- •Воронеж 2008
- •Воронеж 2008
- •Введение
- •1 Разработка средств обеспечения инофрмационных технологий в подготовке принятия решений по документационному обеспечению защиты информации в органах государственной власти
- •1.1 Информационная сфера как объект правового регулирования
- •1.1.1 Информация как объект правового регулирования
- •1.1.2.1 Официальная правовая информация
- •1.1.2.2 Информация индивидуально - правового характера, имеющая юридическое значение
- •1.1.2.3 Неофициальная правовая информация
- •1.2 Правовое регулирование в сфере обеспечения информационной безопасности в органах государственной власти
- •1.2.1 Нормативное правовое обеспечение информационной безопасности в органах государственной власти
- •1.2.2 Система нормативных правовых документов в области защиты информации в органах государственной власти
- •1.2.3 Анализ состояния нормативной правовой базы в сфере защиты информации в органах государственной власти
- •1.2.4 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти
- •1.2.4.1 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти на федеральном уровне
- •1.2.4.2 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти на региональном уровне
- •1.3 Обзор зарубежного законодательства в области защиты информации
- •Другие Указы президента посвящены следующим вопросам:
- •1.4.2 Основные направления совершенствования нормативного правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти
- •1.5 Основные выводы первой главы
- •2 Исследование методов и моделей поддержки принятия решений в управленческой деятельности и разработка средства принятия решений по вопросам защиты информации в органах государственной власти
- •2.1 Выявление недостатков законодательства рф в сфере поддержки принятия решений по информационной безопасности
- •2.2 Теория принятия решения в области защиты информации в органах государственной власти
- •2.2.1 Основные понятия, термины и определения
- •2.2.2 Перечень этапов процесса принятия решения
- •2.3.2 Анализ и разработка метода принятия решения в области защиты информации в органе государственной власти.
- •2.3.3 Разработка средства поддержки принятия решения в сфере информационной безопасности на основе метода анр
- •2.3.3.1 Область применения и интерфейс программного продукта
- •2.4 Основные выводы второй главы
- •3 Разработка классификации угроз безопасности информации в органах государственной власти
- •3.1 Анализ состояния современной системы защиты в органах государственной власти рф.
- •3.2 Классификация угроз безопасности информации
- •3.3 Угрозы утечки информации по техническим каналам
- •3.3.1 Угрозы утечки информации по каналам побочных электромагнитных излучений и наводок
- •3.3.2 Угрозы утечки акустической информации по техническим каналам
- •3.3.3 Угрозы несанкционированного доступа к информации в компьютерных системах
- •3.3.3.1 Угрозы несанкционированного доступа к информации на отдельном автоматизированном рабочем месте оператора
- •3.3.3.3 Угрозы от программных закладок
- •3.3.3.4 Угрозы несанкционированного доступа к информации в компьютерной сети
- •3.4 Средства съёма
- •3.4.1 Портативные средства акустической разведки
- •3.4.1.1 Проводные системы, портативные диктофоны и электронные стетоскопы
- •3.4.1.2 Акустические закладки
- •3.4.1.3 Направленные микрофоны и лазерные акустические системы разведки
- •3.4.2 Портативные средства радио-, радиотехнической разведки
- •3.4.2.1 Сканерные приемники
- •3.4.2.2 Программно-аппаратные комплексы радио-, радиотехнической разведки
- •3.4.2.3 Средства перехвата пейджинговых сообщений и контроля телефонов сотовой связи
- •3.4.2.4 Радиопеленгаторы
- •3.4.4 Портативные средства видеонаблюдения и съемки
- •3.4.4.1 Средства видеонаблюдения с дальнего расстояния
- •3.4.4.2. Средства видеонаблюдения с близкого расстояния
- •3.4.4.3 Средства фоторазведки и фотодокументирования
- •3.4.5 Классификация вирусов и программ закладок
- •3.4.5.1 Вирусы-программы
- •3.4.5.2 Загрузочные вирусы
- •3.4.5.3 Файловые вирусы
- •3.4.5.4 Полиморфные вирусы, Стелс-вирусы
- •3.4.5.5 Макровирусы, Скрипт-вирусы
- •3.4.5.6 «Троянские программы», программные закладки и сетевые черви.
