- •Воронеж 2008
- •Воронеж 2008
- •Введение
- •1 Разработка средств обеспечения инофрмационных технологий в подготовке принятия решений по документационному обеспечению защиты информации в органах государственной власти
- •1.1 Информационная сфера как объект правового регулирования
- •1.1.1 Информация как объект правового регулирования
- •1.1.2.1 Официальная правовая информация
- •1.1.2.2 Информация индивидуально - правового характера, имеющая юридическое значение
- •1.1.2.3 Неофициальная правовая информация
- •1.2 Правовое регулирование в сфере обеспечения информационной безопасности в органах государственной власти
- •1.2.1 Нормативное правовое обеспечение информационной безопасности в органах государственной власти
- •1.2.2 Система нормативных правовых документов в области защиты информации в органах государственной власти
- •1.2.3 Анализ состояния нормативной правовой базы в сфере защиты информации в органах государственной власти
- •1.2.4 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти
- •1.2.4.1 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти на федеральном уровне
- •1.2.4.2 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти на региональном уровне
- •1.3 Обзор зарубежного законодательства в области защиты информации
- •Другие Указы президента посвящены следующим вопросам:
- •1.4.2 Основные направления совершенствования нормативного правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти
- •1.5 Основные выводы первой главы
- •2 Исследование методов и моделей поддержки принятия решений в управленческой деятельности и разработка средства принятия решений по вопросам защиты информации в органах государственной власти
- •2.1 Выявление недостатков законодательства рф в сфере поддержки принятия решений по информационной безопасности
- •2.2 Теория принятия решения в области защиты информации в органах государственной власти
- •2.2.1 Основные понятия, термины и определения
- •2.2.2 Перечень этапов процесса принятия решения
- •2.3.2 Анализ и разработка метода принятия решения в области защиты информации в органе государственной власти.
- •2.3.3 Разработка средства поддержки принятия решения в сфере информационной безопасности на основе метода анр
- •2.3.3.1 Область применения и интерфейс программного продукта
- •2.4 Основные выводы второй главы
- •3 Разработка классификации угроз безопасности информации в органах государственной власти
- •3.1 Анализ состояния современной системы защиты в органах государственной власти рф.
- •3.2 Классификация угроз безопасности информации
- •3.3 Угрозы утечки информации по техническим каналам
- •3.3.1 Угрозы утечки информации по каналам побочных электромагнитных излучений и наводок
- •3.3.2 Угрозы утечки акустической информации по техническим каналам
- •3.3.3 Угрозы несанкционированного доступа к информации в компьютерных системах
- •3.3.3.1 Угрозы несанкционированного доступа к информации на отдельном автоматизированном рабочем месте оператора
- •3.3.3.3 Угрозы от программных закладок
- •3.3.3.4 Угрозы несанкционированного доступа к информации в компьютерной сети
- •3.4 Средства съёма
- •3.4.1 Портативные средства акустической разведки
- •3.4.1.1 Проводные системы, портативные диктофоны и электронные стетоскопы
- •3.4.1.2 Акустические закладки
- •3.4.1.3 Направленные микрофоны и лазерные акустические системы разведки
- •3.4.2 Портативные средства радио-, радиотехнической разведки
- •3.4.2.1 Сканерные приемники
- •3.4.2.2 Программно-аппаратные комплексы радио-, радиотехнической разведки
- •3.4.2.3 Средства перехвата пейджинговых сообщений и контроля телефонов сотовой связи
- •3.4.2.4 Радиопеленгаторы
- •3.4.4 Портативные средства видеонаблюдения и съемки
- •3.4.4.1 Средства видеонаблюдения с дальнего расстояния
- •3.4.4.2. Средства видеонаблюдения с близкого расстояния
- •3.4.4.3 Средства фоторазведки и фотодокументирования
- •3.4.5 Классификация вирусов и программ закладок
- •3.4.5.1 Вирусы-программы
- •3.4.5.2 Загрузочные вирусы
- •3.4.5.3 Файловые вирусы
- •3.4.5.4 Полиморфные вирусы, Стелс-вирусы
- •3.4.5.5 Макровирусы, Скрипт-вирусы
- •3.4.5.6 «Троянские программы», программные закладки и сетевые черви.
