автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Управление региональной системой защиты информации на основе мониторинга показателей информационной безопасности

кандидата технических наук
Кулаков, Владимир Григорьевич
город
Воронеж
год
2000
специальность ВАК РФ
05.13.19
Диссертация по информатике, вычислительной технике и управлению на тему «Управление региональной системой защиты информации на основе мониторинга показателей информационной безопасности»

Автореферат диссертации по теме "Управление региональной системой защиты информации на основе мониторинга показателей информационной безопасности"

На правах рукописи

РГб од

-§ ПН!

КУЛАКОВ Владимир Григорьевич

УПРАВЛЕНИЕ РЕГИОНАЛЬНОЙ СИСТЕМОЙ ЗАЩИТЫ ИНФОРМАЦИИ НА ОСНОВЕ

МОНИТОРИНГА ПОКАЗАТЕЛЕЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Специальности: 05.13.19 Методы и системы защиты информации и информационной безопасности; 05.13.10 Управление в социальных и экономических системах

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Воронеж - 2000

Работа выполнена в Воронежском государственном техническом университете

Научный руководитель:

доктор технических наук, профессор Остапенко А.Г.

Офицальные оппоненты:

доктор технических наук,

профессор

Юрочкин А.Г.

.кандидат технических наук,

доцент

Скрыль С.В.

Ведущая организация:

5-й ЦНИИИ МО РФ

Защита состоится июня 2000г. в « 14 » часов на заседании

диссертационного совета К063.81.13 Воронежского государственного технического университета по адресу:

394026, Воронеж, Московский проспект, 14.

С диссертацией можно ознакомится в библиотеке Воронежского госудаствен-ного технического университета.

Автореферат разослан« /Г » ¿?Г~ 2000г.

Ученый секретарь диссертационного совета

Пентюхов В.В.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Концепцией национальной безопасности Российской Федерации, утвержденной Указом Президента Российской Федерации от 17.12.97 № 1300 (в редакции указа Президента от 10.01.2000 № 24), определены национальные интересы России в информационной сфере как на федеральном, так и на региональном уровнях.

Теоретические и практические разработки в этой области управления территориальными системами связаны с оценкой угроз безопасности, организации оперативного слежения и прогнозирования динамики показателей с использованием информационного мониторинга, формированием комплекса управленческих решений, направленных на поэтапное создание систем защиты информации с последующим выходом на уровень их устойчивого функционирования и развития. Большинство исследований выполняются в рамках программ обеспечения социально-экономической безопасности и устойчивого развития субъектов Федерации. Их реализация связана с необходимостью детализации управленческих решений, относящихся к уровню регионов и местного самоуправления.

Характерным территориальным образованием такого плана являются субъекты Российской Федерации. Для них характерна особенно высокая взаимосвязь информационного пространства региона и его внутренней структуры материального производства, социальной сферы. Эффективность функционирования региональных социально-экономических комплексов и систем управления напрямую зависит от состояния информационной безопасности региона. Приоритетность показателей информационной безопасности, их динамика, организация управления, информационные технологии поддержки принятия решений имеют свои особенности по сравнению с федеральным уровнем. Кроме того, на региональном уровне управления на предыдущих этапах развития региональных систем защиты информации (РСЗИ) не реализовывалась технология управления этими системами на основе мониторинга показателей информационной безопасности. Данная технология не получила также достаточного развития для управления системами федерального уровня.

Под информационной безопасностью обычно понимается состояние защищенности информационной среды общества, обеспечивающее ее формирование и развитие в интересах граждан, организаций и государства. Обеспечение информационной безопасности связано с защитой прав личности, общества, государства на поиск, получение и распространение достоверной информации любым законным способом, на неприкосновенность частной жизни, личную, семейную и государственную тайну, на сохранение и приумножение культурных и духовно-нравственных ценностей, исторических традиций и норм общественной жизни.

