- •Воронеж 2008
- •Воронеж 2008
- •Введение
- •1 Разработка средств обеспечения инофрмационных технологий в подготовке принятия решений по документационному обеспечению защиты информации в органах государственной власти
- •1.1 Информационная сфера как объект правового регулирования
- •1.1.1 Информация как объект правового регулирования
- •1.1.2.1 Официальная правовая информация
- •1.1.2.2 Информация индивидуально - правового характера, имеющая юридическое значение
- •1.1.2.3 Неофициальная правовая информация
- •1.2 Правовое регулирование в сфере обеспечения информационной безопасности в органах государственной власти
- •1.2.1 Нормативное правовое обеспечение информационной безопасности в органах государственной власти
- •1.2.2 Система нормативных правовых документов в области защиты информации в органах государственной власти
- •1.2.3 Анализ состояния нормативной правовой базы в сфере защиты информации в органах государственной власти
- •1.2.4 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти
- •1.2.4.1 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти на федеральном уровне
- •1.2.4.2 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти на региональном уровне
- •1.3 Обзор зарубежного законодательства в области защиты информации
- •Другие Указы президента посвящены следующим вопросам:
- •1.4.2 Основные направления совершенствования нормативного правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти
- •1.5 Основные выводы первой главы
- •2 Исследование методов и моделей поддержки принятия решений в управленческой деятельности и разработка средства принятия решений по вопросам защиты информации в органах государственной власти
- •2.1 Выявление недостатков законодательства рф в сфере поддержки принятия решений по информационной безопасности
- •2.2 Теория принятия решения в области защиты информации в органах государственной власти
- •2.2.1 Основные понятия, термины и определения
- •2.2.2 Перечень этапов процесса принятия решения
- •2.3.2 Анализ и разработка метода принятия решения в области защиты информации в органе государственной власти.
- •2.3.3 Разработка средства поддержки принятия решения в сфере информационной безопасности на основе метода анр
- •2.3.3.1 Область применения и интерфейс программного продукта
- •2.4 Основные выводы второй главы
- •3 Разработка классификации угроз безопасности информации в органах государственной власти
- •3.1 Анализ состояния современной системы защиты в органах государственной власти рф.
- •3.2 Классификация угроз безопасности информации
- •3.3 Угрозы утечки информации по техническим каналам
- •3.3.1 Угрозы утечки информации по каналам побочных электромагнитных излучений и наводок
- •3.3.2 Угрозы утечки акустической информации по техническим каналам
- •3.3.3 Угрозы несанкционированного доступа к информации в компьютерных системах
- •3.3.3.1 Угрозы несанкционированного доступа к информации на отдельном автоматизированном рабочем месте оператора
- •3.3.3.3 Угрозы от программных закладок
- •3.3.3.4 Угрозы несанкционированного доступа к информации в компьютерной сети
- •3.4 Средства съёма
- •3.4.1 Портативные средства акустической разведки
- •3.4.1.1 Проводные системы, портативные диктофоны и электронные стетоскопы
- •3.4.1.2 Акустические закладки
- •3.4.1.3 Направленные микрофоны и лазерные акустические системы разведки
- •3.4.2 Портативные средства радио-, радиотехнической разведки
- •3.4.2.1 Сканерные приемники
- •3.4.2.2 Программно-аппаратные комплексы радио-, радиотехнической разведки
- •3.4.2.3 Средства перехвата пейджинговых сообщений и контроля телефонов сотовой связи
- •3.4.2.4 Радиопеленгаторы
- •3.4.4 Портативные средства видеонаблюдения и съемки
- •3.4.4.1 Средства видеонаблюдения с дальнего расстояния
- •3.4.4.2. Средства видеонаблюдения с близкого расстояния
- •3.4.4.3 Средства фоторазведки и фотодокументирования
- •3.4.5 Классификация вирусов и программ закладок
- •3.4.5.1 Вирусы-программы
- •3.4.5.2 Загрузочные вирусы
- •3.4.5.3 Файловые вирусы
- •3.4.5.4 Полиморфные вирусы, Стелс-вирусы
- •3.4.5.5 Макровирусы, Скрипт-вирусы
- •3.4.5.6 «Троянские программы», программные закладки и сетевые черви.
