- •Воронеж 2008
- •Воронеж 2008
- •Введение
- •1 Разработка средств обеспечения инофрмационных технологий в подготовке принятия решений по документационному обеспечению защиты информации в органах государственной власти
- •1.1 Информационная сфера как объект правового регулирования
- •1.1.1 Информация как объект правового регулирования
- •1.1.2.1 Официальная правовая информация
- •1.1.2.2 Информация индивидуально - правового характера, имеющая юридическое значение
- •1.1.2.3 Неофициальная правовая информация
- •1.2 Правовое регулирование в сфере обеспечения информационной безопасности в органах государственной власти
- •1.2.1 Нормативное правовое обеспечение информационной безопасности в органах государственной власти
- •1.2.2 Система нормативных правовых документов в области защиты информации в органах государственной власти
- •1.2.3 Анализ состояния нормативной правовой базы в сфере защиты информации в органах государственной власти
- •1.2.4 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти
- •1.2.4.1 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти на федеральном уровне
- •1.2.4.2 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти на региональном уровне
- •1.3 Обзор зарубежного законодательства в области защиты информации
- •Другие Указы президента посвящены следующим вопросам:
- •1.4.2 Основные направления совершенствования нормативного правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти
- •1.5 Основные выводы первой главы
- •2 Исследование методов и моделей поддержки принятия решений в управленческой деятельности и разработка средства принятия решений по вопросам защиты информации в органах государственной власти
- •2.1 Выявление недостатков законодательства рф в сфере поддержки принятия решений по информационной безопасности
- •2.2 Теория принятия решения в области защиты информации в органах государственной власти
- •2.2.1 Основные понятия, термины и определения
- •2.2.2 Перечень этапов процесса принятия решения
- •2.3.2 Анализ и разработка метода принятия решения в области защиты информации в органе государственной власти.
- •2.3.3 Разработка средства поддержки принятия решения в сфере информационной безопасности на основе метода анр
- •2.3.3.1 Область применения и интерфейс программного продукта
- •2.4 Основные выводы второй главы
- •3 Разработка классификации угроз безопасности информации в органах государственной власти
- •3.1 Анализ состояния современной системы защиты в органах государственной власти рф.
- •3.2 Классификация угроз безопасности информации
- •3.3 Угрозы утечки информации по техническим каналам
- •3.3.1 Угрозы утечки информации по каналам побочных электромагнитных излучений и наводок
- •3.3.2 Угрозы утечки акустической информации по техническим каналам
- •3.3.3 Угрозы несанкционированного доступа к информации в компьютерных системах
- •3.3.3.1 Угрозы несанкционированного доступа к информации на отдельном автоматизированном рабочем месте оператора
- •3.3.3.3 Угрозы от программных закладок
- •3.3.3.4 Угрозы несанкционированного доступа к информации в компьютерной сети
- •3.4 Средства съёма
- •3.4.1 Портативные средства акустической разведки
- •3.4.1.1 Проводные системы, портативные диктофоны и электронные стетоскопы
- •3.4.1.2 Акустические закладки
- •3.4.1.3 Направленные микрофоны и лазерные акустические системы разведки
- •3.4.2 Портативные средства радио-, радиотехнической разведки
- •3.4.2.1 Сканерные приемники
- •3.4.2.2 Программно-аппаратные комплексы радио-, радиотехнической разведки
- •3.4.2.3 Средства перехвата пейджинговых сообщений и контроля телефонов сотовой связи
- •3.4.2.4 Радиопеленгаторы
- •3.4.4 Портативные средства видеонаблюдения и съемки
- •3.4.4.1 Средства видеонаблюдения с дальнего расстояния
- •3.4.4.2. Средства видеонаблюдения с близкого расстояния
- •3.4.4.3 Средства фоторазведки и фотодокументирования
- •3.4.5 Классификация вирусов и программ закладок
- •3.4.5.1 Вирусы-программы
- •3.4.5.2 Загрузочные вирусы
- •3.4.5.3 Файловые вирусы
- •3.4.5.4 Полиморфные вирусы, Стелс-вирусы
- •3.4.5.5 Макровирусы, Скрипт-вирусы
- •3.4.5.6 «Троянские программы», программные закладки и сетевые черви.
