автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Модель и метод анализа эффективности систем защиты информации сайтов органов власти Российской Федерации

На правах рукописи

Проценко Евгений Александрович

МОДЕЛЬ И МЕТОД АНАЛИЗА ЭФФЕКТИВНОСТИ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ САЙТОВ ОРГАНОВ ВЛАСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ

Специальность 05.13.19. Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

САНКТ-ПЕТЕРБУРГ 2008

Работа выполнена на кафедре «Безопасные информационные технологии» Государственного образовательного учреждения высшего профессионального образования «Санкт-Петербургский Государственный университет информационных технологий, механики и оптики» (ГОУ ВПО «СПбГУ ИТМО»).

Научный руководитель: Осовецкий Леонид Георгиевич

доктор технических наук, профессор

Официальные оппоненты:

Штрик Александр Аркадьевич

доктор технических наук, профессор Суханов Андрей Вячеславович

кандидат технических наук

Ведущая организация:

Управление ФСТЭК России по СевероЗападному федеральному округу

Защита состоится «27» мая 2008 г. в 15 часов 50 минут на заседании Диссертационного совета Д 212.227.05 при ГОУ ВПО «СПбГУ ИТМО», по адресу: 197101, Санкт-Петербург, Кронверкский пр., 49.

С диссертацией можно ознакомиться в библиотеке ГОУ ЁПО «СПбГУ ИТМО». Автореферат разослан «¿У» апреля 2008 г.

Отзывы и замечания по автореферату в двух экземплярах, заверенные печатью, просьба высылать по вышеуказанному адресу на имя ученого секретаря диссертационного совета.

Ученый секретарь диссертационного совета, к.т.н., доцент

В.И.Поляков

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность выбора темы диссертационного исследования обусловлена необходимостью обеспечить сохранность информационных ресурсов, а также нарастанием угроз национальной безопасности РФ в информационной сфере за счет получения несанкционированного доступа к информационным ресурсам и нарушения нормального функционирования информационных и телекоммуникационных систем. В связи с этим анализ эффективности систем защиты информации (СЗИ) сайтов органов власти становится обязательным этапом создания любой СЗИ сайтов.

Неотъемлемой частью разработки СЗИ сайтов органов власти является совершенствование нормативных правовых и нормативно-методических документов в области защиты информации, а также проведение экспертизы и контроля качества защиты открытой общедоступной информации, размещаемой на сайтах органов власти.

На региональном уровне, как показывает практика, органы власти, размещая открытую общедоступную информацию на сайтах в сети Интернет, в большинстве случаев не разрабатывают модели угроз и поведения «нарушителя», ввиду отсутствия методик и программных средств, позволяющих спрогнозировать их действия. Отсутствие должного уровня научной разработанности таких проблем препятствует широкому внедрению уже имеющихся исследований в практику. Учёт этого обстоятельства послужил основанием к выбору темы исследования. При этом, актуальность решения этой проблемы значительно повышается на уровне органов власти регионов.

Целью исследования является исследование и разработка методов, моделей и средств выявления, идентификации и классификации угроз нарушения СЗИ сайтов органов власти, расположенных в пределах Северо-Западного федерального округа (СЗФО), а также моделей и методов анализа эффективности их СЗИ.

В соответствии с целью в работе поставлены и решены следующие задачи: на примере зарубежных стран: проанализирован аналогичный опыт создания СЗИ. проведена оценка сайтов правительств федерального уровня и уровня штатов Америки на предмет представления онлайновой информации и услуг, а также обобщены результаты исследования характеристик их безопасности; выявлены различия между правительствами обоих уровней и показателей, характеризующих степень того, как сайтк правительств соответствуют потребностям граждан в доступе к необходимой им информации; проведён анализ различий использования электронных технологий в разны* ветвях власти федерального правительства США; оценена роль элементов в облагай развития национальных экономик, как глобализация и прозрачность, для обеспечение эффективной информационной безопасности; проанализирована зависимость межд> глобализацией, состоянием демократических свобод и уровнем затененности деятельности правительств; проведена качественная и количественная оценка взаимосвязи между уровнем распространения информационных компьютерных технологий и величиной непрозрачности экономики;

проанализирован опыт функционирования СЗИ органов власти СЗФО; разработаны подходы к организации зашиты информации, размещаемой на сайтах органов власти;

определена роль защиты информации в деятельности органов власти; уточнены вопросы финансирования мероприятий, направленных на защиту информации ограниченного доступа в органах власти субъектов РФ;

разработаны инструментально-моделирующйе комплексы (ИМК) «Навигатор сканирования» и «Сканирование угроз»;

проведён анализ нормативных правовых и нормативно-методических документов в области защиты информации сайтов органов власти.

Решение обозначенных задач имеет значение для научных и технических проблем специальности 05.13.19. Для народного хозяйства важность полученных результатов состоит в том, что разработаны новые и усовершенствованы имеющиеся методы и средства защиты информации.

Предметом настоящей диссертации является анализ эффективности СЗИ сайтов органов власти, а также разработка методов, моделей, программных и аппаратно-программных средств анализа эффективности СЗИ при ее обработке, передаче и хранении с использованием информационных технологий.

Особенность предмета исследования состоит в необходимости его изучения на примере создания СЗИ органов власти, что обуславливает как концептуально-теоретический подход к исследованию, так и набор методов исследования и направлений реализации его результатов, а также обусловлена межотраслевым характером информационных отношений.

Объектом исследования выступают методы и механизмы защиты информации, размещаемой на сайтах органов власти.

Область исследования. Содержание диссертации соответствует области исследования 05.13.19 «Методы и системы защиты информации, информационная безопасность» паспорта номенклатуры специальностей научных работников (технические науки).

Объектом наблюдения являются сайты органов власти СЗФО.

Теоретическая и методологическая основа исследования.

Теоретическая основа включает методологические положения и выводы, содержащиеся в трудах отечественных и зарубежных учёных, политических и государственных деятелей, материалы научных дискуссий в области обеспечения национальной и информационной безопасности, а также положения философской, политологической наук о политике как социальном явлении, связанные с информационной безопасностью (ИБ).

Исследование проведено на стыке ряда научных направлений, что потребовало использование источников в области технических и юридических наук. Основу исследования на общетеоретическом уровне составили труды учёных В.П. Шерстюка, Р.Ф. Ид-рисова, Л.Г. Осовецкого, Ю.С. Уфимцева, М.В. Щедрина, В.И. Ярочкина в сфере информационных отношений таких ученых, как В.Г. Кулаков, В.В. Кульба, H.A. Кузнецов, И.Л. Бачило, М.М. Рассолов, В. Лопатин, М.В. Мирошниченко, A.A. Фатьянов.

Методологическую основу исследования составляют общенаучные и специальные методы познания. Их применение в сочетании с разработками философских, социологических и юридических проблем позволило установить первостепенные направления конкретной практической деятельности специалистов законодательных органов при реализации задач обеспечения ИБ. Для сбора и изучения эмпирического материала применялись следующие основные методы: методы познания, различные сочетания эмпирических (наблюдение, эксперимент и т.д.), логических методов, а также моделирование, математические и кибернетические методы. Из специальных методов широко применялись методы графического отображения данных и экспертных оценок.

Информационная основа исследования. Существенную теоретическую и методо логическую роль в расширении представления диссертанта при решении научных зада* сыграли статистические исследования, материалы периодической печати, в том числс размещенные в сети Интернет, отражающие влияние информации, новых информационных технологий на состояние и процесс обеспечения национальной и информационной безопасности РФ и её субъектов, материалы международных и отечественных выставок и конференций в области информационных технологий и средств её защиты, г также практический опыт работы автора в Управлении ФСТЭК России по СЗФО.

Нормативная правовая база исследования сформирована на основе использования официальной правовой информации.

Научная новизна диссертационного Исследования состоит 6 следующем: проведено новое исследование анализа эффективности СЗИ сайтов органов влас-» СЗФО, результаты которого привели к выводу о несоответствии применяемых методо! защиты информации (ЗИ) необходимой эффективности в сравнении с зарубежным!-аналогами и аналогами иных областей применения;

выявлены причины несоответствия современным требованиям применяемых методов ЗИ сайтов правительственных организаций;

внесены коррективы в традиционно используемые понятия, относящиеся к предметной области «информационная безопасность», «безопасность информации», «защитг информации»;

разработана методика определения угроз, отличительной особенностью которой является совершенствование эффективных условий в структуре СЗИ сайтов органов власти. Главная цель методики состоит в создании методологической основы для реализации основных принципов государственной политики в области обеспечения ИБ;

создана модель угроз, направленная на обеспечение ЗИ органов власти, отличающаяся введением механизма саморазвития, суть которого в интеграции в ней таки> блоков как источники угроз, определение целей угроз, способы реализации возможны> угроз, оценка возможного ущерба от реализации угрозы;

предложены научно обоснованные рекомендации, которые по сравнению с сущест вующими методами и рекомендациями позволяют повысить эффективность традиционных и вновь разрабатываемых СЗИ сайтов органов власти;

проведена оценка более 1600 сайтов , правительств федерального уровня и уровш штатов Америки на предмет качества представления онлайновой информации и услуг а также обобщены результаты исследования характеристик безбпасности, показавши* наличие нерешенных проблем в области обеспечения секретности, безопасности, со блюдения и развития демократических принципов и развития интерактивности;

оценена роль таких важнейших элементов в области развития национальных экономик, как глобализация и прозрачность, для обеспечения ИБ. Оценка позволила придп к выводу о том, что тенденция роста влияния технологического фактора, информаци онных и коммуникационных технологии, стали доминирующим двигателем процесс; глобализации;

проведена качественная и количественная оценка взаимосвязи между уровнем рас пространения информационных компьютерных технологий и величиной непрозрачно сти экономики.

Значимость полученных результатов для теории заключается в развитии теорю и методологии изучения проблем ЗИ органов власти на региональном уровне.

