- •Воронеж 2008
- •Воронеж 2008
- •Введение
- •1 Разработка средств обеспечения инофрмационных технологий в подготовке принятия решений по документационному обеспечению защиты информации в органах государственной власти
- •1.1 Информационная сфера как объект правового регулирования
- •1.1.1 Информация как объект правового регулирования
- •1.1.2.1 Официальная правовая информация
- •1.1.2.2 Информация индивидуально - правового характера, имеющая юридическое значение
- •1.1.2.3 Неофициальная правовая информация
- •1.2 Правовое регулирование в сфере обеспечения информационной безопасности в органах государственной власти
- •1.2.1 Нормативное правовое обеспечение информационной безопасности в органах государственной власти
- •1.2.2 Система нормативных правовых документов в области защиты информации в органах государственной власти
- •1.2.3 Анализ состояния нормативной правовой базы в сфере защиты информации в органах государственной власти
- •1.2.4 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти
- •1.2.4.1 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти на федеральном уровне
- •1.2.4.2 Проблемы правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти на региональном уровне
- •1.3 Обзор зарубежного законодательства в области защиты информации
- •Другие Указы президента посвящены следующим вопросам:
- •1.4.2 Основные направления совершенствования нормативного правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти
- •1.5 Основные выводы первой главы
- •2 Исследование методов и моделей поддержки принятия решений в управленческой деятельности и разработка средства принятия решений по вопросам защиты информации в органах государственной власти
- •2.1 Выявление недостатков законодательства рф в сфере поддержки принятия решений по информационной безопасности
- •2.2 Теория принятия решения в области защиты информации в органах государственной власти
- •2.2.1 Основные понятия, термины и определения
- •2.2.2 Перечень этапов процесса принятия решения
- •2.3.2 Анализ и разработка метода принятия решения в области защиты информации в органе государственной власти.
- •2.3.3 Разработка средства поддержки принятия решения в сфере информационной безопасности на основе метода анр
- •2.3.3.1 Область применения и интерфейс программного продукта
- •2.4 Основные выводы второй главы
- •3 Разработка классификации угроз безопасности информации в органах государственной власти
- •3.1 Анализ состояния современной системы защиты в органах государственной власти рф.
- •3.2 Классификация угроз безопасности информации
- •3.3 Угрозы утечки информации по техническим каналам
- •3.3.1 Угрозы утечки информации по каналам побочных электромагнитных излучений и наводок
- •3.3.2 Угрозы утечки акустической информации по техническим каналам
- •3.3.3 Угрозы несанкционированного доступа к информации в компьютерных системах
- •3.3.3.1 Угрозы несанкционированного доступа к информации на отдельном автоматизированном рабочем месте оператора
- •3.3.3.3 Угрозы от программных закладок
- •3.3.3.4 Угрозы несанкционированного доступа к информации в компьютерной сети
- •3.4 Средства съёма
- •3.4.1 Портативные средства акустической разведки
- •3.4.1.1 Проводные системы, портативные диктофоны и электронные стетоскопы
- •3.4.1.2 Акустические закладки
- •3.4.1.3 Направленные микрофоны и лазерные акустические системы разведки
- •3.4.2 Портативные средства радио-, радиотехнической разведки
- •3.4.2.1 Сканерные приемники
- •3.4.2.2 Программно-аппаратные комплексы радио-, радиотехнической разведки
- •3.4.2.3 Средства перехвата пейджинговых сообщений и контроля телефонов сотовой связи
- •3.4.2.4 Радиопеленгаторы
- •3.4.4 Портативные средства видеонаблюдения и съемки
- •3.4.4.1 Средства видеонаблюдения с дальнего расстояния
- •3.4.4.2. Средства видеонаблюдения с близкого расстояния
- •3.4.4.3 Средства фоторазведки и фотодокументирования
- •3.4.5 Классификация вирусов и программ закладок
- •3.4.5.1 Вирусы-программы
- •3.4.5.2 Загрузочные вирусы
- •3.4.5.3 Файловые вирусы
- •3.4.5.4 Полиморфные вирусы, Стелс-вирусы
- •3.4.5.5 Макровирусы, Скрипт-вирусы
- •3.4.5.6 «Троянские программы», программные закладки и сетевые черви.