Решение столь сложных задач немыслимо без участия в системе обеспечения информационной безопасности России ее региональных и муниципальных составляющих. К основным направлениям деятельности по обеспечению информационной безопасности региона, сформулированным на основе анализа Концеп-

цин обеспечения безопасности и устойчивого развития Воронежской облает, относятся:

формирование, накопление и рациональное управление государственными и муниципальными информационными ресурсами;

выявление угроз информационной безопасности и их источников;

обеспечение информационных прав личности, общества, органов государственной власти и местного самоуправления, их защита от негативных информационных воздействий;

защита информации, отнесенной в законном порядке к категории ограниченного доступа (составляющей тайну), от угроз ее утечки к недружественным субъектам, в том числе в результате незаконного ведения технической разведки и несанкционированного доступа к информации;

защита информации (независимо от категории доступа к ней и формы представления) от угроз нежелательных несанкционированных и непреднамеренных воздействий.

Взаимосвязь направлений деятельности по обеспечению информационной безопасности и сложность проблем, требует скоординированных действий в этой сфере. Такая координация не может быть выполнена только федеральными органами исполнительной власти. Более целесообразно иметь систему координации деятельности в области обеспечения информационной безопасности, распределенную по уровням федерального, регионального и местного управления, отражающую структуру научно-технических и социально-экономических проблем в области информационной безопасности.

В настоящее время работы по формированию региональных систем обеспечения информационной безопасности начаты в ряде регионов России. Основу таких систем составляют РСЗИ субъектов Российской Федерации. Так, например, в Воронежской области создан Совет по вопросам защиты информации при Главе администрации области, аккредитованы органы по лицензированию деятельности в области защиты информации и сертификации средств защиты информации. Подготовку для региона кадров в области информационной безопасности и защиты информации осуществляют Воронежский государственный технический университет, Воронежский институт Министерства внутренних дел и ряд других организаций. В области развивается разработка и производство средств защиты информации, создается инфраструктура по оказанию услуг в области защиты информации.

Вместе с тем, в деятельности РСЗИ имеется ряд нерешенных вопросов:

1. Недостаточно развиты такие необходимые элементы управления, как учет и анализ деятельности региональной системы. Отсутствует система показателей для мониторинга состояния информационной безопасности, принятия на этой основе управленческих решений в РСЗИ и выработки направлений дальнейшего развития РСЗИ, формированию и реализации региональных программ в области информационной безопасности и зашиты информации.

2. Не в полной мере используется такая форму управления, как разработка

и внедрение методических рекомендаций по вопросам обеспечения информационной безопасности для предприятий, учреждений и организаций, входящих в РСЗИ. Это тем более важно в условиях отсутствия прямого их подчинения органам исполнительной власти региоиа.

3. Отсутствует координация в деятельности органов государственной власти, местного самоуправления, предприятий и организаций в проведении технического контроля объектов и территорий области в интересах ее безопасности.

Таким образом, актуальность темы заключается в необходимости формирования подходов к управлению РСЗИ с использованием показателей информационной безопасности и современных информационных технологий их определения, обеспечивающих повышение уровня безопасности и устойчивое развитие субъектов Российской Федерации.

Работа выполнена в соответствии с межвузовской научно-технической программой Н.Т.414 "Методы и технические средства обеспечения безопасности информации", программами социально-экономической безопасности и устойчивого развития Воронежской области и г. Воронежа на 1997-2006 гг. и с одним из основных научных направлений ВГТУ «Перспективные радиоэлектронные и лазерные устройства, системы передачи, приема и защиты информации»

Целью работы является разработка методов, моделей и алгоритмов принятия управленческих решений в РСЗИ на основе мониторинга показателей информационной безопасности региона:

Задачи исследования. Для достижения поставленной цели необходимо решить следующие задачи:

проанализировать пути повышения эффективности организации информационной безопасности и защиты информации в регионе;

сформировать концептуальную модель РСЗИ, позволяющей формализовать процедуру оценки состояния РСЗИ;

разработать алгоритмические процедуры принятия управленческих решений и прогнозирования развития на основе мониторинга динамики показателей состояния РСЗИ;

сформировать комплекс алгоритмов выбора рациональной подсистемы управления ЗСЗИ как базовой структуры обеспечения информационной безопасности субъекта Российской Федерации;

провести апробацию предложенных моделей и алгоритмов при формировании и реализации программ обеспечения информационной безопасности и защиты информации в Воронежской области.

