- •Воронеж 2008
- •Воронеж 2008
- •Введение
- •1 Разработка средств обеспечения инофрмационных технологий в подготовке принятия решений по документационному обеспечению защиты информации в органах государственной власти
- •1.1 Информационная сфера как объект правового регулирования
- •1.1.1 Информация как объект правового регулирования
- •1.1.2.1 Официальная правовая информация
- •1.1.2.2 Информация индивидуально - правового характера, имеющая юридическое значение
- •1.1.2.3 Неофициальная правовая информация
- •1.2 Правовое регулирование в сфере обеспечения информационной безопасности в органах государственной власти
- •1.2.1 Нормативное правовое обеспечение информационной безопасности в органах государственной власти
- •1.2.2 Система нормативных правовых документов в области защиты информации в органах государственной власти
- •1.2.3 Анализ состояния нормативной правовой базы в сфере защиты информации в органах государственной власти
- •1.2.4 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти
- •1.2.4.1 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти на федеральном уровне
- •1.2.4.2 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти на региональном уровне
- •1.3 Обзор зарубежного законодательства в области защиты информации
- •Другие Указы президента посвящены следующим вопросам:
- •1.4.2 Основные направления совершенствования нормативного правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти
- •1.5 Основные выводы первой главы
- •2 Исследование методов и моделей поддержки принятия решений в управленческой деятельности и разработка средства принятия решений по вопросам защиты информации в органах государственной власти
- •2.1 Выявление недостатков законодательства рф в сфере поддержки принятия решений по информационной безопасности
- •2.2 Теория принятия решения в области защиты информации в органах государственной власти
- •2.2.1 Основные понятия, термины и определения
- •2.2.2 Перечень этапов процесса принятия решения
- •2.3.2 Анализ и разработка метода принятия решения в области защиты информации в органе государственной власти.
- •2.3.3 Разработка средства поддержки принятия решения в сфере информационной безопасности на основе метода анр
- •2.3.3.1 Область применения и интерфейс программного продукта
- •2.4 Основные выводы второй главы
- •3 Разработка классификации угроз безопасности информации в органах государственной власти
- •3.1 Анализ состояния современной системы защиты в органах государственной власти рф.
- •3.2 Классификация угроз безопасности информации
- •3.3 Угрозы утечки информации по техническим каналам
- •3.3.1 Угрозы утечки информации по каналам побочных электромагнитных излучений и наводок
- •3.3.2 Угрозы утечки акустической информации по техническим каналам
- •3.3.3 Угрозы несанкционированного доступа к информации в компьютерных системах
- •3.3.3.1 Угрозы несанкционированного доступа к информации на отдельном автоматизированном рабочем месте оператора
- •3.3.3.3 Угрозы от программных закладок
- •3.3.3.4 Угрозы несанкционированного доступа к информации в компьютерной сети
- •3.4 Средства съёма
- •3.4.1 Портативные средства акустической разведки
- •3.4.1.1 Проводные системы, портативные диктофоны и электронные стетоскопы
- •3.4.1.2 Акустические закладки
- •3.4.1.3 Направленные микрофоны и лазерные акустические системы разведки
- •3.4.2 Портативные средства радио-, радиотехнической разведки
- •3.4.2.1 Сканерные приемники
- •3.4.2.2 Программно-аппаратные комплексы радио-, радиотехнической разведки
- •3.4.2.3 Средства перехвата пейджинговых сообщений и контроля телефонов сотовой связи
- •3.4.2.4 Радиопеленгаторы
- •3.4.4 Портативные средства видеонаблюдения и съемки
- •3.4.4.1 Средства видеонаблюдения с дальнего расстояния
- •3.4.4.2. Средства видеонаблюдения с близкого расстояния
- •3.4.4.3 Средства фоторазведки и фотодокументирования
- •3.4.5 Классификация вирусов и программ закладок
- •3.4.5.1 Вирусы-программы
- •3.4.5.2 Загрузочные вирусы
- •3.4.5.3 Файловые вирусы
- •3.4.5.4 Полиморфные вирусы, Стелс-вирусы
- •3.4.5.5 Макровирусы, Скрипт-вирусы
- •3.4.5.6 «Троянские программы», программные закладки и сетевые черви.