- •3.4.5.7 Программные закладки
- •3.5 Основные выводы третьей главы
- •4 Типовой объект защиты органов государственной власти
- •4.1 Сегмент органов власти информационной инфраструктуры России
- •4.1.1 Органы государственной власти как объект защиты
- •4.2 Информатизация государства в представлении безопасности информации
- •4.2.1 Особенности формирования информационных технологий на информационную безопасность
- •4.2.2 Цели и задачи государства в связи с распространением угроз безопасности информации
- •4.2.3 Государственная политика использования защищенных информационных технологий
- •4.3 Условия функционирования органов государственной власти
- •4.3.1 Системы электронного документооборота в госорганах России сегодня
- •4.4 Распространение объектно-ориентированного подхода на информационную безопасность
- •4.4.1 Основные понятия объектно-ориентированного
- •4.4.2 Применение объектно-ориентированного подхода к рассмотрению защищаемых систем
- •4.5 Функционально-условный подход к типизации объекта органов государственной власти
- •4.6 Сопоставление угроз и описания объекта
- •4.7 Основные выводы четвертой главы
- •5.1 Сеть Internet
- •5.1.1 Краткие сведения об Internet
- •5.1.2 Состав сети Internet
- •5.1.3 Доступ в Internet
- •5.1.4 Перспективы развития
- •5.2.2 Определение www
- •5.2.3 Области использования www
- •5.4 Язык программирования рнр
- •5.4.1 Основы языка программирования рнр
- •5.4.2 Терминология языка программирования рнр
- •5.4.4 Безопасность php
- •5.5 Система защиты веб-портала
- •5.5.1 Основы системы защиты веб - портала
- •5.5.2 Система разграничения доступа
- •5.5.2.1 Межсетевые экраны прикладного уровня
- •5.5.2.2 Межсетевые экраны с пакетной фильтрацией
- •5.5.2.3 Гибридные межсетевые экраны
- •5.5.4 Система контроля целостности
- •5.5.5 Криптографическая система
- •5.5.6 Система обнаружения атак
- •5.6 Основные выводы пятой главы
- •Заключение
- •394026 Воронеж, Московский просп., 14
1.4.2 Основные направления совершенствования нормативного правового регулирования в сфере обеспечения информационной безопасности в органах государственной власти
Совершенствование нормативного правового обеспечения информационной безопасности Российской Федерации должно осуществляться по направлениям развития:
общепризнанных принципов и норм международного права, международных договоров Российской Федерации и нормативных правовых актов международных организаций, участником которых является Российской Федерация;
федерального законодательства, регулирующего отношения в данной области по предметам ведения Российской Федерации и совместного ведения Российской Федерации и ее субъектов;
законодательства субъектов Российской Федерации, регулирующего отношения в рассматриваемой области по вопросам, отнесенным к предметам совместного ведения Российской Федерации и субъектов Российской Федерации, а также собственного правового регулирования субъектов Российской Федерации;
нормативных правовых актов федеральных органов исполнительной власти, принимаемых в пределах их полномочий[12].
В рамках совершенствования нормативного правового обеспечения информационной безопасности Российской Федерации должны быть конкретизирован перечень объектов обеспечения безопасности и уточнены правовые механизмы регулирования отношений в области противодействия угрозам безопасности этих объектов.
Основными целями совершенствования системы общепризнанных принципов и норм международного права, системы международных договоров Российской Федерации и нормативных правовых актов международных организаций, участником которых является Российской Федерация, являются:
создание комплексной системы международной информационной безопасности, предусматривающей координацию усилий всех членов мирового сообщества по противодействию наиболее опасным угрозам безопасности международной информационной сферы и информационной сферы каждой страны;
развитие системы международных договоров по отдельным направлениям обеспечения информационной безопасности Российской Федерации[21].