- •3.4.5.7 Программные закладки
- •3.5 Основные выводы третьей главы
- •4 Типовой объект защиты органов государственной власти
- •4.1 Сегмент органов власти информационной инфраструктуры России
- •4.1.1 Органы государственной власти как объект защиты
- •4.2 Информатизация государства в представлении безопасности информации
- •4.2.1 Особенности формирования информационных технологий на информационную безопасность
- •4.2.2 Цели и задачи государства в связи с распространением угроз безопасности информации
- •4.2.3 Государственная политика использования защищенных информационных технологий
- •4.3 Условия функционирования органов государственной власти
- •4.3.1 Системы электронного документооборота в госорганах России сегодня
- •4.4 Распространение объектно-ориентированного подхода на информационную безопасность
- •4.4.1 Основные понятия объектно-ориентированного
- •4.4.2 Применение объектно-ориентированного подхода к рассмотрению защищаемых систем
- •4.5 Функционально-условный подход к типизации объекта органов государственной власти
- •4.6 Сопоставление угроз и описания объекта
- •4.7 Основные выводы четвертой главы
- •5.1 Сеть Internet
- •5.1.1 Краткие сведения об Internet
- •5.1.2 Состав сети Internet
- •5.1.3 Доступ в Internet
- •5.1.4 Перспективы развития
- •5.2.2 Определение www
- •5.2.3 Области использования www
- •5.4 Язык программирования рнр
- •5.4.1 Основы языка программирования рнр
- •5.4.2 Терминология языка программирования рнр
- •5.4.4 Безопасность php
- •5.5 Система защиты веб-портала
- •5.5.1 Основы системы защиты веб - портала
- •5.5.2 Система разграничения доступа
- •5.5.2.1 Межсетевые экраны прикладного уровня
- •5.5.2.2 Межсетевые экраны с пакетной фильтрацией
- •5.5.2.3 Гибридные межсетевые экраны
- •5.5.4 Система контроля целостности
- •5.5.5 Криптографическая система
- •5.5.6 Система обнаружения атак
- •5.6 Основные выводы пятой главы
- •Заключение
- •394026 Воронеж, Московский просп., 14
1.2.4 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти
1.2.4.1 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти на федеральном уровне
С развитием процессов информатизации и возникновением в этой связи новых общественных отношений особую остроту и социальную значимость приобретает проблема их адекватного правового регулирования. Правовая основа развития единого информационного пространства России должна способствовать гармоничному развитию информационных ресурсов, информационных услуг и средств информационного производства в стране в процессе ее движения к информационному обществу. Важность проблемы развития законодательства в информационной сфере определяется также тем обстоятельством, что нормы законов этой сферы существенно влияют на качество регулирования отношений субъектов во всех сферах жизни страны[18].
Признавая, что информационное законодательство сформировалось в самостоятельную отрасль законодательства, следует учитывать и то, что сегодня необходимо его развитие и дальнейшее совершенствование. Необходима разработка новых федеральных законов и иных нормативных правовых актов, направленных на восполнение пробелов в правовом регулировании общественных отношений в информационной области, особенно в связи с введением в законодательство новых понятий, применяемых в информационно-телекоммуникационных технологиях. Необходимо также устранить внутренние противоречия федерального законодательства и нормативных правовых актов субъектов Российской Федерации, в том числе возникших в связи с подписанием Российской Федерацией соответствующих международных соглашений.
Процесс развития законодательства в сфере обеспечения информационной безопасности личности, общества и государства наряду с явными достижениями имеет ряд проблем объективного и субъективного характера, обусловленных содержанием действующих нормативных правовых актов (НПА)[21]. Проведенный анализ существующих взглядов, концепций, подходов, отраженных в различных вариантах представления структуры отечественного законодательства, позволил выделить ряд норм, содержание которых отражает и на практике порождает как проблемы собственно процесса обеспечения информационной безопасности (ИБ) личности, общества и государства, так и проблемы правового регулирования этого процесса.
