) наносит на носитель условный знак (гриф) полезности содержащейся на нем информации.
Гриф секретности – реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, представленные на самом носителе и/или в сопроводительных документах на него.
В РФ существует три степени секретности сведений, составляющих государственную тайну: «Особой важности», «Совершенно секретно», «Секретно».
Гриф конфиденциальности на носителе информации или в сопроводительных документах на него свидетельствует о том, что носитель содержит конфиденциальную информацию. В качестве критерия для определения грифа конфиденциальности информации могут служить результаты прогноза последствий попадания информации к конкуренту или злоумышленнику (величина экономического или морального ущерба, наносимого организации; реальность создания предпосылок для катастрофических последствий в деятельности организации, например банкротства).
Учитывая, что информация может быть для получателя полезной или вредной, что она покупается и продается, информацию можно рассматривать как товар.
Полезная информация может быть создана ее владельцем в результате научно-исследовательской деятельности, заимствована из различных открытых источников, может попасть к злоумышленнику случайно, может быть добыта различными нелегальными путями.
Цена информации, как любого товара, складывается из себестоимости и прибыли. Себестоимость определяется расходами владельца информации на ее получение путем:
– проведения исследований в лабораториях, аналитических центрах, группах и т.д.;
– покупки информации на рынке информации;
– добывания информации противоправными действиями.
Прибыль от информации ввиду ее особенностей может принимать различные формы, причем денежное ее выражение не является самой распространенной формой. В общем случае прибыль от информации может быть получена в результате:
– продажи информации на рынке;
– материализации информации в продукции с новыми свойствами или в технологии, приносящей прибыль;
– использование информации для принятия более эффективных решений.
Распространение информации и ее использование приводят к изменению ее ценности. Ценность большинства видов информации, циркулирующей в обществе, со временем уменьшается – информация стареет. Время, проходящее с момента возникновения информации до ее устаревания, называется жизненным циклом информации. В зависимости от продолжительности жизненного цикла коммерческая информация классифицируется следующим образом:
– оперативно-тактическая, теряющая ценность примерно по 10 % в день (например, информация выдачи краткосрочного кредита, предложения по приобретению товара и т.д.);
– стратегическая информация, ценность которой убывает примерно на 10 % в месяц (сведения о партнерах, о долгосрочном кредите и т.д.).
Количество информации без учета полезности ее для потребителя (владельца, собственника) невозможно оценить объективно. Количество информации, содержащееся, например, в книге, для различных читателей разное. Даже один и тот же человек в разные периоды своей жизни находит в книге каждый раз что-то новое для себя.
Под качеством информации обычно подразумевают качество отображения ее на носителе или ее достоверность (соответствие оригиналу). Качество информации в этом смысле можно достаточно объективно измерить.
Для определения количества информации в теории информации предложен энтропийный подход. В соответствии с ним количество информации оценивается мерой уменьшения у получателя неопределенности (энтропии) выбора или ожидания события после получения информации. Количество получаемой информации тем больше, чем ниже вероятность события. Такой подход разработан для определения количества информации в сообщении, передаваемом по каналам связи.
Если информацию трактовать как знания, то количество информации, извлекаемое человеком из сообщения, можно оценить степенью изменения его знаний.
Структурированные знания, представляемые в виде понятий и отношений между ними, называются тезаурусом. Тезаурус имеет иерархическую структуру. Понятия и отношения, группируясь, образуют другие, более сложные понятия и отношения.
Знания отдельного человека, организации, государства образуют соответствующие тезаурусы. Тезаурусы различных организационных структур включают части тезаурусов входящих в их состав элементов, и прежде всего людей.
Для передачи знаний тезаурусы должны пересекаться, т.е. содержать общие элементы (понятия и отношения между ними).
В общем случае количество информации, получаемое из сообщения его получателем, зависит от соотношения тезаурусов сообщения и получателя. Если тезаурус сообщения составляет часть тезауруса получателя или их тезаурусы настолько отличаются по составу, что не пересекаются, то количество получаемой информации минимальное. В первом случае получатель не приобретает новые знания и тезаурус получателя не пополняется, во втором – получатель не понимает смысла сообщения и не может установить отношения с другими элементами тезауруса.