Основными целями совершенствования федерального законодательства в области обеспечения информационной безопасности являются:
повышение эффективности правового регулирования отношений в области противодействия угрозам национальным интересам Российской Федерации в информационной сфере;
формирование комплексной системы согласованных нормативных правовых актов Российской Федерации, регулирующих отношения в рассматриваемой области и затрагивающих вопросы, отнесенные к ведению Российской Федерации и ее совместному ведению с субъектами Российской Федерации[12].
Формирование правовой системы РФ еще не завершено, и законодательство в целом, в частности, информационное, находится в динамике. Это позволяет констатировать, что современный этап развития законодательства РФ в информационной сфере характеризуется дальнейшим разрастанием нескоординированных правовых актов, дублирующих или нередко содержащих противоречивые нормы права. При формировании информационного законодательства как взаимосогласованной и эффективной системы, учитывающей общепризнанные нормы и принципы международного права, важна их систематизация.
Цели систематизации законодательства в информационной сфере: создание стройной системы нормативных правовых актов, регулирующих правоотношения, связанные с этой сферой, обладающей качествами полноты, доступности и удобства пользования, устранение устаревших норм права.
Идея о праве как системном образовании, имеющем многоуровневую структуру, позволяет представить совокупность норм или отдельные нормы как множество элементов, которые находятся в нескольких взаимовложенных декартовых n- мерных пространствах и чье местоположение в каждом из пространств однозначно описывается с введением соответствующих систем отсчета. Т.о., в каждом из пространств его элементы (правовые нормы) занимают определяемое системой отсчета положение, что позволяет описать все свойства данного элемента, появляющегося в данном пространстве.
Если правовая норма может быть отнесена к какому-либо структурному подразделению права, то соответствующий ей пространственный элемент обладает измерением, основанным на признаке, формирующем это структурное подразделение. Можно выделить по крайней мере четыре таких пространства правовых норм.
Первую систему координат, с помощью которой можно охарактеризовать анализируемые нормы, можно условно обозначить как пространственно-временную. Фактически речь идет о координатах нормы, описывающих ее местоположение в физическом мире, представленных на рисунке 1.5.
Рисунок 1.5 - Физическое пространство правовых норм
За вторую систему координат можно принять субъектное пространство. Система измерений в нем строится в соответствии с любыми возможными видами субъектов. Такая система представлена на рисунке 1.6, правовые нормы располагаются согласно наличию необходимых признаков и могут относится к различным отраслям права.
Рисунок 1.6 - Субъектное пространство правовых норм
Третья система координат – функциональная, она представлена на рисунке 1.7. Измерения данного правового пространства соответствуют функциональному распределению объектов правового регулирования, т.е. определяют область их приложения. Такой классификационный критерий отличается значительной неопределенностью, однако лишь с его привлечением становится возможным объединение правовых норм. Относящихся к регулированию какого-либо одного вида деятельности.
Рисунок 1.7 - Функциональное пространство правовых норм
В четвертой технико-юридической системе координат правовые нормы распределяются в соответствии со своей юридической спецификой. Такая система координат представлена на рисунке 1.8. Сюда могут быть отнесены такие измерения, как "метод регулирования", "источник нормы", "принадлежность нормы к материальному или процессуальному праву" и др., отражающие принятые основания, а также соответствия между содержанием понятия и его определением.
Рисунок 1.8 - Технико-юридическое пространство правовых норм
Легко заметить, что приведенные примеры структурирования массивов правовых норм имеют прямые аналогии в практике создания информационно-поисковых инструментов. Применительно к правовым базам данных производится индексирование каждого входящего в такие базы документа, что в дальнейшем резко облегчает его нахождение по определенному признаку или совокупности признаков.
Произведя однозначное описание отдельной правовой нормы или группы правовых норм путем присвоения ей определенных координат в рассматриваемых измерениях и пространствах, в дальнейшем весьма удобно устанавливать соотношения между различными правовыми нормами в виде систем неравенств и уравнений, сгруппированных по заранее выбранным признакам, соответствующих тем или иным координатным измерениям. Это является достаточно наглядным средством проверки не только места того или иного правового института в общей системе права, и реальной эффективности его применения.
Основными целями совершенствования законодательства субъектов Российской Федерации в области информационной безопасности являются:
формирование системы обеспечения информационной безопасности субъектов Российской Федерации как составной части единой системы обеспечения информационной безопасности Российской Федерации;
согласование направлений развития региональных информационных инфраструктур, принципов и механизмов их взаимодействия с федеральной информационной инфраструктурой, сохранение и развитие единого информационного пространства Российской Федерации.
Для решения поставленных целей в плане совершенствования законодательства субъектов Российской Федерации в области информационной безопасности целесообразно применить теорию Фракталов.
Фрактал — это бесконечно самоподобная геометрическая фигура, каждый фрагмент которой повторяется при уменьшении масштаба. Масштабная инвариантость, наблюдаемая во фракталах, может быть либо точной, либо приближённой.
Фракталы имеют ряд свойств, присущих только им:
они имеют тонкую структуру, т. е. содержат произвольно малые масштабы;
они слишком нерегулярны, чтобы быть описанными на традиционном геометрическом языке;
они имеют некоторую форму самоподобия, допуская приближённую;
они имеют дробную "фрактальную" размерность, называемую также размерностью Минковского.
В основном фракталы делят на геометрические, алгебраические и стохастические. Однако существуют и другие классификации. Рукотворные и природные. К рукотворным относятся те фракталы, которые были придуманы учёными, они при любом масштабе обладают фрактальными свойствами. На природные фракталы накладывается ограничение на область существования — то есть максимальный и минимальный размер, при которых у объекта наблюдаются фрактальные свойства.
История фракталов началась с геометрических фракталов, которые исследовались математиками в XIX веке. Фракталы этого класса — самые наглядные, потому что в них сразу видна самоподобность.
В двухмерном случае такие фракталы можно получить, задав некоторую ломаную, называемую генератором. За один шаг алгоритма каждый из отрезков, составляющих ломаную, заменяется на ломаную - генератор, в соответствующем масштабе. В результате бесконечного повторения этой процедуры (а точнее, при переходе к пределу) получается фрактальная кривая. При видимой сложности полученной кривой, её общий вид задаётся только формой генератора.
Примерами таких кривых служат:
кривая дракона;
кривая Коха;
кривая Леви;
кривая Минковского;
кривая Пеано.
К геометрическим фракталам также относят фракталы, получаемые похожими процедурами, например:
множество Кантора;
треугольник Серпинского;
ковер Серпинского;
кладбище Серпинского;
губка Менгера;
дерево Пифагора.
Для построения алгебраических фракталов используются итерации нелинейных отображений, задаваемых простыми алгебраическими формулами.
Наиболее изучен двухмерный случай. Нелинейные динамические системы могут обладать несколькими устойчивыми состояниями. Каждое устойчивое состояние (аттрактор) обладает некоторой областью начальных состояний, при которых система обязательно в него перейдёт. Таким образом, фазовое пространство разбивается на области притяжения аттракторов.
Подробно рассматривая свойства фракталов можно заметить, что они присущи и отдельным нормам права, или группе норм права. НПА также как и фракталы имеют сходную форму строения, они не имеют четкой границы и конкретной размерности, а также находятся в постоянной динамике.
Таким образом, систему НПА для органов государственной власти на региональном уровне можно представить в виде фрактала федеральной системы. Такая система НПА имела бы структуру подобную федеральной системе, но в меньшем масштабе, к тому же она позволяла бы учитывать специализацию отдельных субъектов РФ.
Совершенствование нормативного правового обеспечения информационной безопасности Российской Федерации осуществляется на основе максимально возможного сохранения системы действующих нормативных правовых актов и основных механизмов регулирования общественных отношений в области противодействия угрозам интересам Российской Федерации в информационной сфере[20].
Противодействие этим угрозам предполагает создание системы эффективного взаимодействия общества и государства в целях предупреждения, выявления и пресечения правонарушений в области обеспечения информационной безопасности Российской Федерации на основе расширения участия общественных организаций в контроле за соблюдением международных договоров Российской Федерации и законодательства Российской Федерации в области защиты прав и свобод человека, установления порядка взаимодействия общественных организаций с федеральными органами исполнительной власти и органами исполнительной власти субъектов Российской Федерации в целях обеспечения информационной безопасности России.