- •3.4.5.7 Программные закладки
- •3.5 Основные выводы третьей главы
- •4 Типовой объект защиты органов государственной власти
- •4.1 Сегмент органов власти информационной инфраструктуры России
- •4.1.1 Органы государственной власти как объект защиты
- •4.2 Информатизация государства в представлении безопасности информации
- •4.2.1 Особенности формирования информационных технологий на информационную безопасность
- •4.2.2 Цели и задачи государства в связи с распространением угроз безопасности информации
- •4.2.3 Государственная политика использования защищенных информационных технологий
- •4.3 Условия функционирования органов государственной власти
- •4.3.1 Системы электронного документооборота в госорганах России сегодня
- •4.4 Распространение объектно-ориентированного подхода на информационную безопасность
- •4.4.1 Основные понятия объектно-ориентированного
- •4.4.2 Применение объектно-ориентированного подхода к рассмотрению защищаемых систем
- •4.5 Функционально-условный подход к типизации объекта органов государственной власти
- •4.6 Сопоставление угроз и описания объекта
- •4.7 Основные выводы четвертой главы
- •5.1 Сеть Internet
- •5.1.1 Краткие сведения об Internet
- •5.1.2 Состав сети Internet
- •5.1.3 Доступ в Internet
- •5.1.4 Перспективы развития
- •5.2.2 Определение www
- •5.2.3 Области использования www
- •5.4 Язык программирования рнр
- •5.4.1 Основы языка программирования рнр
- •5.4.2 Терминология языка программирования рнр
- •5.4.4 Безопасность php
- •5.5 Система защиты веб-портала
- •5.5.1 Основы системы защиты веб - портала
- •5.5.2 Система разграничения доступа
- •5.5.2.1 Межсетевые экраны прикладного уровня
- •5.5.2.2 Межсетевые экраны с пакетной фильтрацией
- •5.5.2.3 Гибридные межсетевые экраны
- •5.5.4 Система контроля целостности
- •5.5.5 Криптографическая система
- •5.5.6 Система обнаружения атак
- •5.6 Основные выводы пятой главы
- •Заключение
- •394026 Воронеж, Московский просп., 14
1.2.2 Система нормативных правовых документов в области защиты информации в органах государственной власти
Ввиду сложности проблемы обеспечения информационной безопасности органов государственной власти деятельность в этой сфере может быть регламентирована и обеспечена только системой взаимосвязанных документов. Такая система документов включает документы различного уровня и назначения.
По функционально-целевому назначению документы по ЗИ подразделяются на следующие основные классы:
нормативные правовые акты (документы);
организационно-распорядительные документы;
нормативные документы;
плановые документы;
информационные документы.
В нормативных правовых актах (документах) определяются концептуальные, правовые и организационные, в том числе:
основные направления государственной политики в области ЗИ;
органы государственной власти, ответственные за организацию ЗИ, сфера их компетентности;
основные права и обязанности органов государственной власти и местного самоуправления, предприятий, учреждений, организаций и граждан в области ЗИ;
виды и формы ответственности за нарушение правовых норм и требований по ЗИ;
основные правила и процедуры лицензирования деятельности в области защиты информации;
основные правила и процедуры сертификации средств защиты информации;
Нормативные правовые акты в области ТЗИ включают:
федеральные законы, законы субъектов РФ;
указы и распоряжения Президента РФ;
постановления и распоряжения органов исполнительной и судебной власти РФ, органов исполнительной власти субъектов РФ;
постановления органов местного самоуправления.
Такие документы могут быть специальными, целиком посвященными вопросам ЗИ, или носить общий характер и содержать отдельные положения (разделы) по ЗИ.
Организационно-распорядительные документы в области ЗИ определяют состав и регламентируют деятельность соответствующих органов и служб при организации и осуществлении ЗИ[18].
По характеру регламентируемых вопросов и продолжительности действия организационно-распорядительные документы подразделяют на два вида:
основополагающие (руководящие) документы;
распорядительные документы (документы оперативного управления).
Основополагающие (руководящие) документы помимо самостоятельного использования служат основой при разработке нормативных, плановых и информационных документов.
