- •Воронеж 2008
- •Воронеж 2008
- •Введение
- •1 Разработка средств обеспечения инофрмационных технологий в подготовке принятия решений по документационному обеспечению защиты информации в органах государственной власти
- •1.1 Информационная сфера как объект правового регулирования
- •1.1.1 Информация как объект правового регулирования
- •1.1.2.1 Официальная правовая информация
- •1.1.2.2 Информация индивидуально - правового характера, имеющая юридическое значение
- •1.1.2.3 Неофициальная правовая информация
- •1.2 Правовое регулирование в сфере обеспечения информационной безопасности в органах государственной власти
- •1.2.1 Нормативное правовое обеспечение информационной безопасности в органах государственной власти
- •1.2.2 Система нормативных правовых документов в области защиты информации в органах государственной власти
- •1.2.3 Анализ состояния нормативной правовой базы в сфере защиты информации в органах государственной власти
- •1.2.4 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти
- •1.2.4.1 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти на федеральном уровне
- •1.2.4.2 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти на региональном уровне
- •1.3 Обзор зарубежного законодательства в области защиты информации
- •Другие Указы президента посвящены следующим вопросам:
- •1.4.2 Основные направления совершенствования нормативного правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти
- •1.5 Основные выводы первой главы
- •2 Исследование методов и моделей поддержки принятия решений в управленческой деятельности и разработка средства принятия решений по вопросам защиты информации в органах государственной власти
- •2.1 Выявление недостатков законодательства рф в сфере поддержки принятия решений по информационной безопасности
- •2.2 Теория принятия решения в области защиты информации в органах государственной власти
- •2.2.1 Основные понятия, термины и определения
- •2.2.2 Перечень этапов процесса принятия решения
- •2.3.2 Анализ и разработка метода принятия решения в области защиты информации в органе государственной власти.
- •2.3.3 Разработка средства поддержки принятия решения в сфере информационной безопасности на основе метода анр
- •2.3.3.1 Область применения и интерфейс программного продукта
- •2.4 Основные выводы второй главы
- •3 Разработка классификации угроз безопасности информации в органах государственной власти
- •3.1 Анализ состояния современной системы защиты в органах государственной власти рф.
- •3.2 Классификация угроз безопасности информации
- •3.3 Угрозы утечки информации по техническим каналам
- •3.3.1 Угрозы утечки информации по каналам побочных электромагнитных излучений и наводок
- •3.3.2 Угрозы утечки акустической информации по техническим каналам
- •3.3.3 Угрозы несанкционированного доступа к информации в компьютерных системах
- •3.3.3.1 Угрозы несанкционированного доступа к информации на отдельном автоматизированном рабочем месте оператора
- •3.3.3.3 Угрозы от программных закладок
- •3.3.3.4 Угрозы несанкционированного доступа к информации в компьютерной сети
- •3.4 Средства съёма
- •3.4.1 Портативные средства акустической разведки
- •3.4.1.1 Проводные системы, портативные диктофоны и электронные стетоскопы
- •3.4.1.2 Акустические закладки
- •3.4.1.3 Направленные микрофоны и лазерные акустические системы разведки
- •3.4.2 Портативные средства радио-, радиотехнической разведки
- •3.4.2.1 Сканерные приемники
- •3.4.2.2 Программно-аппаратные комплексы радио-, радиотехнической разведки
- •3.4.2.3 Средства перехвата пейджинговых сообщений и контроля телефонов сотовой связи
- •3.4.2.4 Радиопеленгаторы
- •3.4.4 Портативные средства видеонаблюдения и съемки
- •3.4.4.1 Средства видеонаблюдения с дальнего расстояния
- •3.4.4.2. Средства видеонаблюдения с близкого расстояния
- •3.4.4.3 Средства фоторазведки и фотодокументирования
- •3.4.5 Классификация вирусов и программ закладок
- •3.4.5.1 Вирусы-программы
- •3.4.5.2 Загрузочные вирусы
- •3.4.5.3 Файловые вирусы
- •3.4.5.4 Полиморфные вирусы, Стелс-вирусы
- •3.4.5.5 Макровирусы, Скрипт-вирусы
- •3.4.5.6 «Троянские программы», программные закладки и сетевые черви.