Рассматривая особенности НПА Российской Федерации в области защиты государственной тайны, можно утверждать, что они рассматривают и относят систему ее защиты к элементам своей защиты. Т.е. информация, сведения о системе защиты сведений, составляющих государственную тайну, сами составляют конфиденциальную информацию, являются элементом системы защиты государственной тайны, что также очевидно из определения системы защиты государственной тайны, представляющей совокупность органов защиты, используемых ими средств и методов защиты сведений, составляющих государственную тайну, их носителей, а так же мероприятий, проводимых в этих целях[21].
Рассмотрение приведенных особенностей действующего законодательства позволяет сделать вывод: законодательство в сфере обеспечения безопасности и информационной безопасности, в частности, является элементом системы обеспечения безопасности, обладает рядом специфических особенностей и играет особую роль в деятельности всей системы безопасности личности, общества и государства.
Рассмотрение сфер и видов деятельности личности, общества и государства неразрывно связано с процессами управления, требующими соответствующего информационного обеспечения, а, следовательно, и создания, обеспечения функционирования информационных систем (ИС) различных классов, лежащих в основе формирования, функционирования и развития информационной сферы. Важным свойством таких систем, а, следовательно, и всей информационной сферы, определяющим эффективность их функционирования, является их информационная безопасность. Информационная безопасность информационной сферы может рассматриваться в широком смысле, характеризующем возможности и способности системы обеспечивать собственную информационную безопасность и информационную безопасность пользователей ИС[20]. Это дает основания говорить о так называемой собственной ИБ ИС и ИБ информационной сферы в целом.
Собственная информационная безопасность ИС — состояние ИС, при котором обеспечивается защита:
1) ИС от различных физических и информационных разрушающих воздействий;
2) информации о самой ИС;
3) информационных процессов и информационных технологий, протекающих и реализуемых в ИС;
4) информации пользователей от преднамеренных действий злоумышленников с целью ее хищения, уничтожения, утраты, несанкционированного получения, копирования, модификации, блокирования, дезорганизации и другого.
Информационная безопасность пользователей ИС — состояние пользователей и их информационных ресурсов, при котором обеспечивается их защита от:
1)неадекватной, недостоверной, неполной, несвоевременной, нерелевантной, лживой, противоречивой и т.п. информации, возникающей в ходе технологических процессов, реализуемых в ИС, и предоставляемой пользователю в таких режимах работы системы, как обслуживание и обеспечение (навязывание);
2) разрушающих воздействий информационной системы.
Особая роль в деятельности личности, общества и государства принадлежит правовой информации, которая в отличие от других видов информации имеет ряд особенностей.
Первая особенность правовой информации обусловливает возникновение негативных последствий и снижения эффективности процессов управления в различных сферах деятельности в случаях:
1) отсутствия у пользователя правовой информации;
2) наличия у пользователя некачественной правовой информации;
3) не исполнения предписаний даже качественной правовой информации.
Вторая особенность правовой информации обусловливает наличие хаотичности, дезорганизации в работе системы правового обеспечения, системы управления, управляемой системы при отсутствии правовых норм, регламентирующих работу этих систем в силу искусственной природы их происхождения. Правовая информация, являясь искусственной по своей природе, служит системообразующим и синергетическим фактором для искусственно организованных социально-экономических систем, предписывает соответствующую организацию системы (общества, государства), элементами которой являются личности и граждане, детерминируя ее поведение.
Третья особенность правовой информации состоит в обязательности исполнения ее предписаний, а также в определении наступления административной, уголовной и иной ответственности за их не исполнение[20]. При этом содержание правовой информации представляют:
1) информация по предназначению, представляющая не только сведения (данные или сообщения), но и предписания к соответствующим видам деятельности. Она выступает как предписания не просто к действию, а к действию, исполнение которого контролируется, а не исполнение которого может вызвать негативное последствие, ответственность и наказание;
2)синтезированная информация, сформированная на анализе и обобщении некоторого множества сведений, зафиксировавших выявленные закономерности или факты, требующие нормирования и регулирования. Правовая информация фиксируется в форме различных НПА, определяющих деятельность граждан государства.