- •3.4.5.7 Программные закладки
- •3.5 Основные выводы третьей главы
- •4 Типовой объект защиты органов государственной власти
- •4.1 Сегмент органов власти информационной инфраструктуры России
- •4.1.1 Органы государственной власти как объект защиты
- •4.2 Информатизация государства в представлении безопасности информации
- •4.2.1 Особенности формирования информационных технологий на информационную безопасность
- •4.2.2 Цели и задачи государства в связи с распространением угроз безопасности информации
- •4.2.3 Государственная политика использования защищенных информационных технологий
- •4.3 Условия функционирования органов государственной власти
- •4.3.1 Системы электронного документооборота в госорганах России сегодня
- •4.4 Распространение объектно-ориентированного подхода на информационную безопасность
- •4.4.1 Основные понятия объектно-ориентированного
- •4.4.2 Применение объектно-ориентированного подхода к рассмотрению защищаемых систем
- •4.5 Функционально-условный подход к типизации объекта органов государственной власти
- •4.6 Сопоставление угроз и описания объекта
- •4.7 Основные выводы четвертой главы
- •5.1 Сеть Internet
- •5.1.1 Краткие сведения об Internet
- •5.1.2 Состав сети Internet
- •5.1.3 Доступ в Internet
- •5.1.4 Перспективы развития
- •5.2.2 Определение www
- •5.2.3 Области использования www
- •5.4 Язык программирования рнр
- •5.4.1 Основы языка программирования рнр
- •5.4.2 Терминология языка программирования рнр
- •5.4.4 Безопасность php
- •5.5 Система защиты веб-портала
- •5.5.1 Основы системы защиты веб - портала
- •5.5.2 Система разграничения доступа
- •5.5.2.1 Межсетевые экраны прикладного уровня
- •5.5.2.2 Межсетевые экраны с пакетной фильтрацией
- •5.5.2.3 Гибридные межсетевые экраны
- •5.5.4 Система контроля целостности
- •5.5.5 Криптографическая система
- •5.5.6 Система обнаружения атак
- •5.6 Основные выводы пятой главы
- •Заключение
- •394026 Воронеж, Московский просп., 14
1.5 Основные выводы первой главы
В данной главе была рассмотрена имеющаяся законодательная база в области обеспечения информационной безопасности в органах государственной власти; были проанализированы основные недостатки и противоречия в действующей нормативной правовой базе в области защиты информации в органах государственной власти; разработаны рекомендации по совершенствованию действующей законодательной базы в области защиты информации в органах государственной власти; разработаны рекомендации по развитию законодательной базы в области защиты информации в органах государственной власти; а так же составлен перечень действующих нормативных правовых документов в области защиты информации в органах государственной власти.
2 Исследование методов и моделей поддержки принятия решений в управленческой деятельности и разработка средства принятия решений по вопросам защиты информации в органах государственной власти
2.1 Выявление недостатков законодательства рф в сфере поддержки принятия решений по информационной безопасности
В современном российском законодательстве существуют два основных документа, регулирующих систему защиты информации на предприятиях: «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР - К) от 2 марта 2001 г. №7.2 и Положение «О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам» от 15 сентября 1993 №912 – 51.[49,51]
Первый документ устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты информации с ограниченным доступом, не содержащей сведений составляющих государственную тайну на территории Российской Федерации. Требования и рекомендации этого документа распространяются на защиту государственных информационных ресурсов некриптографическими методами.
Положение определяет структуру государственной системы защиты информации в Российской Федерации, ее задачи и функции, основы организации защиты сведений, отнесенных в установленном порядке к государственной или служебной тайне, от иностранных технических разведок и от ее утечки по техническим каналам.
В данных нормативно – методических документах существует ряд недостатков, связанных с принятием решений в сфере защиты информации. Для их выявления и классификации были проанализированы основные каналы утечки информации. Определяют следующий перечень каналов утечки информации.[33]
В зависимости от способов перехвата информации, физической природы возбуждения сигналов, а также среды их распространения можно выделить:
I. Внешние:
1) Технические каналы утечки:
а) электромагнитные формируются в результате побочного электромагнитного излучения:
- элементов технических средств обработки информации (ТСОИ), сигнал которых (ток, напряжение, частота и фаза) изменяется так же, как и информационный;
- ВЧ-генераторов ТСОИ и вспомогательных технических средств и систем (ВТСС), которое может непреднамеренно модулироваться электрическим сигналом, наведенным информационным;
- НЧ-усилителей технических средств передачи информации (ТСПИ) в результате случайного преобразования отрицательной обратной связи в паразитную положительную, что может привести к самовозбуждению и переходу усилителя из режима усиления в режим автогенерации сигналов, модулированных информационным сигналом.
б) электрические появляются вследствие наводки:
- электромагнитного излучения, возникающего при передаче информационных сигналов элементами ТСОИ, а также из-за наличия гальванической связи между соединительными линиями ТСОИ и другими проводниками или линиями ВТСС;
- информационных сигналов в цепи электропитания вследствие магнитной связи между выходным трансформатором усилителя и трансформатором системы электропитания, а также неравномерной нагрузки выпрямителя, приводящей к изменению потребляемого тока в соответствии с изменениями информационного сигнала;
- информационных сигналов в цепи заземления за счет гальванической связи с землей различных проводников (в том числе нулевого провода сети электропитания, экранов) и металлических конструктивных элементов, выходящих за пределы контролируемой зоны безопасности.