- •3.4.5.7 Программные закладки
- •3.5 Основные выводы третьей главы
- •4 Типовой объект защиты органов государственной власти
- •4.1 Сегмент органов власти информационной инфраструктуры России
- •4.1.1 Органы государственной власти как объект защиты
- •4.2 Информатизация государства в представлении безопасности информации
- •4.2.1 Особенности формирования информационных технологий на информационную безопасность
- •4.2.2 Цели и задачи государства в связи с распространением угроз безопасности информации
- •4.2.3 Государственная политика использования защищенных информационных технологий
- •4.3 Условия функционирования органов государственной власти
- •4.3.1 Системы электронного документооборота в госорганах России сегодня
- •4.4 Распространение объектно-ориентированного подхода на информационную безопасность
- •4.4.1 Основные понятия объектно-ориентированного
- •4.4.2 Применение объектно-ориентированного подхода к рассмотрению защищаемых систем
- •4.5 Функционально-условный подход к типизации объекта органов государственной власти
- •4.6 Сопоставление угроз и описания объекта
- •4.7 Основные выводы четвертой главы
- •5.1 Сеть Internet
- •5.1.1 Краткие сведения об Internet
- •5.1.2 Состав сети Internet
- •5.1.3 Доступ в Internet
- •5.1.4 Перспективы развития
- •5.2.2 Определение www
- •5.2.3 Области использования www
- •5.4 Язык программирования рнр
- •5.4.1 Основы языка программирования рнр
- •5.4.2 Терминология языка программирования рнр
- •5.4.4 Безопасность php
- •5.5 Система защиты веб-портала
- •5.5.1 Основы системы защиты веб - портала
- •5.5.2 Система разграничения доступа
- •5.5.2.1 Межсетевые экраны прикладного уровня
- •5.5.2.2 Межсетевые экраны с пакетной фильтрацией
- •5.5.2.3 Гибридные межсетевые экраны
- •5.5.4 Система контроля целостности
- •5.5.5 Криптографическая система
- •5.5.6 Система обнаружения атак
- •5.6 Основные выводы пятой главы
- •Заключение
- •394026 Воронеж, Московский просп., 14
5.6 Основные выводы пятой главы
В данной главе были проанализированы информационные ресурсы сети Internet, посвящённых вопросам информационной безопасности. Выявлены и структурированы их слабые стороны. Проведён анализ языка программирования PHP,в том числе рассмотрена такая его сторона, как обеспечение безопасности. Разработана комплексная система защиты веб-портала, как сложноорганизованной системы, состоящей из многих компонентов, связанных между собой. Приведены наиболее удачные решения по обеспечению безопасности веб-портала, реализуемые на серверной части и непосредственно в самом сайте.
Заключение
Представленные результаты позволяют решать следующие практические задачи:
1) построение информационной модели документационного обеспечения деятельности по защите информации в органах государственной власти;
2) разработка средств поддержки принятия решений по вопросам защиты информации в органах государственной власти;
3) классификация угроз безопасности информации, подлежащей защите в органах государственной власти;
4) создание структурной модели типового органа государственной власти как объекта защиты;
5) формирование макета информационного портала для обеспечения поддержки принятия решений по вопросам защиты информации в органах государственной власти, которые актуальны в процессах государственного и муниципального управления.
СПИСОК ИСПОЛЬЗОВАННЫХ ИНФОРМАЦИОННЫХ
РЕСУРСОВ
Конституция Российской Федерации, 1993г.