Методы исследования. Для решения поставленных задач в работе используются методы системного анализа, теории управления, методы математического моделирования, экспертного оценивания, исследования операций и оптимизации.

Научная новизна. В работе получены следующие основные результаты, характеризующиеся научной новизной:

структура концептуальной модели РСЗИ и управления этой системой, отличающиеся введением в состав модели РСЗИ управляемых целевых подсистем ¡а-

щиты информации к возможностью организовать процедуру мониторинга по комплексу показателей информационной безопасности РСЗИ, приоритетных по экспертным оценкам для уровня субъектов Федерации;

методика оценки и прогнозирования динамики обобщенных показателей информационной безопасности и состояния региональной системы зашиты информации, отличающаяся совмещением в едином цикле мониторинга локальных показателей, модельных прогнозных оценок и экспертных оценок уровня их значимости для обобщенных показателей и принятия управленческих решений в области информационной безопасности и защиты информации;

алгоритм принятия управленческих решений в РСЗИ, в отличии от аналогов учитывающий адекватное отображение результатов мониторинга и прогноза состояния РСЗИ на множество возможных воздействий на организационную структуру РСЗИ, систему документов;

методика и алгоритм адаптивного выбора рациональной подсистемы управления РСЗИ по критерию "эффективность - сложность", отличающиеся способом учета в оптимизационной модели характеристик мониторинга и принятия управленческих решений в зависимости от структуры РСЗИ и возможности оценки всего комплекса показателей состояния РСЗИ.

Практическая значимость работы. Практическая значимость определяется использованием результатов работы для органов управления субъекта Российской Федерации. На основании проведенных исследований предложена структура системы мониторинга информационной безопасности и состояния РСЗИ по комплексу приоритетных для региона показателей с возможностью формирования прогнозных оценок по частным и обобщенным показателям.

Результаты работы положены в основу разработки структуры РСЗИ Воронежской области и комплекса целевых программ безопасного и устойчивого развития Воронежской области и г. Воронежа на 1997-2006 гг.

Апробация работы. Основные результаты диссертации докладывались и обсуждались на конференциях "Безопасность и устойчивое развитие регионов" (Москва, 1997 г.), "Безопасность и устойчивое развитие муниципальных образований" (Москва, 1998 г.), IV Всероссийской научно-практической конференции "Проблемы информационной безопасности в системе высшей школы" (Москва, 1999 г.), на ежегодных научных конференциях профессорско-преподавательского состава Воронежского государственного технического университета (1997-1999 гг.).

Публикации. По теме диссертации опубликовано 11 печатных работ. Структура и объем работы. Диссертация состоит из введения, четырех глав, заключения, списка использованной литературы из 105 наименований, 11 приложений. Общий объем диссертации составляет 175 страниц, включает 1 б рисунков и 5 таблиц.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность темы диссертационном работы, анализируется состояние исследований в данной области, формулируется цель и научные задачи работы.

Первая глава посвящена рассмотрению особенностей управления региональной системой защиты информации. Здесь анализируются проблема защиты информации в региональных органах государственной власти и управления, на предприятиях в учреждениях и организациях, обсуждается концептуальная модель региональной системы защиты информации.

