- •Воронеж 2008
- •Воронеж 2008
- •Введение
- •1 Разработка средств обеспечения инофрмационных технологий в подготовке принятия решений по документационному обеспечению защиты информации в органах государственной власти
- •1.1 Информационная сфера как объект правового регулирования
- •1.1.1 Информация как объект правового регулирования
- •1.1.2.1 Официальная правовая информация
- •1.1.2.2 Информация индивидуально - правового характера, имеющая юридическое значение
- •1.1.2.3 Неофициальная правовая информация
- •1.2 Правовое регулирование в сфере обеспечения информационной безопасности в органах государственной власти
- •1.2.1 Нормативное правовое обеспечение информационной безопасности в органах государственной власти
- •1.2.2 Система нормативных правовых документов в области защиты информации в органах государственной власти
- •1.2.3 Анализ состояния нормативной правовой базы в сфере защиты информации в органах государственной власти
- •1.2.4 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти
- •1.2.4.1 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти на федеральном уровне
- •1.2.4.2 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти на региональном уровне
- •1.3 Обзор зарубежного законодательства в области защиты информации
- •Другие Указы президента посвящены следующим вопросам:
- •1.4.2 Основные направления совершенствования нормативного правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти
- •1.5 Основные выводы первой главы
- •2 Исследование методов и моделей поддержки принятия решений в управленческой деятельности и разработка средства принятия решений по вопросам защиты информации в органах государственной власти
- •2.1 Выявление недостатков законодательства рф в сфере поддержки принятия решений по информационной безопасности
- •2.2 Теория принятия решения в области защиты информации в органах государственной власти
- •2.2.1 Основные понятия, термины и определения
- •2.2.2 Перечень этапов процесса принятия решения
- •2.3.2 Анализ и разработка метода принятия решения в области защиты информации в органе государственной власти.
- •2.3.3 Разработка средства поддержки принятия решения в сфере информационной безопасности на основе метода анр
- •2.3.3.1 Область применения и интерфейс программного продукта
- •2.4 Основные выводы второй главы
- •3 Разработка классификации угроз безопасности информации в органах государственной власти
- •3.1 Анализ состояния современной системы защиты в органах государственной власти рф.
- •3.2 Классификация угроз безопасности информации
- •3.3 Угрозы утечки информации по техническим каналам
- •3.3.1 Угрозы утечки информации по каналам побочных электромагнитных излучений и наводок
- •3.3.2 Угрозы утечки акустической информации по техническим каналам
- •3.3.3 Угрозы несанкционированного доступа к информации в компьютерных системах
- •3.3.3.1 Угрозы несанкционированного доступа к информации на отдельном автоматизированном рабочем месте оператора
- •3.3.3.3 Угрозы от программных закладок
- •3.3.3.4 Угрозы несанкционированного доступа к информации в компьютерной сети
- •3.4 Средства съёма
- •3.4.1 Портативные средства акустической разведки
- •3.4.1.1 Проводные системы, портативные диктофоны и электронные стетоскопы
- •3.4.1.2 Акустические закладки
- •3.4.1.3 Направленные микрофоны и лазерные акустические системы разведки
- •3.4.2 Портативные средства радио-, радиотехнической разведки
- •3.4.2.1 Сканерные приемники
- •3.4.2.2 Программно-аппаратные комплексы радио-, радиотехнической разведки
- •3.4.2.3 Средства перехвата пейджинговых сообщений и контроля телефонов сотовой связи
- •3.4.2.4 Радиопеленгаторы
- •3.4.4 Портативные средства видеонаблюдения и съемки
- •3.4.4.1 Средства видеонаблюдения с дальнего расстояния
- •3.4.4.2. Средства видеонаблюдения с близкого расстояния
- •3.4.4.3 Средства фоторазведки и фотодокументирования
- •3.4.5 Классификация вирусов и программ закладок
- •3.4.5.1 Вирусы-программы
- •3.4.5.2 Загрузочные вирусы
- •3.4.5.3 Файловые вирусы
- •3.4.5.4 Полиморфные вирусы, Стелс-вирусы
- •3.4.5.5 Макровирусы, Скрипт-вирусы
- •3.4.5.6 «Троянские программы», программные закладки и сетевые черви.