Практическая значимость исследования состоит в создании модели и метода анализа эффективности СЗИ сайтов органов власти, а также механизма совершенствования обозначенных систем на примере СЗФО. Ряд положений может быть включен в обоснование предложений по совершенствованию научно-технических методов эффективной защиты и создания СЗИ, российского законодательства в сфере информационных отношений и повышению его эффективности; в развитие научных представлений и понятий в области цикла общих профессиональных дисциплин специальности 075300 «Организация и технология защиты информации», на курсах повышения квалификации, подготовки и переподготовки кадров по защите информации; при проведении дальнейших научных исследований по данной проблематике.

Апробация результатов исследования.

Диссертация выполнена и обсуждена на заседании кафедры «БИТ» ГОУ ВПО «СПбГУ ИТМО». Теоретические положения и выводы использовались диссертантом в учебном процессе при изложении лекционного материала и проведении практических занятий в ГОУ ВПО «СПбГУ ИТМО», на курсах Повышения квалификации ФГУП «ЗащитаИнфоТранс», НОУ ДПО «Северо-Западный центр комплексной защиты информации» и НОУ ДПО «Центр предпринимательских рисков». Авторские материалы научно-технического отчета «Исследование анализа защищенности официальных сайтов органов власти, находящихся в пределах СЗФО», подготовленные на кафедре «БИТ» в соответствии с договором между Управлением ФСТЭК России по СЗФО и ГОУ ВПО «СПбГУ ИТМО» «О сотрудничестве в научных исследованиях, подготовке, повышении квалификации, стажировке и профессиональной переподготовке специалистов в области обеспечения безопасности информации в системах информационной телекоммуникационной инфраструктуры» использованы для подготовки Межведомственного совета по защите информации при полномочном предстайителе Президента РФ в СЗФО, а также в ходе подготовки и проведения мероприятий контроля в органах власти и организациях СЗФО (исх. №598 от 08.05.2007).

Результаты исследования также использовались в рамках совместного проекта ГОУ ВПО «СПбГУ ИТМО» и Управления ФСТЭК России по СЗФО в работе по идентификации ключевых систем информационной инфраструктуры региона, в части разработки и совершенствования методов анализа защищенности сайтов органов власти РФ, а также были применены в работе ООО «ЩИТ-ХХ1» по анализу защищенности сайтов органов власти и банковской сферы СЗФО.

Основные положения и результаты диссертационного исследования прошли апробацию на конференциях, проведённых ГОУ ВПО «СПбГУ ИТМО»: II межвузовская конференция молодых ученых, 28-31 марта 2005 г., XXXIV научная и учебно-методическая конференция, 2-4 февраля 2005 г., П1 межвузовская конференция молодых ученых, 10-13 апреля 2006 г.

Результаты работы реализованы, что подтверждается: научно-техническим отчетом «О состоянии защищённости официальных сайтоб органов власти и организаций, находящихся в пределах СЗФО, российского сегмента Интернет по основным направлениям и видам деятельности», кафедры «БИТ» ГОУ ВПО «СПбГУ ИТМО» по запросу Управления ФСТЭК России по СЗФО (исх. №101 от 30.01.2007); актами о внедрении: ФСТЭК России; Управления ФСТЭК России по СЗФО, Комитета по информатизации и связи администрации Санкт-Петербурга, Агентства по информатизации и связи прави-

тельства Камчатского края, ГОУ ВПО «СПбГУ ИТМО», Санкт-Петербургского монет ного двора филиала ФГУП «Госзнак», НОУ ДПО «СЗЦКЗИ», ЗАО «Эврика». Основные положения, выносимые на защиту: модель угроз СЗИ сайтов органов власти; методика определения угроз СЗИ сайтов органов власти;

рекомендации, повышающие эффективность традиционных и вновь разрабатывав мых СЗИ сайтов органов власти;

результаты анализа сайтов правительств федерального уровня и уровня штатов Аме рики на предмет представления онлайновой информации и услуг, различия между пра вительствами обоих уровней и показателей, характеризующих степень соответствй) потребностям граждан в доступе к необходимой им информации;

обобщенные результаты исследования характеристик безопасности сайтов прави тельств федерального уровня и уровня штатов Америки;

результаты оценки роли элементов (глобализация и прозрачность) в области разви тия национальных экономик для обеспечения эффективной ИБ.

Публикации. Результаты диссертационного исследования нашли своё отражение i 1 НИР, 7 статьях (общим объемом 3 пл.), 5 из которых опубликованы в реферируемы? ВАК изданиях.

Структура и объем диссертации. Работа состоит из введения, пяти глав, заключения, библиографического списка, приложения на 150 страницах машинописного текста имеет 12 рисунков, 12 таблиц. Библиографический список содержит 82 наименования.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ Во введении обосновывается актуальность темы, сформулированы её цель, научна? новизна, приведены сведения о практическом использовании полученных научных результатов и представлены основные положения, выносимые на защиту. В первой главе:

В первом разделе проводится обзор результатов двух исследований1,2 по использо ванию информационных технологий на правительственных сайтах федерального уровня и уровня штатов в США, проведенных Брауновским университетом США.

Фактически нерегулируемая атмосфера Интернет побудила многих специалисте! подвергнуть сомнению уровень поддержки секретности и безопасности правительст венных сайтов. Многочисленные опросы общественного мнения показывают, что эт; проблема является наиболее беспокоящей граждан, когда они используют электронно« правительство. Не удивительно, что в свете сложившейся ситуации возрастает чисж сайтов, предлагающих ту или иную политику в этой области. В настоящем исследова нии степень защиты персональных данных оценивалась по выполнению на конкретно* сайте трех следующих требований: запрет коммерческого маркетинга среди посетите лей сайтов (это требование в 2001 г. выполняется на 12% сайтов); запрет на создан® профиля посетителей (выполняется на 10% сайтов); запрет на использование персо нальной информации без согласия посетителя (выполняется на 13%).

' Global E-Govemment, 2003, Daireil M. West. 67 George St. Center for Public Policy, Brown Univer sity Providence, Rhode Island 02912-1977, United States. September, 2003 // Internet UR1 vvww.InsidePolitics.org.

2 State and Federal E-Govemment the United States, 2001, Darrell M. West Brown University Provi dence. // Internet URL www.InsidePolitics.org.

Как показали интегральные оценки на уровне федерального правительства США, одновременно выполняют все три требования только около 10% от всех правительственных сайтов. С точки зрения обеспечения безопасности работы, включая защиту от хакеров и от иных угроз, только 8% сайтов используют программное обеспечение для управления сетевым трафиком (см. таблицу 1).

Таблица 1

Оценка состояния конфиденциальности и безопасности электронных правительств

Запрет коммерческого маркетинга 12%

Запрет профилей (идентификационных файлов) 10%

Запрет распределенного использования персональной информации 13%

Использование программного обеспечения для мониторинга трафика 8%

На уровне штатов защита персональных данных и обеспечение безопасности, как и следовало ожидать сильно различается. Несмотря на важное значение безопасности в виртуальном сетевом мире исследование показало, что существуют значительные различия между правительствами штатов в области проведения политики безопасности. На момент проведения исследования наиболее продвинутым является штат Индиана, где 85 процентов сайтов демонстрируют своим клиентам ту иди иную политику безопасности. За ним следует штат Теннесси (68 процентов), Вашингтон (63 процента), Штат Массачусетс (58 процентов) и федеральное правительство США (55 процентов). В четырех штатах (Арканзас, Северная Дакота, Новый Хэмпшир, и Орегон) не обнаружено ни одного сайта, на которых поддерживается какая либо политика безопасности.

Аналогично обеспечению безопасности наблюдаются значительные отличия между штатами в вопросах оповещения пользователей о проводимой политике поддержания секретности на своих сайтах. Штатом с наиболее высоким процентом сайтов, предлагающих прозрачную политику поддержания секретности на момент проведения анализа стал штат Индиана (85 процентов), за ней следовал штат Техас (81 процент), федеральное правительство (81 процент), Вашингтон (77 процентов) и штат Теннесси (68 процентов). На другом конце этого спектра находятся два штата (Орегон и Южная Дакота), которые не предлагает никаких политик поддержания секретности.

Во втором разделе этой главы рассмотрены вопросы безопасности использования электронных технологий по 198 странам мира. В процессе проведения настоящего исследования были проанализированы самые различные политические и экономические системы, начиная от монархических государств, стран федеративного устройства, президентских демократических государств с парламентскими системами и кончая диктаторскими режимами и коммунистическими странами. В каждой проанализированной системе был применен один и тот же набор критериев, чтобы обеспечить сопоставимость полученных результатов между разными странами.

Исходные данные для проводимого исследования состоят из оценок 2,166 национальных правительственных \¥еЬ-сайтов для 198 стран мира. В пределах каждой страны был проведен анализ такой группы правительственных "9УеЬ-сайтов, которая позволила бы в итоге понять специфические особенности каждой страны. Среди проанали-

зированных сайтов находятся сайты исполнительных офисов (типа президента, пре мьер-министра, правителя, лидера партии или короля), законодательные офисы (тип; Конгресса, Парламента, или Народных Собраний), судебные офисы (типа Верховны? национальных судов), офисов Кабинета министров и главных правительственны) агентств, обслуживающих критические функции правительства (таких как здравоохра нение, общественное обслуживание, налогообложение, образование, внутренние дела экономическое развитие, административная деятельность, природные ресурсы, ино странные дела, иностранные инвестиции, транспорт и транспортные перевозки, вопро сы обороны, туризм, регулирование бизнеса).

Далее оценивается роль таких важнейших элементов в области развития националь ных экономик, как глобализация и прозрачность, для обеспечения эффективной информационной безопасности. Для измерения степени глобализации национальной экономики с мировой экономической системой использован Индекс глобализации, который количественно оценивается совокупностью нескольких показателей, разделенны> на несколько групп и отражающих все основные стороны жизни общества.