ФЗ «О безопасности» от 5 марта 1992 года № 2446-I (с изменениями и дополнениями от 25 декабря 1992 года № 4235-I; от 24 декабря 1993 года № 2288; от 25 июля 2002 года № 116-ФЗ; от 7 марта 2005 г. №15-ФЗ)
ФЗ «О государственной тайне» от 21 июля 1993 года № 5485-I (с изменениями и дополнениями от 6 октября 1997 г. № 131-ФЗ; от 30 июня 2003 г. № 86-ФЗ; от 11 ноября 2003 г. № 153-ФЗ; от 29 июня 2004 г. № 58- ФЗ; от 22 августа 2004 г. № 122-ФЗ)
ФЗ «О лицензировании отдельных видов деятельности» от 8 августа 2001 года № 128-ФЗ (с изменениями и дополнениями от 13 марта 2002 г. №28-ФЗ, от 21 марта 2002 №31-ФЗ; от 9 декабря 2002 г. №164-ФЗ; от 10 января 2003 г. №17-ФЗ; от 27 февраля 2003 г. №29-ФЗ; от 11 марта 2003 г. №32-ФЗ; от 26 марта 2003 г. №36-ФЗ; от 23 декабря 2003 г. №185-ФЗ; от 2 ноября 2004 г. № 127-ФЗ; от 21 марта 2005 г. № 20-ФЗ)
ФЗ «О техническом регулировании» от 27 декабря 2002 года № 184-Ф3 (с изменениями и дополнениями от 9 мая 2005 г. № 45-ФЗ)
ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года № 149-ФЗ
ФЗ «О персональных данных» от 27 июля 2006 года № 152-ФЗ
ФЗ «О коммерческой тайне» от 29 июля 2004 г. N 98-ФЗ
ФЗ «О правовой охране программ для электронных вычислительных машин и баз данных» от 24 декабря 2002 г. N 177-ФЗ
ФЗ «О связи» от 7 июля 2003 года N 126-ФЗ (с изм., внесенными Федеральным законом от 23.12.2003 N 186-ФЗ)
Лопатин В.Н. Концептуальные основы развития российского законодательства в области обеспечения информационной безопасности // Компьютерная преступность и информационная безопасность. – Минск., 2000г.
Бачило И.Л. Интеллектуальная собственность — объект современного права.- М., 2000г.
Бачило И.Л. О праве собственности на информационные ресурсы. Информационные ресурсы России. - М., 1997г.
И.Л. Бачило, В.Н. Лопатин, М.А.Федотов. Информационное право, учебник. - СПб.: Юридический центр Пресс, 2001г.
В.А. Копылов. Информационное право: Учебное пособие. - М.: Юристъ, 2000г.
Агапов А.Б. Информационное право России.- М., 1999г.
Герасимов Б.М. Проблемы российского информационного законодательства. Информационные ресурсы России. - М.,2001г.
Дозорцев В.А. Информация как объект исключительного права. Дело и право. - М., 1996г.
Гаврилов О.А. Информатизация правовой системы России. Теоретические и практические проблемы. М.: Юридическая книга, 2003г.
Копылов В.А. О системе информационного права.НТИ. - М., 2000г.
ФЗ «Об электронной цифровой подписи» от 10 января 2002 года № 1-ФЗ
22. Altier W. J. The Thinking Manager's Toolbox: Effective Processes for Problem Solving and Decision Making, Oxford University Press, New York, 1999.
23. Checkland P. Systems Thinking, System Practice. Wiley, New York, 1999.
24. Evans J. Creative Thinking in the Decision and Management Sciences, South-Western Publishing, Cincinnati, Ohio, 1991.
25. Gass S. Model World: Danger, Beware the User as a Modeler, Interfaces, Vol. 20, No. 3, pp. 60-64, 1990.
26. Morris W. On theArt of Modeling, Management Science, Vol. 13, pp. B707-B717,1967.
27. Paulos J. A. Innumeracy: Mathematical Illiteracy and Its Consequences. Hill and Wang, New York, 1988.
28. Taha H. Guide to Optimization Models. Chapter 11.3 in Maynard's Industrial Engineering Handbook, 5th ed. McGraw-Hill, New York, 2001, pp. 11.45-11.65.
29. Willemain T.R. Insights on Modeling from a Dozen Experts, Operations Research, Vol. 42, No. 2, pp. 213-222,1994.
30. А. Баутов. Стандарты и оценка эффективности защиты информации. Доклад на Третьей Всероссийской практической конференции "Стандарты в проектах современных информационных систем". Москва, 23-24 апреля 2003 г.
31. Вагнер Г. Основы исследования операций. — М.: Мир, 1972.
32. Вентцель Е. С. Исследование операций. — М.: Советское радио, 1972.
33. Вилкас Э. Й., Майминас Е.З. Решения: теория, информация, моделирование. — М.: Радио и связь, 1981.
34. В. Галатенко, Информационная безопасность - основы. Системы управления базами данных, 1996, № 1.
35. Гермейер Ю. Б. Введение в теорию исследования операций. — М.: Наука, 1971.
36. Голшнтейн Е. Г., Юдин Д. Б. Линейное программирование: Теория, методы и приложения. — М.: Наука, 1969.
37. А. Горбунов, В. Чуменко, Выбор рациональной структуры средств защиты информации в АСУ. http://kiev-security.org.ua/box/2/26.shtml
38. ГОСТ Р 50922-96. Защита информации. Основные термины и определения.