Четвертая особенность правовой информации определяется ее циркуляцией в контуре управления социальными гуманистическими системами, в которых основную роль играет человек, выступающий:
1) в качестве своеобразного носителя информации и документа с реквизитами (должность, служебные обязанности и другие);
2) в роли аналога документа, осуществляя преобразование предписания в действие или регулирование этого преобразования.
Рассмотренные особенности правовой информации обусловливают особенности системы правового регулирования процесса обеспечения ИБ как особого класса ИС.
Во-первых, эффективность функционирования системы управления (СУ) социально-экономическими процессами зависит от эффективности функционирования системы правового регулирования этих процессов и, прежде всего, от качества правовой информации. Низкое качество, отсутствие или не адекватность правовой информации снижают эффективность, нарушают или разрушают управление. В свою очередь, эффективность функционирования самой системы правового регулирования зависит от уровня ее организованности и соответствующей правовой информации. Сложная зависимость и взаимообусловленность правовой информации объясняются особым ее статусом, характеризующимся обязательностью исполнения предписаний, норм, ограничений. Такая особенность правовой информации с позиций обеспечения ИБ личности, общества и государства обусловливает:
1) возможность повышения эффективности функционирования СУ различных сфер деятельности на основе развития соответствующей системы правового регулирования или снижения такой эффективности через дезорганизацию системы правового регулирования, изменение содержания правовой информации;
2) сосредоточение и локализацию усилий правонарушителя на системе правового регулирования, что снижает затраты ресурса на дезорганизацию системы управления в целом.
Во-вторых, система правового регулирования как источник достоверной информации, относительно устойчиво детерминирующая поведение объекта управления, обязательна к применению. Неисполнение ее нормативных правовых актов влечет наступление юридической ответственности. Задачи правонарушителя в значительной мере упрощаются в случаях: создания централизованных систем правового регулирования и участия этих систем в международном информационном обмене; обеспечения гарантированных конституционных прав на свободу поиска, получения, передачи, производства и распространения информации любым законным способом; наличия открытого доступа к информации, организующей деятельность систем правового регулирования, регламентирующей деятельность ее элементов и подсистем, раскрывающей функции, реализуемые ими.
В-третьих, система правового регулирования является источником специфических каналов: утечки информации, воздействия на информацию, утечки информации пользователя, воздействия на информацию пользователя, воздействия системы и обрабатываемой в ней информации на пользователя. Эти каналы являются не только синтаксическими, связанными с определенной организацией движения носителей информации, в том числе таких, как человек, документы, физические поля различной природы и других, но и семантическими, отражающими определенную организацию понятий, смысла, содержания любой системы. Так, организация движения печатных изданий средств массовой информации, а также официальных и неофициальных изданий иного рода может рассматриваться как особые виды синтаксических каналов утечки информации, в структуру и содержание которых включены семантические каналы, связанные с определенной организацией понятий, смысла и содержания системы обеспечения ИБ.
В-четвертых, система правового регулирования процессов управления как объект сама требует правового регулирования. Рассматриваемая система обладает свойством вложенности и соподчиненности функционирования систем: эффективность правового регулирования определяет организованность и эффективность работы системы правового регулирования, которая в свою очередь определяет эффективность работы СУ существующих сфер и систем. Эта особенность системы правового регулирования влияет на обеспечение ИБ, что позволяет правонарушителю акцентировать свои усилия на механизме правового регулирования правовой системы на этапах ее жизненного цикла, тем самым оказывая влияние на существующие сферы деятельности и системы. В результате правонарушитель получает возможность анализа, выявления существующих закономерностей, потребностей объекта правового регулирования, фиксации их в форме правового акта (документа), порядка доведения правовых норм до объекта правового регулирования, контроля за исполнением правовых норм и их соответствием существующим закономерностям. Отсюда очевиден вывод о необходимости надежной защиты информации об организации системы правового регулирования[16].
На развитие теоретических аспектов вопросов правового регулирования, содержание правовой базы в области обеспечения ИБ личности, общества и государства влияет ряд факторов.