- •3.4.5.7 Программные закладки
- •3.5 Основные выводы третьей главы
- •4 Типовой объект защиты органов государственной власти
- •4.1 Сегмент органов власти информационной инфраструктуры России
- •4.1.1 Органы государственной власти как объект защиты
- •4.2 Информатизация государства в представлении безопасности информации
- •4.2.1 Особенности формирования информационных технологий на информационную безопасность
- •4.2.2 Цели и задачи государства в связи с распространением угроз безопасности информации
- •4.2.3 Государственная политика использования защищенных информационных технологий
- •4.3 Условия функционирования органов государственной власти
- •4.3.1 Системы электронного документооборота в госорганах России сегодня
- •4.4 Распространение объектно-ориентированного подхода на информационную безопасность
- •4.4.1 Основные понятия объектно-ориентированного
- •4.4.2 Применение объектно-ориентированного подхода к рассмотрению защищаемых систем
- •4.5 Функционально-условный подход к типизации объекта органов государственной власти
- •4.6 Сопоставление угроз и описания объекта
- •4.7 Основные выводы четвертой главы
- •5.1 Сеть Internet
- •5.1.1 Краткие сведения об Internet
- •5.1.2 Состав сети Internet
- •5.1.3 Доступ в Internet
- •5.1.4 Перспективы развития
- •5.2.2 Определение www
- •5.2.3 Области использования www
- •5.4 Язык программирования рнр
- •5.4.1 Основы языка программирования рнр
- •5.4.2 Терминология языка программирования рнр
- •5.4.4 Безопасность php
- •5.5 Система защиты веб-портала
- •5.5.1 Основы системы защиты веб - портала
- •5.5.2 Система разграничения доступа
- •5.5.2.1 Межсетевые экраны прикладного уровня
- •5.5.2.2 Межсетевые экраны с пакетной фильтрацией
- •5.5.2.3 Гибридные межсетевые экраны
- •5.5.4 Система контроля целостности
- •5.5.5 Криптографическая система
- •5.5.6 Система обнаружения атак
- •5.6 Основные выводы пятой главы
- •Заключение
- •394026 Воронеж, Московский просп., 14
1.2.4.2 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти на региональном уровне
Экономическое развитие региона и переход к рыночным механизмам регулирования экономики со стороны государства обусловили резкое увеличение роли информационных ресурсов и систем информатизации в жизни общества. Особенно ярко это выражено в регионах, где объективные факторы широкого внедрения новых информационных технологий (резкое увеличение количества средств вычислительной техники, снижение стоимости современных вычислительных систем и т.п.) соответствовали субъективным факторам (наличию значительного числа квалифицированных пользователей, системы подготовки специалистов и технологической базы производства в сфере информатизации)[12].
Сочетание названных факторов привело к тому, что за последние пять-десять лет в регионах созданы значительные информационные ресурсы, представленные в виде пригодном для автоматизированной обработки (например, в Воронежской области созданы и поддерживаются в актуальном состоянии около 500 баз данных, касающихся различных сфер жизнедеятельности государства, экономики и общества), появились системы электронных коммуникаций (сеть ИНТЕРНЕТ), разработаны первые отечественные системы автоматизации, получившие признание не только в России, но и за рубежом. Неясность их правового статуса обусловила необходимость законодательного и нормативно-правового регулирования деятельности в сфере информатизации не только на федеральном уровне, но и на уровне субъекта Российской Федерации.
Реально сложившееся положение в сфере информатизации и защиты информации ставит перед юридической наукой проблему правового закрепления роли и места информационных ресурсов региона в системе управления экономикой и социальными процессами в обществе (реестр собственности, демографические данные, статистические показатели экономического уровня региона и т.п.).