- •3.4.5.7 Программные закладки
- •3.5 Основные выводы третьей главы
- •4 Типовой объект защиты органов государственной власти
- •4.1 Сегмент органов власти информационной инфраструктуры России
- •4.1.1 Органы государственной власти как объект защиты
- •4.2 Информатизация государства в представлении безопасности информации
- •4.2.1 Особенности формирования информационных технологий на информационную безопасность
- •4.2.2 Цели и задачи государства в связи с распространением угроз безопасности информации
- •4.2.3 Государственная политика использования защищенных информационных технологий
- •4.3 Условия функционирования органов государственной власти
- •4.3.1 Системы электронного документооборота в госорганах России сегодня
- •4.4 Распространение объектно-ориентированного подхода на информационную безопасность
- •4.4.1 Основные понятия объектно-ориентированного
- •4.4.2 Применение объектно-ориентированного подхода к рассмотрению защищаемых систем
- •4.5 Функционально-условный подход к типизации объекта органов государственной власти
- •4.6 Сопоставление угроз и описания объекта
- •4.7 Основные выводы четвертой главы
- •5.1 Сеть Internet
- •5.1.1 Краткие сведения об Internet
- •5.1.2 Состав сети Internet
- •5.1.3 Доступ в Internet
- •5.1.4 Перспективы развития
- •5.2.2 Определение www
- •5.2.3 Области использования www
- •5.4 Язык программирования рнр
- •5.4.1 Основы языка программирования рнр
- •5.4.2 Терминология языка программирования рнр
- •5.4.4 Безопасность php
- •5.5 Система защиты веб-портала
- •5.5.1 Основы системы защиты веб - портала
- •5.5.2 Система разграничения доступа
- •5.5.2.1 Межсетевые экраны прикладного уровня
- •5.5.2.2 Межсетевые экраны с пакетной фильтрацией
- •5.5.2.3 Гибридные межсетевые экраны
- •5.5.4 Система контроля целостности
- •5.5.5 Криптографическая система
- •5.5.6 Система обнаружения атак
- •5.6 Основные выводы пятой главы
- •Заключение
- •394026 Воронеж, Московский просп., 14
1.2.3 Анализ состояния нормативной правовой базы в сфере защиты информации в органах государственной власти
Основной целью использования информационных технологий в деятельности федеральных органов государственной власти является повышение эффективности механизмов государственного управления на основе создания общей информационно-технологической инфраструктуры, включающей государственные информационные системы и ресурсы, а также средства, обеспечивающие их функционирование, взаимодействие между собой, населением и организациями в рамках предоставления государственных услуг[20].
Государственная политика в сфере использования информационных технологий в государственном управлении призвана обеспечить координацию деятельности федеральных органов государственной власти по созданию государственных информационных систем и повышение эффективности бюджетных расходов в этой сфере. В результате реализации государственной политики ожидается формирование эффективной системы предоставления государственных услуг на основе использования информационных технологий.
В настоящее время сложились благоприятные условия для совершенствования системы государственного управления, повышения качества предоставления государственных услуг населению и организациям, повышения результативности и прозрачности работы государственного аппарата, последовательного искоренения коррупции на основе широкого применения информационных технологий в деятельности федеральных органов государственной власти.
Внедрение информационных технологий в деятельность федеральных органов государственной власти осуществляется интенсивными темпами. В ряде государственных органов созданы основы информационно-технологической инфраструктуры, формируется организационно-методическое и кадровое обеспечение эффективного использования информационных технологий.
В структуре федеральных органов государственной власти образованы органы, ответственные за формирование и реализацию государственной политики в сфере использования информационных технологий, формируется основа системы межведомственной координации государственных программ и проектов использования информационных технологий, определен порядок создания координационных и совещательных органов в этой сфере. Повышается качество управления процессами использования информационных технологий. Значительное число федеральных органов государственной власти реализует соответствующие программы, большинство из них имеет квалифицированный персонал, на который возложена ответственность за создание и внедрение ведомственных информационных систем и ресурсов.
