О правоприменительной практике и технической защите информации в области обмена информацией, содержащей сведения, отнесенные к государственной тайне
Информационная безопасность Информационная безопасность

Государственная тайна - это информация, которая имеет непосредственное уголовно-правовое значение, связанное с обеспечением государственной безопасности

Главная>Информационная безопасность>О правоприменительной практике и технической защите информации в области обмена информацией, содержащей сведения, отнесенные к государственной тайне
Информационная безопасность Тема номера

О правоприменительной практике и технической защите информации в области обмена информацией, содержащей сведения, отнесенные к государственной тайне

Дата публикации:
05.03.2008
Посетителей:
484
Просмотров:
420
Время просмотра:
2.3
Государственная тайна — это информация, которая имеет непосредственное уголовно-правовое значение, связанное с обеспечением государственной безопасности. В соответствии со ст.2 Закона РФ "О государственной тайне" от 21 июля 1993 г. государственную тайну Российской Федерации составляют защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Разглашение государственной тайны (придание огласке) означает, что сведения, составляющие государственную тайну, стали достоянием лиц, которые не имеют доступа к работе с такими сведениями или материалами, либо имеют доступ, но не к той информации, которая стала их достоянием в результате разглашения.

 

 

Так, в 1998 г. по ст. 283 УК был привлечен к ответственности и осужден бывший сотрудник ГРУ Генштаба Министерства обороны РФ подполковник Владимир Т., передавший своему бывшему сослуживцу по Центру космической разведки слайды с изображением городов некоторых ближневосточных стран, сделанные силами космической разведки. При этом способ разглашения сведений может быть любым (в разговоре, письме, выступлении, публикации, демонстрации схем, чертежей, изделий и т.п.) и на квалификацию содеянного не влияет. Объективная сторона преступления, предусмотренного ст. 283 УК, предполагает:

 

  1. наличие действия или бездействия, заключающегося в разглашении государственной тайны;
  2. наступления определенных последствий, когда сведения, не подлежащие огласке, стали достоянием постороннего лица;
  3. наличие причинную связь между деянием и последствием.

 

Отсутствие последствия (например, разглашаемые сведения не были восприняты посторонними лицами) квалифицируются в соответствии со ст. 30 уголовного кодекса РФ как покушение на разглашение государственной тайны.

 

Лицо не может быть привлечено к ответственности по ст. 283 уголовного кодекса, если оно не знало того, что разглашаемые им сведения являются государственной тайной.

Так, от ответственности за разглашение сведений, составляющих государственную тайну, был освобожден заместитель генерального директора межотраслевой ассоциации "Совинформспутник" В., передававший в Израиль 186 слайдов, отснятых с секретных фильмов космической съемки. На дубль-позитивах были изображены города Ближнего Востока и Израиля. Дело прекратили на том основании, что В. не знал о секретном характере слайдов, так как гриф "секретно" на дубль-позитивах отсутствовал.

 

Под субъектами, которым тайна стала известна по службе или работе, понимаются лица, специально не допущенные к работе со сведениями, составляющими государственную тайну, но в силу специфики своей работы или службы могущие знать эти сведения (рабочие, выполняющие работу на режимных предприятиях, охрана на этих предприятиях, шоферы, машинистки и пр.). Если разглашение совершает лицо, которому тайна не была доверена и не стала известна по службе или работе, но он узнал о ней от других лиц (например, в частном разговоре), его ответственность по ст. 283 УК исключается в силу отсутствия признаков специального субъекта.

 

Из вышеизложенного следует, что субъектом уголовного преследования являются физические лица, допустившие нарушения в порядке обращения с информацией, содержащей сведения, отнесенные к государственной тайне.

 

Учитывая судебную практику, попытаемся реализовать схему обмена информацией, содержащей сведения, отнесенные к государственной тайне, используя средства вычислительной техники.

 

Сетевая технология — это согласованный набор стандартных протоколов и реализующих их программно-аппаратных средств (например, сетевых адаптеров, драйверов, кабелей и разъемов), достаточный для построения вычислительной сети.