Индекс глобализации наиболее сильно зависит от международных финансовых потоков; вторыми по степени влияния оказываются персональные межграничные контакты, причем необходимо учесть, что эти контакты обеспечиваются в том числе и за счет телекоммуникационных средств; на третьем месте оказываются информационные технологии (ИТ).

В главе была проанализирована зависимость между глобализацией, состояние»* демократических свобод и уровнем затененности деятельности Правительств, которая показала наличие тенденции снижения глобализации при ограничении демократических свобод и при росте коррупции.

Под непрозрачностью экономики большинство современных исследователей и экономистов понимают отсутствие четкой, точной, формализованной, понятной и широкс принятой практики деятельности на мировых рынках капитала и в национальной экономике. Непрозрачность входит в число важнейших показателей, которые определяю-текущую и перспективную макроэкономическую ситуацию в любой стране мира и этс обстоятельство стимулировало развертывание большого количества специальных ис следований в этой области, в том числе проведенное экспертами ПрайсвотерхаусКу перс исследование3.

Таким образом общий вывод состоит в том, что воздействие ИТ на уровень непро зрачности существует и оно имеет такие масштабы, что не учитывать его нельзя. По этому развитие и распространение информационных технологий следует рассматривап как один из серьезных и одновременно реальных рычагов для снижения непрозрачно ста и соответственно как важный путь в направлении повышения общей прозрачносп национальной экономики с вытекающими отсюда позитивными последствиями дл; общеэкономического роста.

Во второй главе:

В первом разделе анализируется текущая ситуация в рассматриваемой области и & понятийный аппарат как с научной точки зрения, так и с позиции юридического толко вания. В результате для решения проблемы двоякого толкования понятийного аппарат; исследуемой области предлагается принятие Федерального Конституционного закон;

3 Цена непрозрачности: недополученные прямые иностранные инвестиции. Апрель 2001. Проек-ПрайсвотерхаусКуперс по исследованию прозрачности стабильности экономики.

РФ «О безопасности РФ», который поможет привести в единую систему положения нормативных правовых актов в области ИБ.

Во втором разделе приводятся примеры, служащие введением в суть проблемы использования безопасных информационных технологий и систем в деятельности органов власти субъектов Российской Федерации. Рассматриваются положения основных нормативных правовых, нормативно-методических документов в области обеспечения безопасности информации. Анализируется понятие «Информационные технологии и системы», ставится проблема подготовки специалистов в области защиты информации.

В третьем разделе рассматривается структура государственной СЗЙ, роль, задачи и функции ФСТЭК России в. обозначенной системе. Анализируется финансирование мероприятий, направленных на защиту информации ограниченного доступа в органах власти субъектов Российской Федерайии. Приводятся методы государственного регулирования в области ИБ. Осуществляется постановка задачи создания модели угроз СЗИ сайтов органов власти, разработки инструмейгально-моделирующих комплексов, а также проведение эксперимента и расчетов по результатам применения инструмен-тально-моделирующих комплексов.

В третьей главе:

В первом разделе даётся обзор существующих методов и средств моделирования. Основным элементом моделирования любых процессов является анализ данных. Сегодня существуют широкий спектр отработанных методов, применение которых зависит от конкретных условий, требований и множества иных факторов. В качестве примера достаточно привести такие методы как регрессионный анализ, корреляционный анализ, ковариационный анализ, экспоненциальное сглаживание, гистограммы, дисперсионный анализ, описательная статистика, анализ Фурье и т.д.

Регрессионный анализ. Вид статистического анализа, используемый для качественной оценки степени зависимости переменных, а также для проведения прогнозов их возможных изменений.

Корреляционный анализ. Используется для количественной оценки взаимосвязи двух наборов данных, представленных в безразмерном виде.

Экспоненциальное сглаживание. Предназначается доя предсказания значения на основе прогноза для предыдущего периода, скорректированного с учетом погрешностей в этом прогнозе.

Гистограммы. Используются для вычисления выборочных и интегральных частот попадания данных в указанные интервалы значений, при этом, генерируются числа попаданий для заданного диапазона ячеек.

Другой класс методов ориентирован на решение задач прогнозирования изменения тех или иных совокупностей данных. Прогнозирование осуществляется с применением аппарата экстраполяции тенденций изменения данных и в качестве наиболее распространенного использует метод построения трендов к так называемым рядам данных. В качестве наиболее часто используемых для расчета линий тренда" уравнений входят арифметическая (линейная); полиномиальная; логарифмическая; экспоненциальная; степенная и другие виды аппроксимаций, для каждой йз которых существует соответствующее уравнение.

Арифметическая (линейная), используется для линейной аппроксимации данных по методу наименьших квадратов в соответствии с уравнением:

>г = тх + Ъ П]

где тп — угол наклона и Ь — координата пересечения оси абсцисс.

Полиномиальная, используется для аппроксимации данных по методу наименьших квадратов в соответствии с уравнением:

y=chx+b р]

где b и се— константы.

Аналогично, соответствующие формулы существуют и для других аппроксимаций.

Все эти методы поддержаны прикладными инструментальными средствами, входящими в состав Microsoft Excel.

Во втором разделе производится определение, классификация, формализованное описание подходов к выявлению источников угроз СЗИ сайтов органов власти РФ. Анализу эффективности СЗИ сайтов органов власти субъектов РФ сегмента сети Интернет предшествует построение выборочной совокупности с применением методов математической статистики. При этом дается определение понятию выборочной совокупности. Процесс анализа осуществляется в 3 этапа. На первом этапе формулируются основные принципы, проектируется система сбора информации, необходимая для мониторинга. На втором этапе формируется область исследования, осуществляется обоснование инструментария. На третьем - ведется сбор информации, и анализируются результаты.

В третьем разделе строится модель угроз СЗИ сайтов органов власти, определяются основные требования к СЗИ, виды и категории размещаемой на сайтах информации, а также описываются механизмы их защиты.

Сам механизм комплексной защиты сайтов органов власти, как привило, включает в себя:

1. Подмеханизм защиты информации: система разграничения доступа к файловым системам и средствам сервера; система контроля целостности данных; система межсетевого экранирования; система обнаружения атак; система антивирусной защиты.

2. Подмеханизм защиты информационного обмена между удалённым пользователем и сервером: протоколы защищенных виртуальных каналов на прикладном, сеансовом и сетевом уровнях; протоколы защшцённого распределения ключей.

В разделе также описывается сформулированная нами модель объектов уязвимостей сайтов и серверов органов власти РФ (рис.1). Отмечено, что механизмы защиты сервера препятствуют получению какой-либо дополнительной информации, способствующей злоумышленнику в преодолении этой системы защиты. Анализ эффективности защиты становится возможным "в процессе проверки системы на наличие уязвимостей и устойчивости к сетевым атакам. Однако такие действия без разрешения владельцев сайта незаконны, а, соответственно, подобное исследование в масштабах всего Интернета становится проблематичным. Тем не менее, такой анализ становится возможным в процессе проверки сайта на наличие механизмов идентификации и аутентификации пользователя.

Уязвимости сайта < В!И~

I _.

Информационная среда;

► Операционная система

► Среда программирования Базы данных

" Wy^MiipcTH сервера Нпр-сервер-* E-Mail-сервер-* FTP-сервер-*

CSS File Inclusion

► Directory Travelsal

► HTML code Injection and Response Splitting

► SOL, PNP Injection ►PNP Injection

Ркс.1. Модель объектов уязвимостей сайтов и северов органов власти РФ

Г"

| Ряов j

Рис.2. Схема локальной структуры сайта органа власти РФ

Схема локальной структуры сайта органа власти РФ представлена на рисунке 2. Условно содержание сайта можно представить в виде графа, вершинами которого будут страницы, а ребрами - гиперссылки.

Другим подходом к реализации процесса анализа эффективности СЗИ сайтов органов власти, является проверка механизмов защиты информационного обмена с использованием метода оценки защищенности отдельного сайта, включающего анализ наличия на сайте механизмов идентификации и аутентификации пользователей для доступа к определенным сграницам сайта, а также использования протоколов SSL или TLS помимо протокола HTTP. Если любой из контролируемых параметров присутствует, СЗИ сайта признается эффективной.

В четвёртом разделе для определения и апробации методики построения модели угроз СЗИ сайтов органов власти проведён анализ эффективности СЗИ сайтов органов власти СЗФО, что потребовало решения таких задач как: обзор подходов к проведению

анализа, определение методов проведения анализа, формулирование общей методик проведения анализа эффективности СЗИ органов власти, позволяющей осуществит моделирование типовых угроз.

На основании использованных подходов к проведению анализа эффективности зе щиты обозначенных сайтов определены основные методы проведения анализа, которы включают: сбор общедоступной информации о сетевой инфраструктуре; анализ защи щенности информационного обмена и доступа к конфиденциальной информации н сайте; анализ каналов утечки конфиденциальной информации с сайта в процессе ис пользования механизмов поисковых средств.

Используемый метод анализа эффективности системы защиты информационног обмена и доступа к конфиденциальной информации на сайте включает проверку нали чия на сайте механизмов идентификации и аутентификации пользователей для доступ к определенным страницам данного сайта и использования протоколов SSL или TL: для защиты протокола HTTP, реализующего функциональные требования безопасно ста. Данный метод реализован в специально разработанном ИМК «Сканирование уг роз». Пример «экрана» взаимодействия программного модуля с разработанным ком плексом ИМК представлен на рисунке 3.

шть/ пгпдолжить

МДОДОСГАНОЬИ1 ь.