Успешно реализуются проекты внедрения автоматизированных информационных систем в сфере электронного документооборота, управления материально-техническими, финансовыми и кадровыми ресурсами, а также проекты интеграции государственных информационных ресурсов между собой в рамках внедрения электронных административных регламентов предоставления государственных услуг.
Создаются прикладные системы информационно-аналитического обеспечения, формируются базы данных по основным направлениям деятельности федеральных органов государственной власти. Федеральные органы государственной власти создают и используют интернет-сайты для размещения информации о своей деятельности, а также для предоставления услуг и обеспечения интерактивного информационного обслуживания граждан и организаций.
Государственная политика в сфере использования информационных технологий направлена на решение следующих основных задач:
реализация стратегических приоритетов в использовании информационных технологий в государственном управлении, формирование единого механизма межведомственной координации реализации государственных программ и проектов создания государственных информационных систем и ресурсов в соответствии с целями социально-экономического развития;
формирование общей информационно - технологической инфраструктуры для обеспечения деятельности федеральных органов государственной власти;
распространение практики предоставления гражданам и организациям доступа к открытой информации о деятельности федеральных органов государственной власти, соответствующим государственным информационным ресурсам, в том числе через сеть Интернет;
организация интерактивного информационного обслуживания граждан и организаций с использованием современных информационных технологий;
обеспечение информационной безопасности деятельности федеральных органов государственной власти и элементов информационно-технологической инфраструктуры;
развитие единой защищенной телекоммуникационной инфраструктуры для государственных нужд, системы удостоверяющих центров в области электронной цифровой подписи и электронной среды взаимодействия, обеспечивающей эффективный межведомственный информационный обмен;
разработка стандартов в сфере использования информационных технологий в деятельности федеральных органов государственной власти, создания государственных информационных систем, их интеграции и совместного использования в рамках создания общего информационного пространства федеральных органов государственной власти;
централизованное создание общих государственных информационных ресурсов (регистров, кадастров, реестров, классификаторов), содержащих полную, непротиворечивую, достоверную, актуальную информацию, необходимую для выполнения основных функций государственного управления, обеспечения доступности соответствующих данных на межведомственном уровне, а также для граждан и организаций в соответствии с требованиями, установленными законодательством Российской Федерации;
построение единой системы управления процессом использования информационных технологий в деятельности федеральных органов государственной власти, обеспечивающей эффективную межведомственную координацию реализуемых государственных программ и проектов, их согласованное и взаимоувязанное выполнение в соответствии с основными приоритетами социально-экономического развития;
распространение на уровне федеральных органов государственной власти практики долгосрочного планирования государственных программ и проектов использования информационных технологий, повышение эффективности управления их выполнением;
создание единой системы мониторинга и контроля эффективности использования информационных технологий в деятельности федеральных органов государственной власти;
реализация комплексных программ подготовки и повышения квалификации государственных служащих в части использования информационных технологий, развитие необходимой образовательной инфраструктуры и методического обеспечения;
защита интеллектуальной собственности, недопущение использования в деятельности федеральных органов государственной власти программного обеспечения, не имеющего соответствующей лицензионной поддержки;
совершенствование законодательной и иной нормативной правовой базы в целях повышения эффективности использования информационных технологий в деятельности федеральных органов государственной власти с учетом международной практики[20].
Деятельность федеральных органов государственной власти в области обеспечения безопасности информации, подлежащей обязательной защите, регулируется нормативными правовыми актами, издаваемыми в установленном порядке.
Основными направлениями повышения уровня защищенности объектов общей информационно-технологической инфраструктуры федеральных органов государственной власти являются:
обеспечение комплексного подхода к решению задач информационной безопасности с учетом необходимости дифференцирования ее уровня в различных федеральных органах государственной власти;
разработка модели угроз информационной безопасности;
определение технических требований и критериев определения критических объектов информационно-технологической инфраструктуры, создание реестра критически важных объектов, разработку мер по их защите и средств надзора за соблюдением соответствующих требований;
обеспечение эффективного мониторинга состояния информационной безопасности;
совершенствование нормативной правовой и методической базы в области защиты государственных информационных систем и ресурсов, формирование единого порядка согласования технических заданий на обеспечение информационной безопасности государственных информационных систем и ресурсов;
проведение уполномоченными федеральными органами государственной власти аттестации государственных информационных систем и ресурсов, используемых в деятельности федеральных органов государственной власти, и контроль их соответствия требованиям информационной безопасности;
создание физически обособленного телекоммуникационного сегмента специального назначения, обеспечивающего возможность обмена в электронном виде информацией, содержащей государственную тайну, ограниченным кругом органов государственной власти;
развитие средств защиты информации, систем обеспечения безопасности электронного документооборота, системы контроля действий государственных служащих по работе с информацией, развитие и совершенствование защищенных средств обработки информации общего применения, систем удостоверяющих центров в области электронной цифровой подписи, а также систем их сертификации и аудита.