Совершенствование системы общепризнанных принципов и норм международного права, системы международных договоров Российской Федерации и нормативных правовых актов международных организаций, участником которых является Российская Федерация, должно осуществляться по следующим основным направлениям:
закрепление права на безопасность функционирования глобальных информационно-телекоммуникационных систем и сетей связи, на сохранность передаваемой в них информации в качестве общепризнанной нормы международного права;
создание международной системы обеспечения безопасности глобальных информационных и телекоммуникационных систем и сетей связи, включая предотвращение и разрешение конфликтных ситуаций, возникающих при использовании этих систем и сетей, защиту законных интересов человека и гражданина, связанных с безопасностью информационного обмена, охрану объектов интеллектуальной собственности, обеспечение неприкосновенности частной жизни, личной и семейной тайны, тайны сообщений в интенсивно развивающихся глобальных информационно-телекоммуникационных системах;
предотвращение создания и использования средств нарушения нормального функционирования международных и национальных информационных и телекоммуникационных систем и сетей связи, а также несанкционированного доступа к информационным ресурсам;
присоединение к международным договорам по тарифам и услугам в области телекоммуникаций, а также по борьбе с преступлениями в сфере высоких технологий;
расширение участия российских научных организаций в фундаментальных и поисковых исследованиях, проводимых международными организациями[20].
Совершенствование федерального законодательства должно осуществляться по следующим направлениям:
усиление гарантий конституционных прав и свобод граждан, реализуемых в информационной сфере;
развитие правовых механизмов регулирования общественных отношений в области конституционных ограничений прав и свобод человека и гражданина, реализуемые в информационной сфере, в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;
обеспечение государственной поддержки фундаментальных, поисковых и опытно-конструкторских работ в области создания конкурентоспособных средств информатизации, телекоммуникации и связи;
стимулирование инвестиций в производство конкурентоспособных средств информатизации, телекоммуникации и связи, их продвижение на внутренний и мировой рынки;
развитие системы обеспечения информационной безопасности Российской Федерации, прежде всего, за счет включения в нее органов государственной власти субъектов Российской Федерации, общественных объединений, организаций и граждан;
создание системы государственного управления информационными ресурсами;
совершенствование законодательства, регулирующего отношения в области международного информационного обмена;
совершенствование законодательства по вопросам защиты государственной тайны, предотвращения несанкционированного доступа к другим охраняемым законом сведениям;
совершенствование законодательства по вопросам защиты конфиденциальной информации;
законодательное разграничение уровней правового регулирования проблем обеспечения информационной безопасности (федеральный уровень, уровень субъекта Федерации, уровень местного самоуправления)[12].
Совершенствование законодательства субъектов Российской Федерации должно осуществляться по следующим направлениям:
приведение в соответствие с федеральным законодательством по вопросам, отнесенным к совместному ведению Российской Федерации и ее субъектов;
внесение изменений и дополнений в действующее законодательство субъектов Федерации в области обеспечения информационной безопасности для устранения противоречий нормам Конституции Российской Федерации, федеральному законодательству и международным соглашениям, к которым присоединилась Российская Федерация, а также конкретизация норм ответственности за правонарушения в данной области;
согласование усилий органов государственной власти субъектов Российской Федерации и федеральных органов государственной власти по решению проблем обеспечения безопасности региональных информационных и телекоммуникационных систем и информационных ресурсов;
поддержка отечественных товаропроизводителей конкурентоспособных средств информатизации, телекоммуникации и связи, содействие в продвижении их продукции на внутренний и мировой рынки;
повышение экономической эффективности использования региональных информационных ресурсов, введения их в хозяйственный оборот[21].
Совершенствование системы нормативных правовых актов федеральных органов исполнительной власти должно осуществляться в направлении повышения согласованности норм, содержащихся в нормативных правовых актов федеральных органов исполнительной власти, с общепризнанными принципами и нормами международного права, нормами федерального законодательства.