 

Передача информации с одного компьютера на другой происходит "кадрами". Любая подлежащая передаче информация при передаче с помощью сетевых ресурсов "компьютер-адресат" будет разделена на "кадры", которые впоследствии будут собраны у адресата.

 

В соответствии со ст.2 Закона РФ "О государственной тайне" от 21.07.1993 г, носителем информации, составляющей государственную тайну, является материальный объект, в том числе физическое поле, в котором сведения, составляющие государственную тайну, находят отображение в виде символов, образов, сигналов, технических решений и процессов. При этом на носители сведений, составляющих государственную тайну, наносятся следующие реквизиты:

 

  • степень секретности содержащихся в носителе сведений со ссылкой на соответствующий пункт действующего в данном органе государственной власти, на данном предприятии, в данном учреждении и организации перечня сведений, подлежащих засекречиванию;
  • наименование органа государственной власти, предприятия, учреждения, организации, где осуществлено засекречивание носителя;
  • регистрационный номер;
  • дата или условия рассекречивания сведений, либо событие, после наступления которого сведения будут рассекречены.

 

Принимая во внимание положения Закона РФ "О государственной тайне", следует отметить, что нанесение реквизитов на носитель информации является обязательным. Таким образом, возникают две проблемы.

 

  1. Как оповестить добросовестного пользователя сетевого ресурса о том, что он получил доступ к информации содержащей сведения, отнесенные к государственной тайне?
  2. Как на носитель сведений, составляющих государственную тайну, нанести реквизиты?

 

В протоколе IP предусмотрены средства передачи информации о безопасности дейтаграммы. Параметры IP обрабатываются всеми узлами IP. Они передаются в необязательных полях, находящихся в конце заголовка. Присутствие параметров в любом конкретном пакете не обязательно, но их поддержка должна быть реализована в обязательном порядке.

 

Поле безопасности имеет длину 16 бит и определяет один из 16 уровней безопасности, восемь из которых зарезервированы для использования в будущем. Коды безопасности перечислены в Таб. 1. Некоторые из кодов используются только во внутренней работе организаций, отвечающих за ИБ.

 

Рисунок 1. Пример сообщения сети AUTODIN

 

Таблица 1. Коды безопасности

код

описание

00000000 00000000

Открытая информация

11110001 00110101

Конфиденциальная информация

0Ш1000 10011010

EFTO

10Ш100 01001101

ММММ

01011110 00100110

PROG

10101111 00010011

Информация для служебного пользования

11010111 10001000

Секретная информация

01101011 11000101

Совершенно секретная информация

0011010111100010

Зарезервировано на будущее

 

Поле дробления имеет длину 16 бит. Если передаваемая информация не дробится, поле состоит из одних нулей. Поле ограничений доступа имеет длину 16 бит.

 

Организационные сообщения обычно содержат служебную информацию. В сообщениях действующего формата эта информация упорядочена и отформатирована в форматные строки (FL), которые предоставляют специальные услуги и части данных по аналогии с текстом сообщения. Сообщения DMS имеют в конвертах сообщений подобные информационные области служебных данных Типичная служебная информация, содержащаяся в организационном сообщении, перечислена в Таб. 2. Маркер на рисунке (круг с номером и стрелка) показывает номер и местоположение информации (в соответствии с номером пункта в таблице и пояснением), содержащейся в примерах сообщений AUTODIN формата JANAP128 и DMS.

 

Применение технологий, которые на аппаратном уровне будут извещать пользователя о том, что он получает информацию ограниченного использования, позволят в дальнейшем снять вопросы процедурного характера типа — "не знал".

 

Решение второй проблемы представляет наибольшую сложность. Особенно в части трактовки закона, что при "невозможности нанесения таких реквизитов на носитель сведений, составляющих государственную тайну, эти данные указываются в сопроводительной документации на этот носитель".