Во-первых, это значительное и фактически однозначное увязывание процесса информатизации с разработкой и применением новых информационных технологий (НИТ) — техноцентрическая ориентация в информатизации. В результате значительное число исследований и работ в области обеспечения ИБ было ориентировано на создание технических и программно-аппаратных средств защиты информации и разработку Шенноновской теории информации (теории связи); недостаточно исследованы вопросы обеспечения ИБ гуманистических систем, в которых большое значение имеют процессы человеческой и человекотехнической коммуникации. Не на должном уровне разработаны вопросы учета влияния человеческого фактора на состояние ИБ, а также влияния состояния ИБ на человека и общество, на гражданина и государство.
Во-вторых, объект и предмет обеспечения ИБ развивался в традиционном направлении обеспечения защиты документальных и в основном электромагнитных носителей информации с использованием запретительных, «прячущих» охранных мер.
В-третьих, недостаточно внимания уделялось вопросам обеспечения ИБ при наличии недокументированной информации, связанной с деятельностью человека и его способностью мыслить, выводить, обобщать, синтезировать, анализировать, сопоставлять, домысливать, формировать понятия, понимать, творить и т.д. Здесь возникают каналы утечки информации, связанные с наличием смысловых, содержательных каналов утечки и воздействия, каналами подтекста, иносказательности, текстовой и образной стеганографии и т.д. Недостаточно исследованы такие формы фиксации информации потребителя, как его память и поступки, память учеников, структура, со став вещества и поля, метод и средства труда и потребления, произведения искусства и культуры (как духовные, так и материальные).
В-четвертых, достаточно полный учет в ходе информатизации разнообразной специфики правовой информации привел к тому, что системы правового регулирования остаются не только самыми открытыми, но и самыми незащищенными системами. А в открытом демократическом государстве граждане, ученые, специалисты, организации выдвигают требования об еще большем увеличении открытости рассматриваемых систем при слабой теоретической проработке вопросов, связанных с этой открытостью и обеспечением ИБ.
В-пятых, недостаточный учет иерархического построения общества и государства, их гетерогенности. Наличие в государстве органов управления, исполнения, руководителей и исполнителей, а в обществе — лидеров и нелидеров требует отражения в НПА по ИБ этих особенностей.
В-шестых, не в полной мере уделялось внимание обеспечению ИБ самих систем защиты, которые порой не имеют достаточной правовой поддержки и своей, внутренней, системы защиты. Это обусловливает возможность получения через знание о системе защиты информации о защищаемых системах.
В-седьмых, не в полной мере определены понятие и содержание базового понятия информации как объекта правового регулирования, объекта защиты, источника угрозы, а также защиты ИС от разрушающего воздействия информации. Здесь налицо необходимость разработки понятийного аппарата как базиса теории и практики на основе известных теоретических положений. Использование в действующем законодательстве дефиниций затрудняет выявление методов их получения, авто ров, мнений и дефиниций нормативных правовых актов[15].
Имеются проблемы корректности процесса правового регулирования, который иногда осуществляется без строгого и корректного определения содержания сферы регулирования, используемых в ней понятий (содержания объекта права) и, прежде всего, базового понятия информации, а также других понятий, в том числе ИБ, информационной технологии, информационного процесса, информационного ресурса (ИР), защиты информации (ЗИ), защиты от информации и других.
Требуют решения проблемы правового регулирования информационных отношений общества и государства, связанные с продуктами производства информации, с так называемой природой второго рода, по мере интеллектуализации которой (насыщения ее высоко интеллектуальными средствами производства интеллектуальных продуктов, информационными технологиями и системами) возникает вопрос о возникновении информации и о правовом регулировании информационных отношений в такой среде, в обществе и государстве.
Недостаточно полно отработан механизм введения нормативных правовых актов, регулирующих отношения в сфере ИБ личности, общества и государства. Можно заметить, что в настоящее время он не всегда вписывается в единую систему правового регулирования, осуществляющую сопровождение правовой нормы, начиная от момента ее зарождения и до момента ее выведения из оборота.
Понимание рассмотренных проблем и особенностей правового регулирования ИБ, а также факторов, влияющих на решения задач обеспечения ИБ информационной сферы, позволяет перейти к анализу состояния и закономерностей практики правового регулирования ИБ личности, общества, государства и формированию направлений развития теоретико-правовых аспектов обеспечения ИБ информационной сферы.