Тезаурусы человека и любой организации представляют их капитал, поэтому они стремятся, во-первых, к сохранению (безопасности) своего тезауруса, а во-вторых, к его увеличению.
Тезаурус владельца информации может быть увеличен за счет как синтеза знаний владельца путем проведения собственных исследований или разработок, так и законного или незаконного приобретения.
Законное приобретение знаний возможно путем обучения в учебных заведениях, самостоятельного изучения литературы (самообучения), приглашения на работу знающего специалиста, покупки лицензии или патента. Приобретение знаний путем хищения информации является незаконным способом увеличения тезауруса.
При копировании, не изменяющем информационные параметры носителя, количество информации не меняется, а цена снижается. После снятия копии документа на ксероксе или другим способом количество информации на нем не меняется. В результате несанкционированное копирование (хищение) информации может оказаться незамеченным для ее владельца.
Так как при каждом копировании информации увеличивается число законных и незаконных пользователей, то цена информации по законам рынка снижается.
По содержанию любая информация может быть отнесена к семантической (в переводе с латинского – содержащей смысл) или к признаковой – информации о признаках материального объекта.
Сущность семантической информации не зависит от характеристик носителя. Семантическая информация – является продуктом абстрактного мышления человека и отображает как объекты, явления материального мира, так и создаваемые им образы я модели с помощью символов на языках общения людей.
Языки общения людей включают как естественные языки национального общения, так и искусственные, профессиональные языки.
Семантическая информация на языке национального общения представляется в виде упорядоченной последовательности знаков (букв, цифр, иероглифов) алфавита этого языка и записывается на любом материальном носителе. В области средств регистрации и консервации семантической информации изыскиваются носители, обеспечивающие все более высокую плотность записи и меньшее энергопотребление. Профессиональные языки создаются специалистами для экономичного и компактного отображения информации. Существует множество профессиональных языков: математики, музыки, радиоэлектроники, химии и т.д.
Признаковая информация описывает конкретный материальный объект на языке его признаков. Описание объекта содержит признаки его внешнего вида, излучаемых им полей и элементарных частиц, состава и структуры веществ, из которых состоит объект. Источниками признаковой информации являются сами объекты. К ним в первую очередь относятся интересующие зарубежную разведку или отечественного конкурента люди, новая продукция и материалы и даже здания, в которых может находиться конфиденциальная информация.
В зависимости от описания объекта признаковая информация делится на информацию о внешнем виде (видовых признаках), о его полях (признаках сигналов), о структуре и составе его вещества (признаках веществ).
Защищаемая информация неоднородна по содержанию, объему и ценности. Следовательно, защита будет рациональной в том случае, когда уровень защиты и затраты соответствуют количеству и качеству информации. Если затраты на защиту информации выше цены информации, то уровень защиты неоправданно велик, если затраты существенно меньше цены, то повышается вероятность уничтожения, хищения или изменения информации. Для обеспечения рациональной защиты возникает необходимость структурирования конфиденциальной информации, т.е. разделения ее на так называемые информационные элементы.
Информационный элемент представляет собой информацию на носителе с достаточно четкими границами и удовлетворяет следующим требованиям:
– принадлежит конкретному источнику (документу, человеку, образцу продукции и т.д.);
– содержится на отдельном носителе;
– имеет конкретную цену.
Структурирование информации проводится путем последовательной детализации защищаемой информации, начиная с перечня сведений, содержащих тайну. Детализация предусматривает иерархическое разбиение информации в соответствии со структурой тематических вопросов, охватывающих все аспекты организации и деятельности частной фирмы или государственной структуры.
Защита структурированной информации принципиально отличается от защиты информации вообще. Она конкретна, так как ясно, что (какой информационный элемент) необходимо защищать, прежде всего, исходя из его ценности, кто или что является источниками и носителями этого элемента. Для элементов информации можно выявить возможные угрозы его безопасности и определить способы и средства защиты.