39. М. Де Гроот. Оптимальные статистические решения. М.: Мир, 1974.
40. Е. Зиндер, Революционные изменения базовых стандартов в области системного проектирования. Директор информационной службы, 2001, № 5.
41. ИСО/МЭК 15408-99 "Критерии оценки безопасности информационных технологий".
42. В. Козлов. Критерии информационной безопасности и поддерживающие их стандарты: состояние и тенденции. "Стандарты в проектах современных информационных систем". Сборник трудов II-й Всероссийской практической конференции. Москва, 27-28 марта 2002 года.
43. Кофман А. Методы и модели исследования операций. — М.: Мир, 1966.
44. Краснощеков П. С, Петров А. А. Принципы построения моделей. — М.: Изд-во МГУ, 1983.
45. Ларичев О. И. Наука и искусство принятия решений. — М.: Наука, 1979.
46. Ларичев О. И. Объективные модели и субъективные решения. — М.: Наука, 1987.
47. Ларичев О. И. Теория и методы принятия решений, а также Хроника событий в Волшебных Странах. – М.: Логос, 2003
48. Г. Петухов, Основы теории эффективности целенаправленных процессов. Часть 1. Методология, методы, модели. МО СССР, 1989.
49. Положение «О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам». М., 1993.
50. В. Пугачев. Теория вероятностей и математическая статистика. М.: Наука, 1979.
51. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР - К). М., 2001 г.
52. Л. Хмелев. Оценка эффективности мер безопасности, закладываемых при проектировании электронно-информационных систем. Труды научно-технической конференции "Безопасность информационных технологий", Пенза, июнь 2001.
53. Черноруцкий И.Г. Методы принятия решения. – СПб.: БХВ – Петербург, 2005, с. 408
54. Черноморов Г. А. Теория принятия решения. – Новочеркасск.: Аонт, 2002
55. Шеннон Р. Имитационное моделирование систем — искусство и наука. — М.: Мир, 1978.
56.. Андрианов В.И., Бородин В.А., Соколов А.В."Шпионские штучки" и устройства для защиты объектов и информации: Справ. пособие. - С- Пб.: Лань, 1996. - 272 с.
57. Барсуков B.C., Марущенко В.В., Шигин В.А. Интегральная безопасность: Информационно-справочное пособие. - М.: РАО "Газпром", 1994.-170 с.
58. Бордунов О. Подбор черно-белых телевизионных камер в системах замкнутого телевидения // Мы и безопасность,- 1996. N 3. -С. II... 13.
59. Брусницин Н.А. Открытость и шпионаж. - М.: Воениздат, 1991.-56 с.
60. Изделия специальной техники: Каталог, - Томск: ЧИП "Циклон-1", 1995. - 12с.
61. Комплексные системы безопасности. Защита информации. Телевизионное наблюдение. Радиосвязь: Каталог. - М.: "Девикон", 1995-72 с.
62. Комплексные системы безопасности. Защита информации. Телевизионное наблюдение. Радиосвязь: Каталог. - М.: Девинкон, 1996-68 с.
63. Лунегов А.Н., Рыжов А.Л. Технические средства и способы добывания и защиты информации. - М.: ВНИИ "Стандарт", 1993. -95с.
64. Мироничев С. Коммерческая разведка или промышленный шпионаж в России и методы борьбы с ним. - М.: Дружок, 1995. -223с.
65. Системы телевизионного наблюдения, сигнализации и контроля доступа: Каталог. - М.: АО "Солинг", 1995. - 32 с.
66. Специальная техника защиты и контроля информации: Каталог. - М.: Маском, 1996. - 32 с.
67. Техника для милиции, полиции и служб безопасности: Каталог- М.: АООТ "Ново". 1996. -32 с.
68. Технические изделия. Ч. I. Техника акустического контроля и мониторинга. - М.: АО "Ново", 1996. - 16 с.
69. Ярочкин В.И. Предпринимательство и безопасность. Ч. 1. Несанкционированный доступ к источнику конфиденциальной информации. - М.: Экспрессное бюро, 1994. - 64 с.
70. Хорошко В.А., Чекатков А.А. Методы и средства защиты информации. Киев, Издательство Юниор, 2003, 501 стр.
71. Ярочкин В.И. Информационная безопасность: Учебник для студентов Вузов. М.: Академический Проект; Фонд "Мир", 2003, 640 стр.