- •3.4.5.7 Программные закладки
- •3.5 Основные выводы третьей главы
- •4 Типовой объект защиты органов государственной власти
- •4.1 Сегмент органов власти информационной инфраструктуры России
- •4.1.1 Органы государственной власти как объект защиты
- •4.2 Информатизация государства в представлении безопасности информации
- •4.2.1 Особенности формирования информационных технологий на информационную безопасность
- •4.2.2 Цели и задачи государства в связи с распространением угроз безопасности информации
- •4.2.3 Государственная политика использования защищенных информационных технологий
- •4.3 Условия функционирования органов государственной власти
- •4.3.1 Системы электронного документооборота в госорганах России сегодня
- •4.4 Распространение объектно-ориентированного подхода на информационную безопасность
- •4.4.1 Основные понятия объектно-ориентированного
- •4.4.2 Применение объектно-ориентированного подхода к рассмотрению защищаемых систем
- •4.5 Функционально-условный подход к типизации объекта органов государственной власти
- •4.6 Сопоставление угроз и описания объекта
- •4.7 Основные выводы четвертой главы
- •5.1 Сеть Internet
- •5.1.1 Краткие сведения об Internet
- •5.1.2 Состав сети Internet
- •5.1.3 Доступ в Internet
- •5.1.4 Перспективы развития
- •5.2.2 Определение www
- •5.2.3 Области использования www
- •5.4 Язык программирования рнр
- •5.4.1 Основы языка программирования рнр
- •5.4.2 Терминология языка программирования рнр
- •5.4.4 Безопасность php
- •5.5 Система защиты веб-портала
- •5.5.1 Основы системы защиты веб - портала
- •5.5.2 Система разграничения доступа
- •5.5.2.1 Межсетевые экраны прикладного уровня
- •5.5.2.2 Межсетевые экраны с пакетной фильтрацией
- •5.5.2.3 Гибридные межсетевые экраны
- •5.5.4 Система контроля целостности
- •5.5.5 Криптографическая система
- •5.5.6 Система обнаружения атак
- •5.6 Основные выводы пятой главы
- •Заключение
- •394026 Воронеж, Московский просп., 14
3.5 Основные выводы третьей главы
Проведён анализ существующих моделей угроз, представленных в нормативно – методических документах РФ. На основе данного анализа разработана подробная классификация возможных угроз безопасности информации в органах государственной власти. Выявлены возможных средств атаки на информационные объекты в органах государственной власти, с последующим представлением примеров средств атаки.
4 Типовой объект защиты органов государственной власти
4.1 Сегмент органов власти информационной инфраструктуры России
Основной механизм реализации государственной политики в сфере использования информационных технологий в деятельности федеральных органов государственной власти Российской Федерации (ОГВ РФ) был заложен в мероприятиях Федеральной целевой программы «Электронная Россия (2002-2010 годы)», утвержденной Правительством РФ в январе 2002 года.[97]
В процессе реализации этой программы решались в основном задачи информатизации органов государственной власти и развития телекоммуникационной инфраструктуры. Предполагалось, что будет заложена основа создания единой информационно-технологической и телекоммуникационной инфраструктуры для органов государственной власти и органов местного самоуправления. В развитие ведомственных инфраструктур были вложены большие средства. Однако, преобладание ведомственного подхода к созданию информационных систем, как правило, по отдельным не согласованным между собой проектам и на разных аппаратно-программных платформах и технологиях, не позволило решить поставленную интеграционную задачу. Единый системный подход к интеграции ведомственных автоматизированных информационных систем сформирован не был [1].
4.1.1 Органы государственной власти как объект защиты
В соответствии с основными положениями Доктрины информационной безопасности Российской Федерации обеспечение необходимого уровня безопасности государственных информационных систем и ресурсов, их целостности и конфиденциальности основано на применении единых требований защиты информации от несанкционированного доступа или изменения, воздействия компьютерных атак и вирусов, а также на использовании сертифицированных отечественных средств предупреждения и обнаружения компьютерных атак и защиты информации, разрабатываемых и производимых организациями, получившими в установленном порядке необходимые лицензии.
Применение криптографических средств защиты информации является обязательным для информационных систем и ресурсов, содержащих сведения, составляющие государственную тайну.[99]
Контроль использования и защита государственных информационных систем и ресурсов от несанкционированных действий должны обеспечиваться на основе создания комплексной системы мониторинга и учета операций при работе с государственными информационными системами и ресурсами.
Деятельность федеральных органов государственной власти в области обеспечения безопасности информации, подлежащей обязательной защите, регулируется нормативными правовыми актами, издаваемыми в установленном порядке.
Основными направлениями повышения уровня защищенности объектов общей информационно-технологической инфраструктуры федеральных органов государственной власти являются: обеспечение комплексного подхода к решению задач информационной безопасности с учетом необходимости дифференцирования ее уровня в различных федеральных органах государственной власти; разработка модели угроз информационной безопасности; определение технических требований и критериев определения критических объектов информационно-технологической инфраструктуры, создание реестра критически важных объектов, разработка мер по их защите и средств надзора за соблюдением соответствующих требований; обеспечение эффективного мониторинга состояния информационной безопасности; совершенствование нормативной правовой и методической базы в области защиты государственных информационных систем и ресурсов, формирование единого порядка согласования технических заданий на обеспечение информационной безопасности государственных информационных систем и ресурсов; проведение уполномоченными федеральными органами государственной власти аттестации государственных информационных систем и ресурсов, используемых в деятельности федеральных органов государственной власти, и контроль их соответствия требованиям информационной безопасности; создание физически обособленного телекоммуникационного сегмента специального назначения, обеспечивающего возможность обмена в электронном виде информацией, содержащей государственную тайну, ограниченным кругом органов государственной власти; развитие средств защиты информации, систем обеспечения безопасности электронного документооборота, системы контроля действий государственных служащих по работе с информацией, развитие и совершенствование защищенных средств обработки информации общего применения, систем удостоверяющих центров в области электронной цифровой подписи, а также систем их сертификации и аудита. Основные принципы и направления реализации единой государственной политики в области использования информационных технологий
Государственная политика в области использования информационных технологий в деятельности федеральных органов государственной власти основана на следующих принципах: подчинение процессов использования информационных технологий решению приоритетных задач социально-экономического развития, модернизации системы государственного управления, обеспечения обороноспособности и национальной безопасности страны; определение направлений и объемов бюджетных расходов в области использования информационных технологий в государственном управлении на основе конкретных измеримых результатов и показателей эффективности деятельности федеральных органов государственной власти; консолидация бюджетных средств на создании государственных информационных систем , имеющих важное социально-экономическое и политическое значение; централизованное создание общих для федеральных органов государственной власти элементов информационно-технологической инфраструктуры; обеспечение согласованности и сбалансированности внедрения информационных технологий в деятельность федеральных органов государственной власти; согласованность нормативной правовой и методической базы в сфере информационных технологий на всех уровнях; открытость и прозрачность использования информационных технологий в деятельности федеральных органов государственной власти; исключение дублирования бюджетных расходов на создание государственных информационных ресурсов и систем; унификация элементов информационно-технологической инфраструктуры, использование типовых решений при создании государственных информационных систем федеральных органов государственной власти.
Формирование общего информационного пространства и защищенной информационной среды федеральных органов государственной власти
Общее информационное пространство включает государственные информационные системы федеральных органов государственной власти и формируется на основе развития: единой защищенной телекоммуникационной инфраструктуры для государственных нужд; системы удостоверяющих центров в области электронной цифровой подписи уполномоченных лиц федеральных органов государственной власти; электронной среды взаимодействия федеральных органов государственной власти.
Единая защищенная телекоммуникационная инфраструктура для государственных нужд создается на основе интеграции существующих и создаваемых телекоммуникационных сетей федеральных органов государственной власти, сетей органов власти субъектов Российской Федерации и органов местного самоуправления, а также сетей общего пользования.
Единая защищенная телекоммуникационная инфраструктура для государственных нужд обеспечивает: комплекс современных информационно-коммуникационных услуг на основе объединения информационных, технических и телекоммуникационных возможностей сетей связи и передачи данных (в том числе голосовых и видео), унификации используемых при ее построении решений; создание общей транспортной среды для регламентированного информационного обмена и взаимодействия федеральных органов государственной власти между собой; взаимный доступ федеральных органов государственной власти к государственным информационным ресурсам друг друга, а также доступ каждого из них к информационным ресурсам сети Интернет; пропускную способность, достаточную для качественной и надежной передачи информационных потоков; гарантированный уровень безопасности государственных информационных систем, ресурсов и технологий.
Система удостоверяющих центров в области электронной цифровой подписи уполномоченных лиц федеральных органов государственной власти позволяет обеспечить реализацию основных функций электронного документооборота в соответствии с Федеральным законом "Об электронной цифровой подписи" и включает: федеральный удостоверяющий центр в области электронной цифровой подписи; удостоверяющие центры федеральных органов государственной власти и их территориальных подразделений.
Уполномоченный федеральный орган исполнительной власти в области использования электронной цифровой подписи ведет единый государственный реестр сертификатов ключей подписей удостоверяющих центров и реестр сертификатов ключей подписей уполномоченных лиц федеральных органов государственной власти.
Электронная среда взаимодействия федеральных органов государственной власти обеспечивает интеграцию и совместную работу государственных информационных систем, автоматизированный обмен данными между ними на межведомственном уровне и формируется на основе создания: реестра, содержащего описание государственных информационных систем и ресурсов, способов и интерфейсов взаимодействия с ними, а также используемых схем организации обмена данными; инфраструктуры и механизмов маршрутизации, трансформации и гарантированной доставки сообщений и данных между отдельными государственными информационными системами.
Развитие электронной среды взаимодействия федеральных органов государственной власти позволяет устранить дублирование ввода на уровне ведомств однотипных данных, обеспечить согласованное функционирование государственных информационных систем отдельных федеральных органов государственной власти в рамках общего информационного пространства федеральных органов государственной власти.
Разработка единых требований к основным элементам информационно-технологического обеспечения
Формирование общих стандартов создания, интеграции и совместного использования типовых элементов информационно-технологической инфраструктуры федеральных органов государственной власти позволит обеспечить согласованное развитие и совместимость между собой применяемых программно-технических решений.
Общие стандарты создания типовых элементов информационно-технологической инфраструктуры определяют общие требования и порядок выполнения работ по их проектированию, реализации, внедрению, эксплуатации и развитию.
Стандарты утверждаются для следующих типовых элементов информационно-технологической инфраструктуры федеральных органов государственной власти: системы взаимодействия с гражданами и организациями, обеспечивающие предоставление им федеральными органами государственной власти через сеть Интернет или другие каналы связи справочной информации и государственных услуг; учетные системы, обеспечивающие поддержку выполнения федеральными органами государственной власти основных задач и функций; системы межведомственного взаимодействия и информационного обмена сообщениями и данными между государственными информационными системами и ресурсами; системы управления государственными информационными ресурсами; офисные системы, используемые сотрудниками федеральных органов государственной власти в повседневной деятельности для подготовки документов и обмена информацией; информационно-аналитические системы, обеспечивающие сбор, обработку, хранение и анализ данных о состоянии закрепленных за федеральными органами государственной власти сфер государственного регулирования и результатах выполнения ими основных задач и функций; системы управления электронными архивами документов; системы управления проектами; системы информационной безопасности; системы управления эксплуатацией
В целях интеграции, совместного использования и информационного взаимодействия государственных информационных систем на межведомственном уровне утверждаются стандарты метаданных информационных объектов, стандарты описания государственных информационных систем и ресурсов, стандарты предоставления информационных сервисов, стандарты информационного электронного обмена и сетевого взаимодействия.
Стандарты создания типовых элементов информационно-технологического обеспечения федеральных органов государственной власти, взаимодействия и интеграции государственных информационных систем между собой рассматриваются и рекомендуются для утверждения в установленном порядке. В целях согласования и координации деятельности федеральных органов государственной власти по использованию информационных технологий предлагается создать межведомственный координационный (совещательный) орган при Министерстве информационных технологий и связи Российской Федерации, включив в него представителей заинтересованных федеральных органов государственной власти. Контроль соблюдения стандартов осуществляется федеральным органом исполнительной власти, на который возложены функции по выработке государственной политики и нормативно-правовому регулированию в сфере информационных технологий.