В первую очередь российские федеральные органы государственной власти обеспечивают информационную безопасность своих ресурсов, проводя различные административные мероприятия и "внедряя в жизнь" организационно-распорядительные документы. Однако, несмотря на существование различных государственных и отраслевых документов, регламентирующих данную сферу, деятельность федеральных органов государственной власти зачастую является бессистемной[18]. Обеспечение же информационной безопасности невозможно без знания имеющихся в ведомстве ресурсов, их настроек именно с точки зрения ИБ и грозящих им опасностей. Между тем аудит ИБ и анализ рисков в соответствии с рекомендациями Государственной технической комиссии при Президенте России или международного стандарта ISO 17799 проводится крайне редко. В абсолютном большинстве федеральных органов государственной власти эти работы попросту не проводятся. Только единицы определяют:
перечни информации, подлежащей защите;
потенциальные каналы утечки информации и пути ее предотвращения;
списки лиц, имеющих доступ к защищаемым ресурсам;
перечень лиц, допущенных к работе со средствами международного информационного обмена.
А ведь такие перечни позволяют четко спланировать все дальнейшие мероприятия по защите информации, которые находят свое отражение в концепции информационной безопасности. Но лишь в ряде ведомств разработан этот основополагающий документ, определяющий направления деятельности федерального органа государственной власти в области защиты своих информационных ресурсов. Еще меньше учреждений, которые пошли дальше, разработав целый пакет организационно-распорядительных документов, регламентирующих деятельность по защите информации. К таким документам можно отнести:
инструкцию по работе с информацией ограниченного доступа;
положение об администраторе ИБ и ответственном за ее обеспечение;
регламенты и инструкции по защите информации в локальных сетях, работе в Интернете и т.п.
Основным барьером в сфере обеспечения информационной безопасности федеральных органов государственной власти является неполнота и противоречивость нормативной базы в этой области. Например, в отсутствие единой классификации информации существует огромное количество видов тайн, ссылки на которые разбросаны по сотням законодательных актов; при этом всяческие ограничения на использование международных стандартов в области информационной безопасности (в частности, у нас до сих пор не приняты “Общие критерии”) сдерживают развитие информационных систем в организациях, мешая их взаимодействию, в том числе и в сфере противодействия терроризму[18].
Еще одним серьезным барьером на пути защиты информационных ресурсов федеральных органов государственной власти является низкая квалификация рядовых пользователей и отсутствие их обучения правилам и основам информационной безопасности.
Во многих ведомствах считается, что основная угроза исходит из внешних сетей, а опасность внутренней угрозы недооценивается. Для федеральных органов государственной власти обеспечение информационной безопасности нередко не является приоритетной задачей. А зачастую вопрос защиты информации при создании автоматизированных и прикладных систем не ставится вообще. В результате практически во всех ведомствах отмечается отсутствие в достаточном объеме:
единой политики обеспечения ИБ;
специальных подразделений и квалифицированных сотрудников, ответственных за эту сферу;
финансирования в данной области;
программных, программно-аппаратных и других технических средств защиты информации.
Если с защитой сведений, составляющих государственную тайну, особых проблем не возникает и большинство федеральных органов государственной власти в данной области взаимодействует с Государственной технической комиссией при Президенте России и ФСБ, то с защитой остальных видов тайн ситуация не столь радужна. Но, к счастью, последние шаги правительства и президента, российских регулирующих органов постепенно склоняют чашу весов в правильную сторону, и ситуация с информационной безопасностью в российских госорганах плавно перетекает из негативной в нейтральную, а в некоторых ведомствах – даже в позитивную.