72. Козлов С.Б., Иванов Е.В. Предпринимательство и безопасность. М.: Универсум, 1991. Т 1,2.
73. Мазеркин Д. Защита коммерческой тайны на предприятиях различных форм собственности //Частный сыск и охрана, 1994г.
74. Халяпин Д.Б., Ярочкин В.И. Основы защиты информации. М.:ИПКИР, 1994.
75. Шиверский А.А Защита информации: проблемы теории и практика. М.: Юрист, 1996.
76. Меньшаков Ю.К. Защита объектов и информации от технических средств разведки. М.: Российский гос. гуманитарный ун-т, 2002. 399с.
77. В. В. Домарев. Безопасность Информационных Технологий. Методология создания систем защиты, Москва-Санкт-Петербург-Киев, 2002.
78. Черней Г. А., Охрименко С. А., Ляху Ф. С. Безопасность Автоматизированных Информационных Систем, Кишинев, 1996.
79. Международный стандарт ISO/IEC 17799. Информационные технологии – Свод практических правил для управления защитой информации, ISO/IEC, 2000.
80. Ваганян Г., Блеян В. Информационные технологии в правовой деятельности (в системе государственной службы). Монография. Ереван, Нжар, 2005.
81. Доктрина информационной безопасности РФ. Утверждена Президентом РФ 9.09.2000.
82. Абалмазов Э.И. Методы и инженерно-технические средства противодействия информационным угрозам .- М.: Компания "Гротек", 1997.
83. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2-х кн. - М.: Энергоатомиздат, 1994. - 176 с.
84. Гундарь К.Ю. Защита информации в компьютерных системах - К.:»Корнейчук», 2000. К. Ю. Гундарь, А. Ю. Гундарь, Д. А. Янышевский.
85. Девянин П.Н. Теоретические основы компьютерной безопасности: Учебное пособие для вузов - М.: Радио и связь, 2000. П. Н. Девянин, О. О. Михальский, Д. И. Правиков, А. Ю. Щербаков.
86. Хорев А.А. Методы и средства поиска электронных устройств перехвата информации. М.: МО РФ, 1998.
87. Ярочкин В.И. Безопасность информационных систем. М: "Ось-89", 1996.
88. Гетманцев А.А. и др. Безопасность ведомственных информационно-телекомуникационных 34. систем. Военная академия связи. Санкт-Петербург, 1997.
89. Анализатор телефонных линий "Багер-01" (Sel SP-18/T). Инструкция по 36. эксплуатации. М.: "Маском".
90. Специальная техника. Каталог. М.: НПО "Защита информации", 1998.
91. Специальная техника защиты и контроля информации. Каталог. М.: Маском, 1998.
92. Девянин П.Н. Модели безопасности компьютерных систем. М.: "Академия", 2005. – 144 с.
93. Федеральная целевая программа "Электронная Россия (2002 - 2010 годы)" в ред. Постановления Правительства РФ от 15.08.2006 N 502)
94. Новосельцев В.И. Теоритические основы системного анализа. М.: "Майор", 2006. – 592 с.
95. Скиба В.Ю. Курбатов В.А. Руководство по защите от внутренних угроз ИБ. СПб.: "Питер", 2008. – 320 с.
96. Бочаров Е.П. Интегрированные корпоративные информационные системы: принципы построения. М.: "Финансы и статистика", 2005. – 228 с.
97. Курило А.П Зефиров С.Л Голованов В.Б. Аудит информационной безопасности. М.: "БДЦ-Пресс", 2006. – 304 с.
98. Тарокин А.А. Инженерно - техническая ЗИ. М.: "Гелиос", 2005. – 960 с.
99. Советов Б. Я., Яковлев С. А. Моделирование систем: учебник для вузов. М.: "Высшая школа", 2001. – 343 с.
100. Остапенко А.Г. Информационные атаки в социотехнических системах. В.: "Горячая линия - Телеком", 2007. – 134 с.
Учебное издание
Кадомская Оксана Андреевна
Мешкова Алла Федоровна
СРЕДСТВА ПОДДЕРЖКИ ПРИНЯТИЯ
РЕШЕНИЙ ПО ЗАЩИТЕ ИНФОРМАЦИИ В ОРГАНАХ ГОСУДАРСТВЕННОЙ ВЛАСТИ
В авторской редакции
Подписано к изданию 12.12.2008.
Уч.-изд.л. 25,9.
ГОУВПО
«Воронежский государственный технический университет»