в) параметрические - применение специального "ВЧ-облучения", электромагнитное поле которого взаимодействует с элементами ТСОИ и модулируется информационным сигналом
2) Каналы перехвата при передаче информации системами связи:
а) электромагнитные - образуются при перехвате сигналов передатчиков систем связи стандартными техническими средствами, широко используемыми для прослушивания телефонных разговоров по разнообразным радиоканалам (сотовым, радиорелейным, спутниковым);
б) электрические - перехват информации, передаваемой по кабельным линиям связи, предполагает подключение к ним телефонных закладок, оснащенных радиопередатчиками;
в) индукционные - способны снимать информацию не только с изолированных кабелей, но и с кабелей, защищенных двойной броней из стальной ленты и стальной проволоки.
3) Акустические каналы утечки:
а) воздушные - для перехвата информации используются высокочувствительные и направленные акустические закладки, например микрофоны, соединенные с диктофонами или специальными мини-передатчиками. Перехваченная закладками акустическая информация может передаваться по радиоканалам, сети переменного тока, соединительным линиям, проложенным в помещении проводникам, трубам и т. п.
б) вибрационные - среда распространения информации — конструктивные элементы зданий (стены, потолки, полы и др.), а также трубы водо- и теплоснабжения, канализации.
в) электроакустические - формируются в результате преобразования акустических сигналов в электрические путем "высокочастотного навязывания" или перехвата с помощью ВТСС.
г) оптоэлектронные - облучая лазерным пучком вибрирующие в акустическом поле тонкие отражающие поверхности (стекла окон, зеркала, картины и т. п.), можно сформировать оптоэлектронный (лазерный) канал утечки акустической информации. Отраженное лазерное излучение, модулированное акустическим сигналом по амплитуде и фазе, демодулируется приемником, который и выделяет речевую информацию.
д) параметрические - при воздействии акустического поля на элементы ВЧ-генераторов и изменении взаимного расположения элементов систем, проводов, дросселей и т. п. передаваемый сигнал модулируется информационным. В результате формируется параметрический канал утечки акустической информации. Модулированные ВЧ-сигналы перехватываются соответствующими средствами.
4) Видовой канал утечки информации:
Для перехвата по данному каналу используют оптические приборы (бинокли, подзорные трубы, телескопы, монокуляры), телекамеры, приборы ночного видения, тепловизоры и т. п. Для снятия копий документов применяют электронные и специальные закамуфлированные фотоаппараты, а для дистанционного съема видовой информации — видеозакладки.[23]
5) Компьютерные методы съема информации:
Применяются разнообразные закладные устройства, несанкционированный доступ, как правило, получают с помощью специальных программных средств (компьютерных вирусов, логических бомб, "троянских коней", программных закладок и т. п.). Среди вирусов, нарушающих режим функционирования компьютера, есть неопасные (не повреждающие файловую структуру), опасные (повреждающие эту структуру) и очень опасные (повреждающие аппаратуру и влияющие на здоровье оператора).
II. Внутренние:
1) хищение носителей информации;
2) съем информации;
3) несанкционированное копирование;
4) несанкционированное уничтожение;
5) ошибки пользователей, ошибки администрирования.
В данных документах явно показаны меры и конкретные инструкции по предотвращению, либо по прекращению злоумышленных действий, связанных с различным несанкционированным доступом. После проведенного анализа, было выяснено, что в них не были учтены все угрозы информационной безопасности (в частности, видовые и ошибки пользователей и администрирования), и, соответственно, не хватает схем действий в той или иной ситуации.
В данных документах определяется защита всей информации, обрабатываемой в организации, не учитывается целесообразность такой защиты в зависимости от ценности информации, не рассматриваются различные критерии принятия решения о защите по тому или иному каналу утечки информации, соответственно, невозможно оценить принимаемое решения со всех точек зрения безопасности. [25,41]
В данной таблице, наглядно продемонстрировано, что при внедрении политики безопасности, основанной на инструкциях, описанных в СТР – К, множество неучтенных каналов утечки информации могут стать серьезной проблемой при обслуживании такой системы защиты.
Следовательно, метод и, соответственно, разработанное средство поддержки принятия решения по защите информации, станет несомненным подспорьем при решении вопросов по предотвращению злоумышленных действий по всем существующим угрозам безопасности информации. [33]
Также следует вывод о том, что в обоих документах даются лишь общие рекомендации по противодействию основным видам угроз, нет возможности для расширения, появляющихся угроз, не дается четких указаний по принятию решения по смене политики безопасности. Таким образом, данная глава направлена на устранение неопределенности в вопросе принятия решения по защите информации при возникновении тех угроз, которые не были определены в нормативно – методических документах.