Возникают большие проблемы с финансовым обеспечением работ в сфере информатизации и защиты информации. В бюджете всех субъектов Российской Федерации должна быть самостоятельная строка, обеспечивающая необходимый уровень работ в области информатизации и защиты информации. Это гарантированное выделение средств на первоочередные задачи информатизации, которые должны решать органы государственной власти субъекта Российской Федерации, экономия на разработке одного и того же средства информатизации для нескольких потребителей, возможность организации конкурсов и привлечения независимой экспертизы предлагаемых проектов, возможность стимулирования и поддержки местных разработчиков средств информатизации[18].
Отсутствует правовое закрепление процедуры учета (регистрации) субъектов информатизации региона (лицензирование осуществляется лишь на федеральном уровне). Это, в свою очередь, порождает некачественное выполнение работ в сфере информатизации и защиты информации и невозможность реализации правового механизма ответственности.
Отсутствует действующий правовой механизм унификации и стандартизации информационных ресурсов. За бюджетные деньги создаются информационные ресурсы в различных форматах, на различных платформах, с использованием различных протоколов, что существенно затрудняет интеграцию и их совместное использование в дальнейшем, провоцирует появление каналов несанкционированного доступа (в вынужденных процессах преобразования форматов).
Для устранения возникающих проблем и препятствий в сфере информатизации региона (субъекта Российской Федерации) предлагается внести в Конституцию Российской Федерации поправки, заключающиеся в переносе деятельности в сфере информатизации и связи в предмет совместного ведения Российской Федерации и ее субъектов[18].
Разработать механизмы создания, эксплуатации и защиты информационных ресурсов, принадлежащих различным юридическим и физическим лицам. Юридически корректным и наиболее целесообразным с практической точки зрения явилось бы создание многоступенчатой региональной системы государственного регулирования (управления) в сфере информатизации включающей:
а) орган управления информатизацией (скорее всего подразделение в исполнительном органе государственной власти субъекта Российской Федерации), осуществляющий управленческую деятельность, формирующий нормативно - правовую основу деятельности всех субъектов в сфере информатизации (региональные стандарты информационных ресурсов, уровни защищенности информации для различных категорий и т.п.), контролирующий процесс информатизации, реализующий меры правового воздействия на субъекты информатизации, а также в случае необходимости использующий право законодательной инициативы;
б) фонд информатизации субъекта Российской Федерации, например, в виде государственной некоммерческой организации, осуществляющей основную производственную деятельность по эксплуатации информационных ресурсов субъекта Российской Федерации, а также выполняющий функции генерального заказчика по разработке средств информатизации и информационных ресурсов за счет средств областного бюджета;
г) многочисленные коммерческие и некоммерческие организации всех форм собственности, осуществляющие свою деятельность в сфере информатизации, при условии их обязательной регистрации на уровне субъекта Российской Федерации[21].
Ввести административную ответственность за нарушения в сфере информатизации и защиты информации. Существующий Кодекс об административных правонарушениях Российской Федерации не предусматривает наложение административных взысканий за правонарушения в сфере информатизации. Меры административного взыскания должны быть дифференцированы в виде как денежных штрафов (в условиях рыночного взаимодействия хозяйствующих субъектов они являются одним из наиболее эффективных способов государственного регулирования), так и лишения права осуществлять свою деятельность в информационном пространстве региона.
Создать механизм реализации административной ответственности (административный процесс), упрощающий существующий административный процесс, в вопросах, связанных с рассмотрением дел касающихся правонарушений в сфере информатизации.
В качестве попытки решения названных проблем на региональном уровне в Воронежской области был принят закон Воронежской области “Об информатизации в Воронежской области”, в котором введены основные понятия в сфере региональной информатизации и предпринята попытка урегулировать сложившиеся правоотношения в данной области. В Воронежской области (первой из всех субъектов Российской Федерации) создан и плодотворно функционирует областной Совет по вопросам защиты информации, представляющий собой совещательный орган при Главе Администрации Воронежской области и определяющий основные приоритеты в деятельности по информационной безопасности региона.