 

Рисунок 2. Пример вида сообщения DMS

 

Таблица 2. Служебная информация, содержащаяся в организационном сообщении

Элементы служебной информации

Номер маркера на рисунке

Гриф секретности сообщения

1

 

 

Тема (предмет) сообщения

2

Отправитель сообщения

3

Действительный адрес получателей

4

Служебная информация адресации получателей

не показано

Старшинство сообщения (адрес и служебная информация получателей)

5

Дата и время отправки сообщения

6

Инструкции по обработке сообщения

7

Ссылки

не показано

Тип сообщения

8

Текст сообщения

9

Идентификатор (протокола формата) сообщения

10

Инструкции

11

 

Сложившаяся практика предлагает следующий инструмент: если нельзя нанести реквизиты на передаваемые по сетевым ресурсам кадры, то нужно "рассекретить" информацию в сети, применив криптографию. Шифротекст, полученный путем шифрования с помощью средств криптографической защиты информации незашифрованной секретной информации любых грифов, являются несекретными (п.6.13 РД "Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники").

 

Значительная роль алгоритмов шифрования в вопросе решения задач защиты электронной информации в массовом масштабе обусловила необходимость принятия стандартов шифрования, из которых наиболее известным и широко используемым является американский федеральный стандарт DES, принятый в середине 1970-х годов и послуживший аналогом для российского стандарта ГОСТ 28147-89. В настоящее время существует значительный выбор средств криптографической защиты информации, в том числе для сетевых технологий. Однако остаются открытыми вопросы передачи секретной информации между различными юридическими лицами и аттестации системы в целом.

Уведомления об обновлении тем – в вашей почте

Пентест CRM: как шкатулка с секретами превращается в ящик Пандоры

«Ширли-мырли» в CRM. Про недостатки в управлении пользовательскими сессиями: неограниченное время жизни, неконтролируемый выпуск токенов, отсутствие механизма отзыва и др. Конь троянский. Недостатки, связанные с загрузкой файлов и получением доступа к ним (от классической загрузки шелла и хранимой XSS в файле аватарки (SVG) до кейсов с S3 и CDN). Так и запишем. Чрезмерное и небезопасное логирование. К чему приводит бесконтрольная запись действий пользователя.

Защищаемся от DDoS: кейсы и советы «Инфосистемы Джет»

Почему слова «DDoS-атака» сейчас встречаются почти в каждом разговоре об ИБ? Как правильно выстроить защиту от DDoS? Кейсы «Инфосистемы Джет».

Информационная безопасность - обзор основных положений. Часть 3

Деятельность любой организации подвержена множеству рисков. Нас будут интересовать те из них, которые являются следствием использования информационных технологий.  Управление рисками   Суть работы по управлению рисками состоит в том, чтобы ...

«Эффект зарубежного банка»: Росбанк в новой ИБ-реальности

Почему уход западных вендоров не сильно повлиял на Росбанк? Как изменилась ИБ-стратегия банка в связи с кризисом? «Серые носороги» на российском рынке ИБ?

Руководство по информационной безопасности

В 1992 году Указом Президента Российской Федерации вместо существовавшей около 20 лет Государственной технической комиссии СССР была образована Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России) — ...

Программно-технологическая безопасность информационных систем

Широкое внедрение информационных технологий в жизнь современного общества привело к появлению ряда общих проблем информационной безопасности -:   необходимо гарантировать непрерывность и корректность функционирования важнейших ...

Сервер аутентификации Kerberos

Идентификация и проверка подлинности пользователей (аутентификация) — это основное средство защиты информационных систем от одной из главных угроз — постороннего вмешательства. Если у злоумышленника нет средств для нелегального доступа, возможности ...

ИБ-ликбез в формате small talk. Под капотом — защита облаков, Deception, киберполигон

Пошаговый чек-лист для построения защиты облаков с нуля. Рекомендации, как выстроить Digital Risk Protection, и подборка Open Source утилит. Сравнение трех лидеров рынка автопентестов: PenTera, Cymulate, Cronus CyBot.

5 кейсов Jet CyberCamp

Как появилась платформа Jet CyberCamp? Реальные бизнес-кейсы из нашей практики? Как проходит обучение специалистов на киберучениях?

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня