- •Воронеж 2008
- •Воронеж 2008
- •Введение
- •1 Разработка средств обеспечения инофрмационных технологий в подготовке принятия решений по документационному обеспечению защиты информации в органах государственной власти
- •1.1 Информационная сфера как объект правового регулирования
- •1.1.1 Информация как объект правового регулирования
- •1.1.2.1 Официальная правовая информация
- •1.1.2.2 Информация индивидуально - правового характера, имеющая юридическое значение
- •1.1.2.3 Неофициальная правовая информация
- •1.2 Правовое регулирование в сфере обеспечения информационной безопасности в органах государственной власти
- •1.2.1 Нормативное правовое обеспечение информационной безопасности в органах государственной власти
- •1.2.2 Система нормативных правовых документов в области защиты информации в органах государственной власти
- •1.2.3 Анализ состояния нормативной правовой базы в сфере защиты информации в органах государственной власти
- •1.2.4 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти
- •1.2.4.1 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти на федеральном уровне
- •1.2.4.2 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти на региональном уровне
- •1.3 Обзор зарубежного законодательства в области защиты информации
- •Другие Указы президента посвящены следующим вопросам:
- •1.4.2 Основные направления совершенствования нормативного правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти
- •1.5 Основные выводы первой главы
- •2 Исследование методов и моделей поддержки принятия решений в управленческой деятельности и разработка средства принятия решений по вопросам защиты информации в органах государственной власти
- •2.1 Выявление недостатков законодательства рф в сфере поддержки принятия решений по информационной безопасности
- •2.2 Теория принятия решения в области защиты информации в органах государственной власти
- •2.2.1 Основные понятия, термины и определения
- •2.2.2 Перечень этапов процесса принятия решения
- •2.3.2 Анализ и разработка метода принятия решения в области защиты информации в органе государственной власти.
- •2.3.3 Разработка средства поддержки принятия решения в сфере информационной безопасности на основе метода анр
- •2.3.3.1 Область применения и интерфейс программного продукта
- •2.4 Основные выводы второй главы
- •3 Разработка классификации угроз безопасности информации в органах государственной власти
- •3.1 Анализ состояния современной системы защиты в органах государственной власти рф.
- •3.2 Классификация угроз безопасности информации
- •3.3 Угрозы утечки информации по техническим каналам
- •3.3.1 Угрозы утечки информации по каналам побочных электромагнитных излучений и наводок
- •3.3.2 Угрозы утечки акустической информации по техническим каналам
- •3.3.3 Угрозы несанкционированного доступа к информации в компьютерных системах
- •3.3.3.1 Угрозы несанкционированного доступа к информации на отдельном автоматизированном рабочем месте оператора
- •3.3.3.3 Угрозы от программных закладок
- •3.3.3.4 Угрозы несанкционированного доступа к информации в компьютерной сети
- •3.4 Средства съёма
- •3.4.1 Портативные средства акустической разведки
- •3.4.1.1 Проводные системы, портативные диктофоны и электронные стетоскопы
- •3.4.1.2 Акустические закладки
- •3.4.1.3 Направленные микрофоны и лазерные акустические системы разведки
- •3.4.2 Портативные средства радио-, радиотехнической разведки
- •3.4.2.1 Сканерные приемники
- •3.4.2.2 Программно-аппаратные комплексы радио-, радиотехнической разведки
- •3.4.2.3 Средства перехвата пейджинговых сообщений и контроля телефонов сотовой связи
- •3.4.2.4 Радиопеленгаторы
- •3.4.4 Портативные средства видеонаблюдения и съемки
- •3.4.4.1 Средства видеонаблюдения с дальнего расстояния
- •3.4.4.2. Средства видеонаблюдения с близкого расстояния
- •3.4.4.3 Средства фоторазведки и фотодокументирования
- •3.4.5 Классификация вирусов и программ закладок
- •3.4.5.1 Вирусы-программы
- •3.4.5.2 Загрузочные вирусы
- •3.4.5.3 Файловые вирусы
- •3.4.5.4 Полиморфные вирусы, Стелс-вирусы
- •3.4.5.5 Макровирусы, Скрипт-вирусы
- •3.4.5.6 «Троянские программы», программные закладки и сетевые черви.
- •3.4.5.7 Программные закладки
- •3.5 Основные выводы третьей главы
- •4 Типовой объект защиты органов государственной власти
- •4.1 Сегмент органов власти информационной инфраструктуры России
- •4.1.1 Органы государственной власти как объект защиты
- •4.2 Информатизация государства в представлении безопасности информации
- •4.2.1 Особенности формирования информационных технологий на информационную безопасность
- •4.2.2 Цели и задачи государства в связи с распространением угроз безопасности информации
- •4.2.3 Государственная политика использования защищенных информационных технологий
- •4.3 Условия функционирования органов государственной власти
- •4.3.1 Системы электронного документооборота в госорганах России сегодня
- •4.4 Распространение объектно-ориентированного подхода на информационную безопасность
- •4.4.1 Основные понятия объектно-ориентированного
- •4.4.2 Применение объектно-ориентированного подхода к рассмотрению защищаемых систем
- •4.5 Функционально-условный подход к типизации объекта органов государственной власти
- •4.6 Сопоставление угроз и описания объекта
- •4.7 Основные выводы четвертой главы
- •5.1 Сеть Internet
- •5.1.1 Краткие сведения об Internet
- •5.1.2 Состав сети Internet
- •5.1.3 Доступ в Internet
- •5.1.4 Перспективы развития
- •5.2.2 Определение www
- •5.2.3 Области использования www
- •5.4 Язык программирования рнр
- •5.4.1 Основы языка программирования рнр
- •5.4.2 Терминология языка программирования рнр
- •5.4.4 Безопасность php
- •5.5 Система защиты веб-портала
- •5.5.1 Основы системы защиты веб - портала
- •5.5.2 Система разграничения доступа
- •5.5.2.1 Межсетевые экраны прикладного уровня
- •5.5.2.2 Межсетевые экраны с пакетной фильтрацией
- •5.5.2.3 Гибридные межсетевые экраны
- •5.5.4 Система контроля целостности
- •5.5.5 Криптографическая система
- •5.5.6 Система обнаружения атак
- •5.6 Основные выводы пятой главы
- •Заключение
- •394026 Воронеж, Московский просп., 14
4.2.1 Особенности формирования информационных технологий на информационную безопасность
Оценка общего состояния использования ИТ в федеральных органах власти проведена на основании специальных анкет (более 100 показателей), аналитических записок к ним и комментариев руководителей, ответственных за информатизацию ведомств. Их анализ показал, что процесс превращения ОГВ в современные технологически насыщенные организации начался, однако общий уровень их использования по всей системе федеральных органов власти еще далек от желаемого и сильно уступает аналогичному уровню западных стран.
Общий объем финансирования ведомственных программ информатизации (по 41 ведомству), за 2001 – 2003 года составил около 21,6 миллиардов рублей (в том числе 7,5 миллиардов рублей в 2003 год). Эта сумма включает и расходы федерального бюджета и ФЦП почти в 16,4 миллиардов рублей или 0,29 % всей его расходной части. Формально по этому показателю Россия уступает странам со сходным уровнем благосостояния, например, в Малайзии и Бразилии ежегодные расходы на информатизацию центральных ОГВ составляют 0,64 и 0,55 % от средств центральных бюджетов, но опережает Польшу (0,25 %).
Государство является крупнейшим заказчиком информационных продуктов, однако фактический объем его затрат на эти цели определить невозможно из-за отсутствия точного учета расходов на информатизацию из бюджетных источников. По данным международных исследований, в целом государство потребляет около 18 % от общего объема российского рынка ИТ продуктов и услуг, доля этих расходов в ВВП России в 2003 г. достигнет 0,2 %, что вполне сравнимо с аналогичным показателем стран с близким уровнем душевого ВВП.
Финансирование работ ОГВ по информатизации непрозрачно и распределено по множеству направлений и программ. В явном виде расходы на ИТ не выделяются ни в федеральном бюджете, ни в рамках большинства ФЦП, ни в рамках бюджетов ведомств. Анализ анкет показывает, что в структуре источников финансирования ИТ преобладают средства федерального бюджета и внебюджетных фондов. В последующие годы ожидается повышение значимости внешних источников финансирования в связи с предполагаемым привлечением кредитов Международного банка реконструкции и развития. По четырем кредитным линиям на внедрение ИТ планируется освоить более 19 млрд. руб., в том числе почти 2,5 млрд. уже в 2004 г.[95]
Сегодня в структуре расходов ведомств на ИТ, в отличие от ранних периодов информатизации, когда львиная доля расходов уходила на приобретение средств ВТ, на аппаратное обеспечение приходится 21 %, 13 % - на прокладку вычислительных сетей, 16 % - на программное обеспечение и проектные работы, 14 % - на услуги связи, 11 % - на техническую поддержку, и 25 % - на прочие расходы.
Финансирование ИТ в разрезе ведомств крайне неравномерно. Около 70 % всех средств расходуются шестью ведомствами, реализующими, в основном, функции управления государственными финансами и собственностью. Если средние расходы на ИТ (по 32 ведомствам) на одного сотрудника составят за 3 года (2001 - 2003 годах) 23,7 тысяч рублей, то в пяти отстающих ведомствах они ниже 10 тысяч рублей, а у первой шестерки превысили 200 тыс. Подобный разброс обусловлен не только разной информационной насыщенностью выполняемых функций и возрастающими диспропорциями в их информационном развитии. Зачастую он порожден неэффективным использованием средств при закупках оборудования и технологий.
Ведомства существенно различаются своими организационными и кадровыми возможностями. Так, всего 14 (из 41) имеют разработанные комплексные программы автоматизации, и только 30 содержат специальные ИТ-подразделения в своей структуре. Большинство ведомств испытывают нехватку квалифицированных сотрудников из-за низкого уровня оплаты труда, в 3 - 4 раза уступающего большим российским компаниям.
Базовое информационно-технологическое обеспечение (ИТО) у большинства федеральных ведомств достигло удовлетворительного состояния, однако налицо значительный разрыв между ведомствами в уровне обеспеченности ИТ. Причем, если в центральном аппарате 23 федеральных ведомств персональные компьютеры (часть устаревшие модели) имеют уже 78 % служащих, то в целом (с учетом территориальных органов) - лишь 31 %.
Уровень подключения служащих к ведомственным сетям - "относительно удовлетворительный". Доступом к ним обеспечены 61 % сотрудников в центральных аппаратах, а в целом (с учетом территориальных органов) - 25 %. Но это в среднем. Если в развитых ведомствах к ним подключено 100 % специалистов, то в "отстающих" - лишь 3 %. Подключение к глобальным сетям передачи данных все еще остается проблемой.
Только 19 % специалистов в центральных аппаратах, а в целом лишь 1 % сотрудников министерств и ведомств подключены к сети Интернет. В значительной мере это объясняется полным отсутствием внешних каналов, либо их недостаточной пропускной способностью. От ведомства к ведомству она варьируется в широких пределах - от 28 кбит/с до 100 Мбит/с. Проблема усугубляется отсутствием защищенной общефедеральной сети передачи данных.
Автоматизированные системы управления, как сказано в докладе, не основаны на унифицированных подходах, фрагментарны и не интегрированы на федеральном уровне. Так, системы электронного документооборота (СЭД) различного уровня внедрены в 32 ведомствах, однако только одна из них позволяет осуществлять весь диапазон работы с документами, требующими электронной подписи. Так что типичной остается ситуация, когда параллельно с СЭД существует бумажный оборот документов.
ИС бухгалтерского и финансового учета внедрены в подавляющем большинстве федеральных ведомств (85 %). Комплексная система управления государственными финансами ИС "Финансы", реализованная в федеральном казначействе и подразделениях Минфина, позволяет управлять разработкой и исполнением федерального бюджета и поддерживать финансовые операции с федеральными и региональными органами власти. Однако более 15 различных финансовых ИС в 41 ведомстве до сих пор не интегрированы друг с другом и с ИС "Финансы".
Аналогичная ситуация наблюдается с ИС управления кадрами (оснащено 69 % ведомств) и материальными ресурсами (53 %) - до их интеграции на федеральном уровне предстоит еще долгий путь. Здесь реальные достижения пока ограничиваются реализацией пилотных проектов на региональном и муниципальном уровнях. В рамках ФЦП "Электронная Россия" Минэкономразвития проведен тендер по проекту "Разработка и создание первой очереди системы электронной торговли для осуществления закупок для федеральных органов власти".
Специализированные информационные ресурсы (ИР) и прикладные системы ведомств существенно различаются. Насыщенность ими зависит от сложности и интенсивности информационных потоков, специфики объектов управления, требований к срочности передачи и обработки данных, к их структуре и содержанию, к регулярности обновления информации.
Наиболее распространенным видом ИС являются отраслевые электронные базы данных. По собранным данным, в 25 ведомствах действуют 174 базы данных. Общий объем информации, хранимой в 126 из них, превышает 8500 Гбайт. Две трети указанных в анкетах информационных ресурсов созданы на базе современных СУБД (Oracle, Interbase, MS SQL и др.), однако остальные действуют на устаревших низкофункциональных платформах (Clipper, FoxPro, Excel). Необходимость создания 21 базы данных в различных функциональных областях отметили 8 ведомств, что говорит о значительном количестве структурированной информации, все еще хранящейся в бумажном виде.[93]
Единые многоуровневые ИАС в разной степени реализованы в 14 ведомствах, а еще в 16 спроектированы и находятся на ранних стадиях внедрения.
Специализированные распределенные системы для автоматического обмена, обработки и анализа информации внедряются в 13 ведомствах, имеющих значительный объем взаимодействий с гражданами и предприятиями. Наибольшие успехи здесь достигнуты в МНС, Минфине и ГТК. Так, МНС планирует перевести уже в этом году на единую систему электронной обработки налоговых данных 407 инспекций (обеспечивают более 80 % всех налоговых поступлений), а к концу 2005 г. распространить на всю страну. В то же время часть ведомств (Минтруда, Госстрой, Минобразование и др.) продолжает обрабатывать поступающие данные вручную, объясняя это отсутствием средств.
Необходимым условием для развертывания комплексных ИС является грамотный анализ бизнес-процессов на всех уровнях, наличие мощной инфокоммуникационной структуры, качественных источников информации и профессиональных ИТ-служб. Там, где этого не достает, - проектные решения проработаны недостаточно, функции сформулированы нечетко, а межведомственный обмен данными слаб.
Элементы электронного правительства уже налицо. Практически все федеральные ведомства в настоящее время представлены в сети Интернет, в том числе 58 из 61 органа власти (включая Правительство, Администрацию Президента, палаты Федерального Собрания и Счетную палату) имеют информационные порталы, на которых публикуют данные о своей деятельности, структуре и нормативных документах, контактную информацию и формы отчетности.
Действующие порталы имеют узковедомственный характер и на них не представлены интегрированные государственные информационные ресурсы, ориентированные на удовлетворение более широких потребностей пользователей. Их информационное содержание, как и сервисы, представляемые пользователям, сильно варьируются. По оценке российской ассоциации менеджеров, предоставляют контактную информацию руководителей подразделений только 23 % ведомственных порталов, имеют возможность интерактивных обращений 13 % и лишь 8 % позволяют направлять запросы.[98]
Административные и структурные проблемы определяют в целом невысокий уровень использования ИТ в федеральных ОГВ не менее чем ограниченное финансирование.
Сегодня отсутствует единое видение информатизации как приоритета государства на федеральном уровне. В результате основные ИТ-проекты реализуются в рамках отдельных федеральных и ведомственных программ, цели информатизации на уровне ведомств проработаны недостаточно, а их программы слабо увязаны между собой.
Решения о финансировании проектов принимаются либо по формальному стоимостному признаку, либо исходя из степени влияния ведомства, отстаивающего проект. Требуемая бюджетным процессом экспертиза ТЭО проектов ведомства обычно не представляется, а у профильного федерального ведомства, имеющего соответствующий кадровый потенциал и формальные полномочия для проведения экспертиз, отсутствует действенный механизм их реализации.
Из-за несогласованности приоритетов, неравномерности финансирования и отсутствия эффективного механизма распределения ресурсов важные и информационно насыщенные области управления остаются неохваченными, а на менее значимые (иногда и сомнительные) проекты направляются значительные средства. В то время как у многих ведомств отсутствует даже базовое ИТО, информационно развитые ведомства внедряют сверхспециализированные ИС на базе необоснованно дорогих решений.
Отсутствует единая государственная оценка ИТ-проектов, которая учитывает полезный эффект, получаемый не только конкретным ведомством, но и другими ОГВ и обществом в целом. Оптимизация отбора проектов, исключение их дублирования и повышение интеграции может существенно повысить эффективность государственных вложений в ИТ и позволит экономить на масштабе закупок.
Серьезной помехой является недостаточно действенные механизмы межведомственной координации, учета взаимных интересов и возможностей. Практически все ведомства нуждаются в оперативном обмене, а зачастую и в прямом доступе к информационным источникам других ведомств. Примером может служить процесс возврата государством экспортного НДС, который требует оперативного взаимодействия между ГТК и МНС.
Соответствующий проект включен в ФЦП "Электронная Россия", однако подобных примеров мало. Не располагая достаточной информацией о ресурсах и ИС других, ведомство каждое стремится действовать самостоятельно, а в результате приходит дублирование информационных ресурсов и низкая эффективность внедряемых ведомствами систем.
Существенно затрудняет интеграцию ИС использование ведомствами различных средств разработки приложений и платформ для баз данных. Например, в МВД применяют платформы компании Oracle, а в МИД России - Microsoft. Так что даже при высоком уровне внутриведомственной информатизации, обмен данными между ведомствами происходит по электронной почте, а иногда и в бумажной форме.
Это положение поддерживается не только недостатком координации, но и нормативными положениями, ограничивающими выбор поставщиков и формы обмена данными. Так как полноценное введение в действие ФЗ "Об электронной цифровой подписи" затруднено отсутствием соответствующих подзаконных актов, и обмен информацией с юридическим статусом остается ограниченным.
Разобщенность ведомств не дает возможности использовать эффект экономии на масштабе ИТ-закупок. Параллельные независимые закупки ведут к дублированию расходов на услуги консалтинговых компаний, не позволяют добиться от поставщиков крупных оптовых скидок, порождают рост расходов на организацию и проведение торгов. Централизация госзакупок ИТ-продуктов экономит до 30 % бюджетных средств, повышает качество приобретаемых услуг и облегчает их последующую техническую интеграцию.