Основополагающие (руководящие) документы по ЗИ вводятся в действие нормативными правовыми актами, детализируют и раскрывают положения этих документов. Они устанавливают основные направления, единые принципы, порядок организации ЗИ соответствующими органами и службами с приведением их долговременных задач, функций, прав, обязанностей и мер ответственности.
Основополагающие (руководящие) документы издаются органами исполнительной власти и являются обязательными в пределах установленной при их утверждении сферы действия и области распространения.
Основными видами основополагающих (руководящих) документов по ЗИ являются: концепции, положения, руководства, наставления, инструкции, уставы, правила.
В концепциях ЗИ на основе нормативных правовых актов формулируются:
направления государственной политики в области ЗИ;
основные цели и задачи ЗИ;
угрозы безопасности информации;
принципы осуществления защиты, типовые методы и способы защиты;
основные направления политики в создании средств ЗИ и средств контроля эффективности защиты информации;
принципы оценки эффективности и показатели эффективности защиты информации.
Положения по ЗИ издаются на основе правовых актов и принятых концепций по защите и детализируют указанные документы, в основном, по вопросам организации ЗИ и, в частности, регламентируют:
основные направления работ по ЗИ;
структуру органов и служб, ответственных за организацию и осуществление ЗИ, их права и обязанности;
порядок организации и проведения типовых работ по ЗИ для основных объектов защиты;
Детальные разъяснения отдельных практических вопросов по организации и осуществлению ЗИ, включаются в соответствующие инструкции и правила.
Распорядительные документы - документы текущего (оперативного) управления издаются во исполнение или в дополнение к основополагающим документам[18]. Они устанавливают направления, методы (способы, приемы) организации работ по ЗИ в зависимости от возникающих конкретных задач управления и условий защиты информации.
Основными видами распорядительных документов по ЗИ являются решения, приказы, директивы, распоряжения, указания.
Нормативные документы устанавливают единые требования, нормы и правила ЗИ, обязательные для исполнения в пределах установленной при их введении сферы действия и области их распространения[16].
Основными видами нормативных документов в области ЗИ являются:
специальные нормативные документы;
нормативные документы государственной системы стандартизации. Наряду с государственными стандартами отдельные вопросы ЗИ для различных объектов защиты регламентируются в стандартах отраслей, предприятий, а также в технических условиях на отдельные виды продукции и в других нормативных документах.
Видами специальных нормативных документов по защите информации являются:
нормы и требования по эффективности защиты информации от технических разведок;
модели и методики (например, модели угроз безопасности информации, методики оценки возможностей средств технической разведки, оценки эффективности мероприятий по защите информации, контроля эффективности защиты информации и др.);
лицензии предприятиям на право осуществления работ по защите информации;
сертификаты соответствия средств защиты информации требованиям нормативных документов по защите (безопасности) информации.
аттестаты соответствия защищаемых объектов информатизации требованиям нормативных документов по защите (безопасности) информации.
Плановые документы включают специальные целевые программы и планы в области защиты информации или разделы программ и планов более общего характера, содержащие мероприятия по защите информации.
Информационные документы служат для информационного обеспечения решения задач организации и осуществления защиты информации[16]. По форме представления информационные документы могут быть следующих видов:
методические пособия и рекомендации (например, по способам и средствам защиты информации и др.);
справочные документы (справочные пособия, единые исходные данные и др.);
отчетная научно-техническая документация;
учебная и научная литература;
документы служебного делопроизводства (акты, журналы и др.).
По степени общности регламентируемых вопросов документы подразделяются на следующие уровни:
общесистемные документы в области ЗИ (документы общегосударственного уровня), регламентирующие деятельность Государственной системы защиты информации в целом;
региональные документы в области ЗИ (документы регионального уровня), регламентирующие деятельность конкретных субъектов РФ.
Общесистемные документы применяются непосредственно при выполнении работ по ЗИ в субъектах РФ и используются при разработке региональных документов.
Региональные документы также применяются непосредственно при выполнении работ по ЗИ в субъектах РФ и, в свою очередь, используются при разработке документов нижестоящих уровней:
документов по ЗИ муниципальных образований в субъектах РФ;
документов по ЗИ предприятий (учреждений, организаций);
документов по ЗИ на конкретных объектах защиты, входящих в состав предприятий (учреждений, организаций).