)SSJ- }Аут. ] Зал tp>i>tg, , j-j j

ОБЩАЯ СТАТИСТИКА ПО ВЫБОРКЕ

Всего сайтов: О0р аботано: "Живык":

Защищенных: Поддсрмш ssi_: Лотлыпмжицп«:

Одиночная проверка

Прооорип. СМОГУ |

Рис.3. Модуль ИМК «Сканирование угроз»

Основным результатом третьей главы является разработка обобщенной методик' проведения анализа и моделирования типовых угроз для сайтов органов власти. Эт методика состоит из нескольких этапов. На первом этапе осуществляется определени области анализа эффективности СЗИ сайтов органов власти, которое включает в себ формирование выборочной совокупности для дальнейшего анализа, разработку мете дики и принципов выбора этой совокупности, а также применяемые для этого инстру ментальные средства. На следующем этапе проводится сбор информации об объекте использованием общедоступной информации о сетевой инфраструктуре объекта анали за. Этот анализ включает трассировку маршрутов к сайту, анализ информации, выда ваемой службой ¥/11015, анализ программного обеспечения серверов с использование! службы ЫеМЗгай и т.д. Анализ размещенной на сайте информации, позволяет выявит сведения, которые могут стать для «нарушителя» основой для дальнейших несанкцис нированных действий. Особое внимание должно быть обращено на такие вопросы, ка структура сайта, применяемая система ссылок, порядок размещения файлов и инфор

мации о тех или иных мероприятиях, т.е. на то, что потенциально может стать источником утечки информации. На третьем этапе на основе собранной информации проводится анализ и оценка текущего состояния СЗИ сайтов органов власти, по результатам которого вырабатываются рекомендации по устранения выявленных уязвимостей и по повышению уровня эффективной СЗИ сайта.

В четвёртой главе:

В первом разделе сформулированытребования для выбора И проектирования инструментальных средств, необходимых для проведения исследования типовых угроз СЗИ сайтов органов власти. Эти требования включают: реализацию ИМК в виде оконного приложений Win32; формирование выборочной совокупности для проведения анализа; наличие средств поиска веб-страниц, для доступа к которьм требуется авторизация на исследуемых сайтах; анализ поддержки сайтами протоколов SSI/TLS и проверка корректности их настройки; вывод результатов работы ИМК в файл или на печать; удобный пользовательский интерфейс; разумные требования к аппаратному обеспечению; использование языков программирования высокого уровня, позволяющего оперативное и простое внесение необходимых изменений или дополнений.

Анализ требований к ИМК, выделил две основных задачи, которые должен решать этот комплекс: формирование выборочной совокупности сайтов и адресов электронной почты (e-mail); анализ угроз СЗИ сайтов органов власти для каждой выборочной совокупности.

Реализация перечисленных задач, в соответствии с методикой определения угроз, осуществляется инструментальным комплексом ИМК «Навигатор Сканирования», формирующим выборочную совокупность, а последующий анализ потенциальных угроз из выборочной совокупности, осуществляется ИМК «Сканирование угроз».

В основу работы ИМК положен метод статистического моделирования, который позволяет выполнять задачи анализа больших систем, в том числе решать задачи проведения анализа и оценок. В рамках исследования целью такого моделирования является за приемлемое время создать статистические модели государственных сегментов сети Интернет, для изучения их защищенности.

В работе нами выделен объект моделирования (D) - сегмент сети Интернет, представляющий собой взаимосвязанную совокупность хостов, сетей и специального оборудования, использующих для передачи данных между собой протокол ТСРЛР. Для сети Интернет и ее сегментов внешней средой (Q) являются все элементы любой природы, оказывающие влияние на систему или находящиеся под ее воздействием.

С учетом поставленных целей моделирования из множества А, выделяется подмножество А', включающее в качестве элементов этого множества «нарушителей», атакующих ресурсы сети Интернет с хостов этой же сети. Поскольку в работе поставлена задача анализа эффективности СЗИ сайтов органов власти от угроз, обусловленных действиями «нарушителей», соответствующая создаваемая модель К должна включать в качестве элементов информационные ресурсы сети, являющиеся объектами атак «нарушителя». Очевидно также, что эта модель должна адекватно отражать структуру сети Интернет.

Для построения модели К нами предлагается использовать выборочный метод математической статистики'(генеральной совокупности). В работе выборочная совокупность формируется заранее, и ее объем совпадает с генеральной совокупностью. Еди-

ницей наблюдения называется непосредственный источник информации в исследовании (в данном случае отдельный сайт).

р осс иЛсй-сЛЦ

Jl

-чивт!»

_.l Гсиопироа-от». 1

e-nvalU ¡Лобгн

http://w\ww

http:)/wv<w http://www http://wWW htl^J://www . bitc.'/Avww

ru.lmaln/m»rUitry/isp-vlei;«:4-<.l-

rU/mBin/t«ee7.html ru/me»n/t>aoelO.Html

u/" av.ru/

.http://www.oov

fvl.ast-l1.htmt ! http://www.gov

ru/r

-ru/

•/resiiortfj/recionl-»* .ht •и/гпв1п/*утоЬо1-г/с»г''1- -html

u/rnsln/cva<7e4. htm) u/maln/ooQe l 1 .bftnl u/nMlo/baoeS.W^

•Oftbost—w

iiov. ru/nvain/resUor»j:/i4--3K>r>v-

'Xi/fnmh-i/mlrrtitry/lsD-

ru/roelr>/»yTobolt/esrf ,v.nj/main/iymbo!s/o:i<-f3_

Рис.4. Внешний вид ИМК «Навигатор Сканирования»

Во втором разделе описывается ИМК «Навигатор Сканирования» (см. рисунок 4). Комплекс ИМК «Навигатор Сканирования» представляет собой браузер, т.е. окне навигации в Интернет-пространстве, а также набор специализированных компонент для выявления ссылок и адресов электронной почты (см. рисунок 5).

Ojjiu Beo-opayiepa

~Ы ал ьны м окр у.г™

жтшшщ?-:.-.:: Ш

/www. о .ш/^осОап/.ЗОЯ1 eii* л'упуу _ofcrv»fl. У~* <тЧ hti;pi//vwwv. 5=rfo. rxi/*«-cl:iQn>*3i ff*t*orx>lyrrrf_oi<rK~3a_rf .htr h«.i-.r»:.'/www. . nJiMi.len/44/j«ra'0-c«i»<Jrri'y . (-

httiv'" —Ny*.tVn>l

Здесь il»p>mpvwTca pcwaiaiu .blert h t^tt раоохь: црогяммы. Ootmift список ^eety.htri bttK всех ааерссо» и c-nuil _oblo*ty.J-

;http://www

i htt0.*//*£C-

■u/soctlorvez/i ■u/seCtioiVes/reepubUke

чг-НлпоМу

Sif-O . Г u/ »O eooo/e 1 /V-SHf-nr^}!- о srf о ,ru/»oetion/a4 /inrnnor ed-j=fo. riv»ectlc«ves/rr*jrma«»

»pperetflPrtvell ^'«re^govv^jcc

Рис.5. Функциональные модули ИМК «Навигатор Сканирования» В ходе навигационного поиска необходимо анализировать содержимое страниць сайта на предмет выявления ссылок на сайты связанных органов власти того же уровня на сайты подведомственных структур и на e-mail. Поэтому в процессе навиганионноп поиска программа производит первоначальную общую совокупную выборку адресо)

J

сайтов и e-mail, после чего методом экспертной оценки производится процесс детализации общей выборки, в ходе которого необходимые ссылки и e-mail заносятся в соответствующие окна. Таким образом формируется выборочная совокупность для проведения дальнейшего анализа. Наряду с этим в процессе формирования перечня сайтов выборочная совокупность отображается в виде иерархического дерева, что позволяет выявить реально существующую структуру сайтов региональных или федеральных органов власти и получить необходимую информацию о существующих сайтах.

Архитектурно комплекс построен из взаимосвязанных программных элементов управления, размещенных в одном программном модуле. По результатам проведенного тестирования был сделан вывод о том, что программный продукт обеспечивает выполнение всех Предъявленных к нему требований, позволяет корректно реагировать на ошибки и, что самое главное, не допускать ситуаций, влекущих за собой ошибки.

В третьем разделе описывается ИМК «Сканирование угроз», который предназначен, в соответствии с разработанной методикой, для проведения анализа угроз из выборочной совокупности, подготовленной ИМК «Навигатор Сканирования». Согласно сформулированным требованиям комплекс основные функции данного комплекса состоят в следующем: эмуляция работы пользователя, осуществляющего обход URL-адресов до второго уровня вложенности включительно; проверка загрузки URL-адреса по протоколу HTTPS; анализ поддержки сайгами протокола SSI/TLS и оценка корректности его настройки; вывод результатов работы программного комплекса для исследуемой выборочной совокупности в файл или на печать.

В пятой главе:

В первом разделе представлена процедура и результаты составления генеральной совокупности сайтов и адресов электронной почты органов власти СЗФО. При составлении перечня сайтов было принято решение исходить из информации, представленной на официальных сайтах субъектов СЗФО. Выборка адресов электронной почты проводилась с целью анализа эффективности СЗИ серверов, на которых она располагалась. В ходе проведенного исследования выявлено 124 самостоятельных сайта и 252 адреса электронной почты.

В перечне нашли отражение сайты, включающие структуры, представленные в таблице 2.

Таблица 2

Общее количество представленных сайтов по структурным категориям

Структура Кол-во

Администрация главы субъекта СЗФО и управление администрации области 11

Исполнительная власть: Правительство субъекта СЗФО 9

Законодательная власть субъекта СЗФО 8

Судебная власть 7

Структурные подразделения Правительства субъекта, области и органы исполнительной власти 132

Территориальные органы федеральных органов власти 25

Органы местного самоуправления (Городские округа и Муниципальные районы) 113

Департаменты, комитеты и управления. S9

Инспекции администрации субъекта СЗФО 0

Избирательная комиссия субъекта СЗФО 4

во --------

Рис.6. Отображение количества сайтов по субъектам СЗФО

Количество сайтов по субъектам региона представлено на рисунке 6.

Таким образом, на основании данных исследования сайтов органов власти СЗФ( определились основные требования к их СЗИ. На момент проведения анализа эффек тивности СЗИ сайтов случаев применения защищенных протоколов передачи данны: не выявлено. Поэтому необходимо уже сейчас подойти к проблеме разработки требо ваний безопасности сайтов, включающие защиту серверов, лицензирование, сертифи кацию и аттестацию объектов информатизации, Применение криптографических меха низмов при передаче данных по каналам связи, использование методов идентификаци: и аутентификации пользователей на сайте. Кроме того, необходимо ввести средств защиты процедур запросов к базам данных, хранящихся на сервере. Особо следует ого ворить процедуру защиты данных пользователей использующих данный сайт, а точне ввести запрет сбора информации о них, о чём было сказано в первой главе.

Кроме того, следует обратить внимание на то, что органы власти на момент прове дения исследования размешают свои информационные ресурсы на технологически площадках юридических лиц, которые в соответствии с требованиями нормативны документов РФ и ФСТЭК России: используемые объекты информатизации по требова ниям безопасности информации не сертифицируют; гарантии того, что передаваема информация от органов власти конечным адресатам за границу РФ не передаётся, н представляют; аудит информационной безопасности, как правило, не проводят.

По результатам исследования выработаны рекомендации, предназначенные повы сить эффективность СЗИ сайтов органов власти СЗФО.

В заключении приведены основные выводы и сформулированы полученные в рабе те результаты.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ

разработана методика определения у1роз, отличительной особенностью которой является совершенствование эффективных условий в структуре СЗИ сайтов органов власти. Главная цель методики состоит в создании методологической основы для реализации основных принципов государственной политики в области обеспечения ИБ;

создана модель угроз СЗИ сайтов органов власти, отличающаяся введением механизма саморазвития, суть которого в интеграции в ней таких блоков как источники угроз, определение целей угроз, способы реализации возможных угроз, оценка возможного ущерба от реализации угрозы;

сформулированы причины несоответствия применяемых методов защиты информации необходимой эффективности в сравнении с зарубежными аналогами и аналогами иных областей применения, выявлены причины несоответствия;

предложены научно обоснованные рекомендации, которые по сравнению с существующими' методами и рекомендациями позволяют повысить эффективность традиционных и вновь разрабатываемых СЗИ сайтов органов власти.

разработаны инструментальные средства анализа эффективности СЗИ сайтов органов власти (ИМК «Навигатор сканирования» и ИМК «Сканирование угроз»);

проведена оценка более 1600 сайтов правительств федерального уровня и уровня штатов Америки, выявлены различия между правительствами обоих уровней на основе показателей, характеризующих степень того, как сайты правительств соответствуют потребностям граждан в доступе к необходимой им информации. Оценка показала, что разные штаты Америки достаточно сильно различаются по общим характеристикам электронизации деятельности своих правительств;

обобщены результаты исследования характеристик безопасности, показавшие, что значительное продвижение в области информационного обеспечения и предоставления услуг происходило на фоне нерешенных проблем в области обеспечения секретности, безопасности, соблюдения и развития демократических принципов и развития интерактивности;

проведён анализ различий использования электронных технологий в разных ветвях власти федерального правительства, который выявил разную степень предоставления тех или иных возможностей электронных технологий между тремя ветвями власти -исполнительной, законодательной и судебной;

оценена роль таких важнейших элементов в области развития надиональных экономик, как глобализация и прозрачность, для обеспечения эффективной ИБ. Оценка позволила придти к выводу о том, что тенденция роста влияния технологического фактора, информационных и коммуникационных технологии, стали доминирующим двигателем процесса глобализации.

ОСНОВНЫЕ РАБОТЫ, ОПУБЛИКОВАННЫЕ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Процента Е.А. Финансирование мероприятий, направленных на защиту информа ции ограниченного доступа," в органах власти субъектов Российской Федерации / Власть й управление на Востоке России. Научно-публицистический журнал. 2007 г. X» (38). 218 с.

2. Проценко Е.А. Некоторые вопросы правового регулирования вопросов информа ционной безопасности, безопасности информации и защиты информации // Власть i управление на Востоке России. Научно-публицистический журнал. 2007 г. №4 (41). 22: с.

3. Проценко Е.А. Структура федерального законодательства в области защиты ин формаций //Вестник II межвузовской конференции молодых ученых. Сборник научны: трудов / Под. ред. В.Л. Ткапич. Том I. СПб: СПбГУ ИТМО, 2005,268 с.

4. Катаржнов А.Д., Проценко Е.А. Проблемные вопросы состояния и развития нор мативно-йравового обеспечения технической защиты информации в автоматизирован ных системах управления и информационно-телекоммуникационных системах // Науч но-технический вестник СПбГУ ИТМО. Выпуск 19. Программирование, управление i информационные технологии / Главный редактор д.т.н., проф. В.Н. Васильев. - СПб СПбГУ ИТМО, 2005.252 с.

5. Проценко Е.А.. Проблемные вопросы состояния и развития нормативно правового обеспечения защиты информации в автоматизированных системах управле ния и информационно-телекоммуникационных системах // Юридический вестник, : (21), 2005, 100 с. Научно-практический журнал.

6. Проценко Е.А. Информационная безопасность субъектов Российской Федераци] как составная часть национальной безопасности России // Научно-технический вестни СПбГУ ИТМО. Выпуск 25. Исследования в области информационных технологий. Главный редактор д.т.н., проф. В.Н. Васильев. - СПб: СПбГУ ИТМО, 2006.214 с.

7. Проценко Е.А. Организация и структура информационного законодательства системе обеспечения Информационной безопасности России // Научно-технически) вестник СПбГУ ЙТМЮ. Выпуск 32. Информационные технологии: теория, методь: приложения / Главный редактор д.т.н.3 проф. В.Н. Васильев. - СПб: СПбГУ ИТМС 2006. 322 с.

Тиражирование и брошюровка выполнены в учреждении «Университетские телекоммуникации» 197101, Санкт-Петербург, Саблинская ул., 14 Тел. (812) 233 4669 объем 1 пл. Тираж 100 экз.

Введение.

Глава 1. Использование информационных технологий на правительственных сайтах федерального уровня и уровня штатов в Соединённых Штатах Америки.

1.1 Методология исследования и обобщённые результаты.

1.2 Обобщённые результаты исследования характеристик безопасности.

1.3 Детализация результатов по отдельным штатам Америки

1.4 Детализация результатов по ветвям власти.

1.5 Анализ сайтов правительств различных стран мира.

1.6 Глобализация и прозрачность национальных экономик как основной элемент информационной безопасности.

Глава 2. Информационная безопасность: концептуальные и методологические основы защиты информации.

2.1 Понятие и составляющие информационной безопасности в Российской Федерации.

2.2 Безопасные информационные технологии и системы в деятельности органов власти Российской Федерации.

2.3 Защита информации органов власти Российской Федерации как механизм реализации государственной политики в области обеспечения информационной безопасности России.

Глава 3. Создание модели угроз системам защиты информации сайтов органов власти Российской Федерации.

3.1 Обзор существующих методов и средств моделирования.

3.2 Определение, классификация, формализованное описание источников угроз системам защиты информации сайтов органов власти Российской Федерации.

3.3 Модель угроз системам защиты информации сайтов органов власти Российской Федерации.

3.4 Методика построения модели угроз системам защиты информации сайтов органов власти Российской Федерации.

Глава 4. Инструментально-моделирующий комплекс «Навигатор сканирования» и «Сканирование угроз».

4.1 Формирование области исследования.

4.2 Инструментально-моделирующий комплекс «Навигатор Сканирования».

4.3 Инструментально-моделирующий комплекс «Сканирование угроз».

Глава 5. Экспериментально-расчетная часть.

5.1 Процедура и результаты анализа эффективности систем защиты информации сайтов органов власти СевероЗападного федерального округа.

5.2 Выводы по экспериментально-расчетной части.

Актуальность выбора темы диссертационного исследования обусловлена необходимостью обеспечить сохранность информационных ресурсов, а также нарастанием угроз национальной безопасности РФ в информационной сфере за счёт получения несанкционированного доступа к информационным ресурсам й нарушения нормального функционирования информационных и телекоммуникационных систем. В связи с этим анализ эффективности систем защиты информации (СЗИ) сайтов органов власти становится обязательным этапом созда'-ния любой СЗИ сайтов.

Неотъемлемой частью разработки СЗИ сайтов органов власти является совершенствование нормативных правовых и нормативно-методических документов в области защиты информации, а также проведение экспертизы и контроля качества защиты открытой общедоступной информации, размещаемой на сайтах органов власти.

На региональном уровне, как показывает практика, органы власти, размещая открытую общедоступную информацию на сайтах в сети Интернет, в большинстве случаев не разрабатывают модели угроз и поведения «нарушителя», ввиду отсутствия методик и программных средств, позволяющих спрогнозировать их действия. Отсутствие должного уровня научной разработанности таких проблем препятствует широкому внедрению уже имеющихся исследований в практику. Учёт этого обстоятельства послужил основанием к выбору темы исследования. При этом, актуальность решения этой проблемы значительно повышается на уровне органов власти регионов.

Целью исследования является исследование и разработка методов, моделей и средств выявления, идентификации и классификации угроз нарушения СЗИ сайтов органов власти, расположенных в пределах Северо-Западного федерального округа (СЗФО), а также моделей и методов анализа эффективности их СЗИ.

В соответствии с целью в работе поставлены и решены следующие задачи: на примере зарубежных стран: проанализирован аналогичный опыт создания

СЗИ; проведена оценка сайтов правительств федерального уровня и уровня t штатов Америки на предмет представления онлайновой информации и услуг, а также обобщены результаты исследования характеристик их безопасности; выявлены различия между правительствами'обоих уровней на основе показателей, характеризующих степень того, как сайты правительств соответствуют потребностям граждан в доступе к необходимой им информации; I проведён анализ различий использования информационных технологий (ИТ) в разными ветвями* власти федерального правительства США; оценена роль таких элементов в области развития национальных экономик, как глобализация и прозрачность, для обеспечения эффективной ИБ; проанализирована зависимость между глобализацией, состоянием демократических свобод и уровнем затенённости деятельности правительств; проведена качественная'и количественная оценка взаимосвязи между уровнем распространения ИТ и величиной непрозрачности экономики; проанализирован опыт функционирования СЗИ органов власти СЗФО; разработаны подходы к организации защиты информации (ЗИ), размещаемой на сайтах органов власти; определена роль ЗИ в деятельности органов власти; уточнены вопросы финансирования мероприятий, направленных на ЗИ огра ниченного доступа в органах власти-субъектов РФ; разработаны инструментально-моделирующие комплексы (ИМК) «Навигатор сканирования» и «Сканирование угроз»; проведён анализ нормативных правовых и нормативно-методических документов в области защиты информации сайтов органов власти.

Решение- обозначенных задач имеет значение для научных и технических проблем специальности 05.13.19: Для народного хозяйства важность полученных результатов состоит в том, что разработаны новые и усовершенствованы имеющиеся методы и средства защиты информации.

Предметом настоящей диссертации является анализ эффективности СЗИ сайтов органов власти, а также разработка методов, моделей, программных к аппаратно-программных средств анализа эффективности СЗИ при ее обработке, передаче и хранении с использованием ИТ.

Особенность предмета исследования состоит в необходимости его изучения на примере создания СЗИ сайтов органов власти, что обуславливает как концептуально-теоретический подход к исследованию, так и набор методов исследования и направлений реализации его результатов, а также обусловлена межотраслевым характером информационных отношений.

Объектом исследования выступают методы и механизмы защиты информации, размещаемой на сайтах органов власти.

Область исследования. Содержание диссертации соответствует области исследования 05.13.19 «Методы и системы защиты информации, информационная безопасность» паспорта номенклатуры специальностей научных работников(техни-ческие науки).

Объектом наблюдения являются сайты органов власти СЗФО.

Теоретическая и методологическая основа исследования.

Теоретическая основа включает методологические положения и выводы, содержащиеся в трудах отечественных и зарубежных учёных, политических и государственных деятелей, материалы научных дискуссий в области обеспечения национальной и ИБ, а таюке положения философской, политологической наук о политике как социальном явлении, связанные с ИБ.

Исследование проведено на стыке ряда научных направлений, что. потребовало использование источников в области технических и юридических наук. Основу исследования на общетеоретическом уровне составили труды учёных В.П. Шерстюка, Р.Ф. Идрисова, Л.Г. Осовецкого, Ю.С. Уфимцева; М.В. Щедрина, В.И. Ярочкина в сфере информационных отношений таких ученых, как В.Г. Кулаков, В.В. Кульба, Н.А. Кузнецов, И.Л. Бачило, М.М. Рассолов, В.Н. Лопатин, М.В. Мирошниченко, А.А. Фатьянов.

Методологическую основу исследования составляют общенаучные и специальные методы познания. Их применение в сочетании с разработками философских, социологических и юридических проблем позволило установить первостепенные направления конкретной практической деятельности специалистов законодательных органов при реализации задач обеспечения ИБ. Для сбора и изучения эмпирического материала применялись следующие основные методы: методы познания, различные сочетания эмпирических (наблюдение, эксперимент и т.д.), логических методов, а также моделирование, математические и кибернетические методы. Из специальных методов широко применялись ме-тодьг графического отображения данных и экспертных оценок.

Информационная основа исследования. Существенную теоретическую и методологическую роль в расширении представления диссертанта при решении научных задач сыграли статистические исследования, материалы периодической печати, в том числе размещенные в сети Интернет, отражающие влияние информации, новых ИТ на состояние и процесс обеспечения национальной и

ИБ РФ и её субъектов, материалы международных и отечественных выставок и конференций в области ИТ и средств её защиты, а также практический опыт работы автора в Управлении ФСТЭК России по СЗФО.

Нормативная правовая база исследования сформирована на основе использования официальной правовой информации.

Научная новизна диссертационного исследования состоит в следующем: проведено новое исследование анализа эффективности СЗИ сайтов органов власти СЗФО, результаты которого привели к выводу о несоответствии применяемых методов ЗИ необходимой эффективности в сравнении с зарубежными аналогами и аналогами иных областей применения; выявлены причины несоответствия1 современным требованиям применяемых методов ЗИ сайтов правительственных организаций; внесены коррективы в традиционно используемые понятия, относящиеся к предметной области «информационная безопасность», «безопасность информации», «защита информации»; разработана методика определения угроз, отличительной особенностью которой является совершенствование эффективных условий в структуре СЗИ сайтов органов власти. Главная цель методики состоит в создании методологической основы для реализации основных принципов государственной политики в области обеспечения ИБ; создана модель угроз, направленная на обеспечение ЗИ, размещаемых органами власти в сети Интернет, отличающаяся введением механизма саморазви-4 тия, суть которого в интеграции в ней таких блоков как источники угроз, определение целей угроз, способы реализации возможных угроз, оценка возможного ущерба от реализации угроз; предложены научно обоснованные рекомендации, которые по сравнению с существующими позволяют повысить эффективность традиционных и вновь разрабатываемых СЗИ сайтов органов власти; проведена оценка более 1600 сайтов правительств федерального уровня и уровня штатов Америки на предмет качества представления онлайновой информации и услуг, а также обобщены результаты исследования характеристик-безопасности, показавшие наличие нерешенных проблем в области обеспечения секретности, безопасности, соблюдения и развития демократических принципов и развития интерактивности; оценена роль таких важнейших элементов в области развития национальных экономик, как глобализация и прозрачность, для обеспечения ИБ. Оценка позволила придти к выводу о том, что тенденция роста влияния технологического фактора, информационных и коммуникационных технологии, стали доминирующим двигателем процесса глобализации; проведена качественная и количественная оценка взаимосвязи между уровнем распространения ИТ и величиной непрозрачности экономики.

Объективность исследования достигается использованием автоматизированных методов проведения исследования с использованием инструментальных средств, снижающих вероятность случайной ошибки. Точность и достоверность полученных результатов оценивается (по возможности) применением аппарата математической статистики и поддерживается инструментальными средствами.

Значимость полученных результатов для теории заключается в развитии теории и методологии изучения проблем ЗИ органов власти на региональном уровне.

Практическая значимость исследования состоит в создании модели и метода анализа эффективности СЗИ сайтов органов власти, а также механизма совершенствования обозначенных систем на примере СЗФО. Ряд положений могут быть включены в обоснование предложений по совершенствованию научно-технических методов эффективной защиты и создания СЗИ, российского законодательства в сфере информационных отношений и повышению его эффективности; в развитие научных представлений и понятий в области цикла общих профессиональных дисциплин специальности 075300 «Организация и технология защиты информации», на курсах повышения квалификации, подготовки и переподготовки, кадров по ЗИ; при проведении дальнейших научных исследований по данной проблематике.

Апробация результатов исследования.

Диссертация выполнена и обсуждена на заседании кафедры «БИТ» ГОУ ВПО «СПбГУ ИТМО». Теоретические положения и выводы использовались диссертантом в учебном процессе при изложении лекционного материала и проведении практических занятий в ГОУ ВПО «СПбГУ ИТМО», на курсах повышения квалификации ФГУП «ЗащитаИнфоТранс», НОУ ДПО «СевероЗападный центр комплексной защиты информации» и НОУ ДПО «Центр предпринимательских рисков». Авторские материалы научно-технического отчета «Исследование анализа защищённости официальных сайтов органов власти, находящихся в пределах СЗФО», подготовленные на кафедре «БИТ» в соответствии с договором между Управлением ФСТЭК России по СЗФО и ГОУ ВПО «СПбГУ ИТМО» «О сотрудничестве в научных исследованиях, подготовке, повышении квалификации, стажировке и профессиональной переподготовке специалистов в области обеспечения безопасности информации в системах информационной телекоммуникационной' инфраструктуры» использованы для подготовки Межведомственного совета по защите информации при полномочном представителе Президента РФ в СЗФО, а также в ходе подготовки и проведения, мероприятий контроля? в органах власти; и организациях СЗФО (исх. №598 от 08.05.2007).

Результаты исследования также использовались в рамках совместного проекта ГОУ ВПО «СПбГУ ИТМО» и Управления ФСТЭК России по СЗФО в работе по идентификации ключевых систем информационной инфраструктуры, региона, в части разработки и совершенствования методов анализа защищённости сайтов органов власти РФ, а. также были применены в работе ООО? «ЩИТ-XXI» по анализу защищенности сайтов органов? власти и банковской сферы СЗФО:

Основные положения и результаты диссертационного; исследования прошли апробацию на конференциях, проведённых ГОУ ВПО «СПбГУ ИТМО»: II ' ' f '■•■•. ' 'г межвузовская конференция молодых ученых, 28-31 марта 2005 г., XXXIV, научная- и учебно-методическая конференция, 2-4 февраля» 2005: г., III межвузовская конференция молодых ученых, 10-13 апреля 2006 г. .

Результаты работы реализованы, что подтверждается: научно-техническим отчетом «О состоянии защищённости официальных сайтов органов власти и организаций, находящихся в пределах СЗФО, российского сегмента Интернет по основным направлениям и видам деятельности», кафедры. «БИТ» ГОУ ВПО «СПбГУ ИТМО» по запросу Управления ФСТЭК России по

СЗФО (исх. №101 от 30.01.2007); актами о внедрении: ФСТЭК России; Управ1 ления ФСТЭК России по СЗФО, Комитета по информатизации и связи администрации Санкт-Петербурга,„Агентства по информатизации.и связи правительства Камчатского края, ГОУ ВПО : «СПбГУ ИТМО», Санкт-Петербургского монетного двора филиала ФГУП «Госзнак», НОУ ДПО «СЗЦКЗИ», ЗАО «Эврика».

Основные положения, выносимые на защиту: модель угроз СЗИ сайтов органов власти; методика определения угроз СЗИ сайтов органов власти; рекомендации, повышающие эффективность традиционных и вновь разрабатываемых СЗИ сайтов органов власти; результаты анализа сайтов правительств федерального уровня и уровня штатов Америки на предмет представления онлайновой информации и услуг, различия между правительствами обоих уровней на основе показателей, характеризующих степень соответствия потребностям граждан в доступе к необходимой им информации; обобщённые результаты исследования характеристик безопасности сайтов правительств федерального уровня и уровня штатов Америки; результаты оценки роли элементов (глобализация и прозрачность) в области развития национальных экономик для обеспечения эффективной ИБ.

Публикации. Результаты диссертационного исследования нашли своё отражение в 1 НИР, 7 статьях (общим объемом 3 п.л.), 5 из которых опубликованы в рецензируемых ВАК изданиях.

Структура и объем диссертации. Работа состоит из введения, пяти глав, заключения, списка используемых источников, приложения на 137 страницах машинописного текста, имеет 10 рисунков, 20 таблиц. Список используемых источников содержит 82 наименования.

Основные результаты и выводы, полученные в диссертации состоят в следующем: разработана методика определения угроз, отличительной особенностью которой является совершенствование эффективных условий в структуре СЗИ сайтов органов власти. Главная цель методики состоит в создании методологической основы для реализации основных принципов государственной политики в области обеспечения ИБ; создана модель угроз СЗИ сайтов органов власти, отличающаяся введением механизма саморазвития, суть которого в интеграции в ней таких блоков как источники угроз, определение целей угроз, способы реализации возможных угроз, оценка возможного ущерба от реализации угрозы; сформулированы причины несоответствия применяемых методов защиты информации необходимой эффективности в сравнении с зарубежными аналогами и аналогами иных областей применения; выявлены причины этого несоответствия; предложены научно обоснованные рекомендации, которые по сравнению с существующими, позволяют повысить эффективность традиционных и вновь разрабатываемых СЗИ сайтов органов власти; разработаны инструментальные средства анализа эффективности СЗИ сайтов органов власти (ИМК «Навигатор сканирования» и ИМК «Сканирование угроз»); проведена оценка более 1600 сайтов правительств федерального уровня и уровня штатов Америки, выявлены различия между правительствами обоих уровней на основе показателей, характеризующих степень того, как сайты правительств соответствуют потребностям граждан в доступе к необходимой им информации. Оценка показала, что разные штаты Америки достаточно сильно различаются по общим характеристикам электронизации деятельности своих правительств; обобщены результаты исследования характеристик безопасности сайтов правительств федерального уровня и уровня штатов Америки, показавшие, что значительное продвижение в области информационного обеспечения и предоставления услуг происходило на фоне нерешенных проблем в области обеспечения секретности, безопасности, соблюдения и развития демократических принципов и развития интерактивиости; проведён анализ различий использования ИТ в разных ветвях власти федерального правительства США, который выявил разную степень предоставления тех или иных возможностей ИТ между тремя ветвями власти — исполнительной, законодательной и судебной; оценена роль таких важнейших элементов в области развития национальных экономик, как глобализация и прозрачность, для обеспечения эффективной ИБ. Проведенные оценки позволили придти к выводу о том, что тенденции роста влияния технологического фактора, информационных и коммуникационных технологии, стали доминирующим двигателем процесса глобализации; предложена и обоснована рекомендация о необходимости скорейшего принятия Федерального Конституционного закона РФ «О безопасности РФ».

Конституционный закон должен привести в единую систему положения-нормативных правовых, актов и других федеральных документов в области обеспече-ншг безопасности, а также устранить пробелы, повторы и противоречия, установить должную корреляцию между ними. > -По результатам исследования сформулированы следующие рекомендации, предназначенные для повышения эффективность систем защиты информации сайтов органов власти: применение защищенных технологий для обеспечения безопасности информационного обмена между сайтом и компьютером пользователя; всестороннее' тестирование безопасности сайта профессиональной консалтинговой компанией, специализирующейся на предоставлении услуг вида «тестирование на проникновение»; использование двухфакторной аутентификации; при этом, как показало исследование, лучшая современная практика включает использование специального программно/аппаратного ключа - USB-токена, элемента touch-memory или ключевой дискеты; адаптация международных стандартов в области информационной безопасности для российских участников информационных отношений; идентификация информации, циркулирующей- в органе власти по следующим критериям: является ли информация ограниченного доступа или является открытой общедоступной информацией; все применяемые методы и средства защиты необходимо реализовывать в соответствии с требованиями Руководящего документа Гостехкомиссии России. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. для предотвращения угроз от внешнего нарушителя целесообразно применять организационно-технические мероприятия по обслуживанию,линий связи, систему криптографической защиты, коды-аутентификации, имитационную защиту данных, электронную цифровую подпись, протокол двусторонней криптографической аутентификации, систему НСД, Fire Wall между элементами на сетевом уровне, систему разовых паролей для доступа к ресурсам (на прикладном уровне), уникальный криптографический сеанс (на сеансовом уровне). в целях предотвращения опубликования на сайте органа власти информации ограниченного доступа, необходимо в обязательном порядке предварительно направлять её на экспертизу в Экспертную комиссию или Постоянно действующую техническую комиссию (ПДТК) органа власти.

ЗАКЛЮЧЕНИЕ

В данной работе проведен анализ эффективности СЗИ сайтов органов власти СЗФО. Методика исследования существенно отличается от распространенных методик, используемых в настоящее время, законностью используемых методов анализа. Примененные методы исследования, разработанные, обобщенные и усовершенствованные в работе, находятся в рамках российского законодательства, т.к. не приводят к вторжению/нарушению работы сетей и отдельных ЭВМ. Все действия, выполненные в процессе анализа, не выходят за рамки действующего законодательства. Целью методов является поиск таких изъянов или недостатков в защите сайтов, которые позволяют «нарушителям» преодолеть СЗИ сайтов или получить критически важную информацию для последующего вторжения.

1. Административная реформа в России : научно-практическое пособие / под ред. С.Е. Нарышкина, Т.Я. Хабриевой. М.: Юр. фирма «КОНТРАКТ»; ИНФРА-М, 2006. - 352 с.

2. Бачило, И.Л. Информационное право : учебник / И.Л. Бачило, В.Н. Лопатин, М.А. Федотов; под ред. акад. РАН Б.Н. Топорника. СПб.: Издательский центр Пресс, 2001 - 789 с.

3. Биячуев, Т.А. Модель и методы мониторинга и оценки защищенности веб-сайтов сети Интернет : дис. . канд. тех. наук: 05.13.19. СПб., 2005.

4. Большая энциклопедия Кирилла и Мефодия Электронный ресурс. / New Media Generation, 2006.

5. Бюджетный Кодекс Российской Федерации (в ред. от 19.12.2006 г.) от 31.07.1998 г. № 145-ФЗ // Российская газета. 1998. - 12 августа. - № 153-154.

6. Война и мир в терминах и определениях / Изд-во «ПоРог» Интернет: http://www.voina-i-mir.ru.

7. Гончаров, И.В. Законодательное обеспечение конституционной безопасности Российской Федерации / Конституционное и муниципальное право. -2003.-№4.

8. ГОСТ 7.0-99. Информационно-Библиотечная Деятельность, Библиография. Термины и определения.

9. ГОСТ Р 50922-96. Защита информации. Основные термины и определения.

10. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью.

11. Даль, В.И. Толковый словарь живого великорусского языка : в 4 т. М.: Русский язык, 1989.

12. Доктрина информационной безопасности Российской Федерации // Российская газета. 2000. - 28 сентября. - № 187.

13. Домарев, В.В. Безопасность информационных технологий. Системный подход. М.: Изд-во «DiaSoft», 2004. - 992 с.

14. За 2 года на защищаемые ФСБ России ресурсы органов государственной власти хакеры совершили более 2 млн. атак // Securitylab.ru Интернет: http://www.securitylab.ru/news/292145.php. 2007. - 3 июля.

15. Закон РФ от 05.03.1992 № 2446-1 (в ред. от 25.07.2006) «О безопасности» // Российская газета. 1992. - 6 мая. -№ 103.

16. Закон РФ от 21.07.1993 г. N 5485-1 «О государственной тайне» (в ред. от 22.08.2004 г.) // Российская газета. 1993.-21 сентября. - № 182.

17. Зима, В.М., Молдовян, А.А., Молдовян, НА. Безопасность глобальных сетевых технологий. СПб.: БХВ-Петербург, 2003.

18. Идрисов, Р.Ф. Теоретические и правовые проблемы обеспечения национальной безопасности Российской Федерации : диссертация на соискание степени д-ра юр. наук / Р.Ф. Идрисов. М., 2002. - 377 с.

19. Информационная безопасность систем организационного управления. Теоретические основы : в 2 т. / Н.А. Кузнецов, В.В. Кульба, Е.А. Микрин и др.; отв. ред. Н.А. Кузнецов, В.В. Кульба; Ин-т проблем передачи ин-форм. РАН. М.: Наука, 2006. - Т. 1. - 495 с.

20. Информационные технологии в бизнесе / под ред. М. Желены. СПб: Питер, 2002. - 1120 е.: ил. - (Серия «Бизнес класс»).

21. Кирьянов, А.Ю. Региональная безопасность в системе национальной безопасности // Российский судья. 2005. - № 9.

22. Кулаков, В.Г. Региональная система информационной безопасности : угрозы, управление и обеспечение : дис. . д-ра техн. наук : 05.13.19, 05.13.10.

23. Лопатин, В. Правовые аспекты информационной безопасности // Системы безопасности связи и телекоммуникаций. 1998. - № 21. - С. 8.

24. Лукацкий, А.В. Безопасность e-commerce // Системы безопасности, связи и телекоммуникаций. 2006. - № 4.

25. Методы и системы защиты информации, информационная безопасность : Паспорт специальности 05.13.19.

26. Мирошниченко, М.В. Организация управления и обеспечение национальной безопасности Российской Федерации / В.М. Мирошниченко. — М.: Изд-во «Экзамен», 2002. 256 с.

27. Нестеров, А.В. Существует ли информационная безопасность, или некоторые аспекты законопроекта технического регламента «О безопасности информационных технологий» // Правовые вопросы связи. 2007. — № 1.

28. Об информационном обеспечении органов государственной власти Ставропольского края: Закон Ставропольского края от 27 сентября 1996 года № 35-кз (в ред. от 11.03.2001).

29. Ожегов, С.И. Словарь русского языка. 21-е изд. - М.: Русский язык, 1989.

30. Осовецкий, Л.Г., Проценко, Е.А., Захаров, А.В. Исследование и анализ защищенности официальных сайтов органов власти, находящихся в пределах Северо-Западного федерального округа : научно-технический отчет / СПбГУ ИТМО. 2007.

31. Пономарев, В. E-banking как вершина банковской технологической мысли // Компьютерная неделя. 2004. - № 19(443).

32. Постановление Конституционного Суда РФ от 27.01.1999г. 2-П «По делу о толковании статей 71 (пункт «г»), 76 (часть 1) и 112 (часть 1) Конституции Российской Федерации» // Российская газета. — 1999. -10 февраля. № 25.

33. Постановление Правительства РФ от 28.01.2002 № 65 (в ред. от 15.08.2006) «О Федеральной целевой программе «Электронная Россия (2002-2010 годы)» // Собрание законодательства РФ. 2002. - 4 февраля. — № 5. - ст. 531.

34. Правовое обеспечение безопасности информации в Российской Федерации : учеб. пособие / Фатьянов А.А. М.: Изд. группа «Юрист», 2001. -412 с.

35. Приоритетные проблемы научных исследований в области информационной безопасности Российской Федерации: одобрены секцией по информационной безопасности научного совета при Совете Безопасности Российской Федерации (протокол от 28 марта 2001 г. N 1).

36. Просвирнин, Ю.Г. Информационная функция государства / Журнал российского права. 2002. - № 3.

37. Проценко, Е.А. Некоторые вопросы правового регулирования вопросов информационной безопасности, безопасности информации и защиты информации // Власть и управление на Востоке России. Научно-публицистический журнал. 2007 г. №4 (41). 228 с.

38. Проценко, Е.А. Структура федерального законодательства в области защиты информации // Вестник II межвузовской конференции молодых ученых : сб. науч. тр. / под. ред. B.JI. Ткалич. СПб: СПбГУ ИТМО, 2005.-Т. 1.-268 с.

39. Распоряжение Правительства РФ от 17.07.2006 N 1024-р «О Концепции региональной информатизации до 2010 года» // Собрание законодательства РФ. 2006. - 24 июля. - № 30. - ст. 3419.

40. Рейтинг ФБР : самые разорительные угрозы ИБ // Safe.CNews.ru Интернет: http://safe.cnews.ru/reviews/index.shtml72006/08/18/208912. 2006. - 18 августа.

41. Северин, В.А. Правовое регулирование информационных отношений // Юрист.-2001.-№ 7.

42. Скиба, В.Ю., Курбатов, В.А. Руководство по защите от внутренних угроз информационной безопасности // СПб.: Питер, 2008 320 е.: ил.

43. Стахов, А.И. Безопасность в правовой системе Российской Федерации // Безопасность бизнеса. 2006 - № 1.

44. Стрельцов, А.А. Правовое обеспечение информационной безопасности России : теоретические и методологические основы. Минск, 2005. — 304 с.

45. Стрельцов, А.А. Обеспечение информационной безопасности России. Теоретические и методологические основы / под ред. В.А. Садовничего и В.П. Шерстюка. М.: МЦНМО, 2002. - 296 с.

46. Указ Президента РФ от 05.01.1992 № 9 «О создании Государственной технической комиссии при Президенте Российской Федерации» // Ведомости СНД и ВС РСФСР. 1992. - 16 января. - № 3. - ст. 109.

47. Указ Президента РФ от 09.03.2004 № 314 (в ред. от 27.03.2006) «О системе и структуре федеральных органов исполнительной власти» // Российская газета. — 2004. — 12 марта. — № 50.

48. Указ Президента РФ от 10.01.2000 № 24 «О Концепции национальной безопасности Российской Федерации» // Российская газета. 2000. - 18 января. - № 11.

49. Указ Президента РФ от 16.08.2004 № 1085 (в ред. от 30.11.2006) «Вопросы федеральной службы по техническому и экспортному контролю» // Собрание законодательства РФ. 2004. - 23 августа. - № 34. - ст. 3541.

50. Указ Президента РФ от 20.05.2004 № 649 (в ред. от 05.02.2007) «Вопросы структуры федеральных органов исполнительной власти» // Российская газета. 2004. - 22 мая. - № 106.

51. Уфимцев, Ю.С., Буянов, В.П., Ерофеев и др. Методика информационной безопасности / Ю.С. Уфимцев, В.П. Буянов, Е.А. Ерофеев, H.JL Жогла, О.А. Зайцев, Г.Л. Курбатов, А.И. Петренко, Н.В. Федотов. М.: Изд-во «Экзамен», 2004. - 544 с.

52. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» // Российская газета. -2006.-29 июля. -№ 165.

53. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» // Российская газета. 2006. - 29 июля. - № 165.

54. Федеральный закон РФ от 15.08.1996 г. № 115-ФЗ «О бюджетной классификации Российской Федерации» (в ред. от 18.12.2006 г.) / Российская газета. 2000. - 12 августа. - № 156-157.

55. Чубукова, С.Г., Элькин, В.Д. Основы правовой информатики (юридические и математические вопросы информатики) : учеб. пособие / под ред. д-ра юр. наук, проф. М.М. Рассолова, канд. тех. наук, проф. В.Д. Эльки-на. Юр. фирма «Контракт», 2004. - 252 с.

56. Цена непрозрачности : недополученные прямые иностранные инвестиции. Апрель 2001. Проект ПрайсуотерхаусКуперс «Исследование прозрачности и стабильности экономики».

57. Штрик, А.А. Макроэкономические индикаторы развития информационного общества и преодоление цифрового неравенства между странами мира // Информационные технологии. 2002. - Приложение к № 8.

58. Щедрин, Н.В. Введение в правовую теорию мер безопасности : монография / Краснояр. гос. ун-т, 1999. 180 с.

59. Эрнст энд Янг. Международное исследование по вопросам информационной безопасности, 2003 // Internet URL http://www.ey.com/global/.

60. Яро^кин, В.И., Бузанова, Я.В. Аудит безопасности фирмы: теория и практика : учеб. пособие для вузов. М.: Академический Проект; Королев: Парадигма, 2005. - 352 с.

61. А.Т. Kearney and The Carnegie Endowment for International Peace. Measuring Globalization. FOREIGN POLICY Magazine Globalization Index TM. 2001 // Internet: http://www.foreignpolicy.com.

62. Global E-Government, 2003, Darrell M. West. Center for Public Policy, Brown University Providence, Rhode Island 02912-1977, United States. September, 2003 // Internet: http://www.InsidePolitics.org.

63. E. Rescorla HTTP Over TLS, RFC 2818, May 2000.

64. ISO/IEC' 13335-1: 2004-11-15 Information technology — Security Techniques Management of information and communications technology security

65. Part 1: Concepts and models for information and communications technology security management (1st edition).

66. ISO/TEC 27001:2005(E). Information technology — Security techniques — Information security management systems — Requirements.

67. John D. Howard An analysis of security incidents on the Internet 1989 -1995, Carnegie Mellon University 1998.

68. NetCraft Web Server Survey and Netcraft SSL Survey. Archive // Internet: http://www.netcraft.co.uk.

69. State and Federal E-Government the United States, 2001, Darrell M. West. Brown University Providence. Rhode Island 02912-1977, United States. // Internet: http://www.InsidePolitics.org.

70. T. Dierks, C. Allen The TLS Protocol Version 1.0, RFC 2246, January 1999.

71. The National Strategy to Secure Cyberspace, USA, February 2003, c. 9 // Internet: http://www.whitehouse.gov/pcipb/.

72. МОДЕЛЬ ВЕРОЯТНЫХ УГРОЗ СИСТЕМАМ ЗАЩИТЫ ИНФОРМАЦИИ1. САЙТОВ ОРАГОВ ВЛАСТИ

73. Модель вероятных угроз СЗИ сайтов это абстрактное (формализованное или неформализованное) описание всех возможных угроз СЗИ сайтов.

74. В целях построения Модели угроз необходимо провести анализ следующего взаимодействия: источник угрозы — фактор (действие, в результате которого будет реализована угроза) — угроза — объект защиты (его уязвимости) — последствия (риски).

75. Перечень основных видов источники угроз информационной безопасности.1. ТЕХНОГЕННЫЕ ИСТОЧНИКИ

76. Внешние стихийные источники: пожары; землетрясения; наводнения; ураганы; магнитные бури; различные непредвиденные обстоятельства; необъяснимые явления; другие форс-мажорные обстоятельства.1. АНТРОПОГЕННЫЕ ИСТОЧНИКИ

77. Внешние антропогенные источники: криминальные структуры; потенциальные преступники и хакеры; недобросовестные партнеры; технический персонал поставщиков телематических услуг; представители контролирующих организаций, аварийных служб, силовых структур.

78. Внутренние антропогенные источники: основной персонал; представители службы защиты информации; вспомогательный персонал; технический персонал.

79. В приводимых ниже таблицах 13-20 рассматриваются некоторые виды источников угроз.