Центр исследования компьютерной преступности

home контакты

Безопасность и здравый смысл

Дата: 29.03.2005
Источник: Zdnet.ru
Автор: Брюс Шнайер


etc/research.jpg Правительство США десятилетиями создавало систему для работы с военными секретами.

Информация может засекречиваться под грифами Confidential, Secret, Top Secret или по одной из многих разновидностей еще более высокой степени секретности.

К работе с секретной информацией применяются строгие процедуры: секретные вопросы нельзя обсуждать по нешифрованным телефонным линиям, секретную информацию нельзя обрабатывать на незащищенных компьютерах, секретные документы должны храниться в сейфах и т. п. Строгость этих процедур оправдывалась наличием высокомотивированного, хорошо финансируемого и технически сведущего предполагаемого противника: Советского Союза.

Можно спорить с мнением правительства о том, что надо засекречивать, а что нет, или о том, сколько времени должна оставаться засекреченной та или иная информация. Но если принималось решение, что тема должна быть засекречена, то применение соответствующих процедур имело смысл.

В 1993 году правительство США ввело новую категорию секретных данных, не подпадающую под действие Закона о свободе информации, – Sensitive Security Information (SSI). По определению вашингтонского суда, информация этой категории могла относиться только к безопасности авиапассажиров. В 2002 году данный класс был существенно расширен: Конгресс исключил слова «авиа» и «пассажиры» и заменил термин «личная безопасность» (safety) просто «безопасностью» (security). Теперь под этот зонтик подведено очень много информации.

Правила работы с информацией SSI гораздо менее строги, чем правила работы с традиционной секретной информацией. Чтобы получить доступ к последней, необходимо оформить специальный допуск. Чтобы получить доступ к информации SSI, достаточно подписать соглашение о неразглашении (NDA). В случае разглашения секретной информации виновному грозит уголовное преследование. В случае разглашения информации SSI он отделается административным взысканием.

SSI может пересылаться по нешифрованной электронной почте; достаточно, чтобы файл был защищен паролем. Документы SSI можно брать с собой домой, читать в самолете и обсуждать в общественных местах. Люди, владеющие информацией SSI, не должны передавать ее тем, кому она не предназначена, но на самом деле это остается на их совести. По существу, данная категория ближе к корпоративной конфиденциальной информации, чем к государственным военным секретам.

Правительство США было вынуждено ввести этот уровень секретности, учитывая род информации, с которой приходится работать. Например, к категории SSI относятся списки подозреваемых в терроризме. Если список попадет не в те руки, это навредит национальной безопасности.

Однако подумайте, сколько людей должно работать с таким списком. Его копия должна присутствовать на борту каждого самолета, чтобы ее можно было сверять со списком пассажиров. И не только на внутренних рейсах, но и на международных – включая авиалинии тех стран, которые могут быть не согласны с американской государственной политикой. Доступ к списку должен быть у полицейских отделений, как внутри страны, так и за рубежом. По моим оценкам, доступ к этому списку имеют более 10 тыс. человек, и нет никакой физической возможности оформить всем им допуск. Либо правительство США ослабит правила в отношении тех, кто может быть допущен к списку, либо список не будет использоваться надлежащим образом.

С другой стороны, сама угроза имеет совершенно иной характер. Военные уровни секретности и процедуры разрабатывались в эпоху холодной войны и отражали советскую угрозу. Террористы гораздо более разобщены, намного хуже финансируются и не так хорошо оснащены в техническом отношении. Когда имеешь дело с противником подобного рода, правила SSI действительно подходят лучше, чем военные.

Я одобряю правила SSI правительства США. Можно спорить о том, какая именно информация должна содержаться в секрете и как такие категории, как SSI, можно использовать для засекречивания действий правительства. Но если секретность должна соблюдаться, то SSI определяет разумный набор правил для защиты информации против новой угрозы.

Об авторе:
Брюс Шнайер – главный технолог компании CounterPane Internet Security и один из самых известных экспертов по безопасности. Его последняя книга называется «Без страха. Взвешенные суждения о безопасности в переменчивом мире».

Добавить комментарий
2005-07-24 21:53:53 - Nice one, but what about der weg ? anywya,... 12
2005-07-23 20:10:36 - A heap of wheat, says the Song of Songs... 12
2005-07-23 01:20:47 - The text was good, but i stil cant find... 10
2005-07-08 19:31:40 - xenical http://www.bestrxpills.com 11
2005-04-20 15:00:33 - ЗНУ Юрфак. гр.6111 29,03 Брюс... Иванова С.О.
Всего 5 комментариев


Copyright © 2001–2019 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.