Возросшие возможности современных средств технической разведки, высокая вероятность их применения лицами, связанными с иностранными спецслужбами или организованными преступными формированиями, выдвигает повышенные требования к защищенности систем связи и вычислительной техники органов государственной власти и управления. Возможности ведения разведки непосредственно на территории России сегодня значительно возросли в связи с расширением связей с другими государствами по линиям экономического, научно-технического, культурного и гуманитарного обмена, созданием совместных предприятий с участием иностранного капитала, сокращением закрытых районов и территорий и т.д. Все это указывает на необходимость уделять значительно больше внимания ЗИ органов государственной власти и управления от технической разведки

Важной компонентой государственной системы защиты информации, составляющей государственную и служебную тайну, от технических разведок и от ее утечки по техническим каналам являются РСЗИ.

Концептуальная модель РСЗИ включает: основные факторы, определяющие необходимость создания таких систем, цели и принципы их формирования, опыт и основные направления работ по их развитию.

Среди основных факторов, определяющих необходимость создания и развития РСЗИ, следует выделить:

1. Реструктуризация управления хозяйственной деятельностью. Повышение самостоятельности субъектов Российской Федерации, предприятий, учреждений и организаций, находящихся на их территории.

2. Возрастание зависимости результатов деятельности органов государственной власти, местного самоуправления, предприятий, учреждений и организаций от достоверности используемой ими информации, своевременности ее получения, надежности принятых мер по сохранению в тайне информации ограниченного доступа.

3. Придание информации статуса объекта собственности и купли-продажи

4. Увеличение объемов информации, циркулирующей в органах государственной власти и местного самоуправления и составляющей служебную, коммерческую, профессиональную, личную тайну и другие виды тайн.

Целями РСЗИ являются:

1. Проведение государственной политики по вопросам ЗИ в регионах, со-

вершеиствование оргапизационно-правового, нормативно-методического, технического и информационного обеспечения эффективной ЗИ, составляющей государственную и служебную тайну, в органах государственной власти и местного самоуправления, на предприятиях, в учреждениях и организациях региона.

2. Координация действий региональных государственных и негосударственных структур по ЗИ, составляющей коммерческую, банковскую, личную и другие виды тайн, а также - по защите наиболее ценной общедоступной информации; создание необходимой инфраструктуры для организационно-правового, нормативно-методического, технического и информационного обеспечения эффективной защиты этих видов информации в регионе.

В основу формирования РСЗИ могут быть положены следующие принципы, вытекающие из концепции обеспечения безопасности и социально-экономического развития региона: законность; разграничение полномочий по обеспечению ЗИ между федеральными и региональными органами государственной системы защиты информации; добровольность вхождения в состав РСЗИ предприятий, учреждений и организаций региона; коллегиальность руководства РСЗИ; стабильность ядра РСЗИ, обеспечивающего выполнение функций по защите информации, составляющей государственную и служебную тайну; адаптивность оболочки РСЗИ к изменяющимся внешним условиям и решаемым задачам; рациональное сочетание универсальности и дифференциации механизмов защиты для различных видов информации; учет опыта обеспечения ЗИ в различных регионах; поэтапность формирования и развития РСЗИ.

Структура РСЗИ должна отвечать следующим требованиям:

1. Возглавляет РСЗИ Совет по вопросам защиты информации при главе администрации области - орган, работающий на коллегиальной основе. Защиту информации в пределах своей компетенции осуществляют все органы государственной власти, местного самоуправления, предприятия, учреждения и организации региона.

2. РСЗИ является многоуровневой и многофункциональной системой. Структура РСЗИ включает: органы управления системой (Совет по вопросам защиты информации при главе администрации области, структурные подразделения администрации), территориальные органы федеральных органов исполнительной власти, решающие общесистемные задачи ЗИ, объектные (целевые) и функциональные подсистемы ЗИ.

3. Важнейшими компонентами РСЗИ, решающими общесистемные задачи ЗИ, являются территориальные органы Гостехкомиссии России, Федеральной службы безопасности, Федерального агентство правительственной связи и информации при Президенте Российской Федерации, Министерства внутренних дел Российской Федерации, которые имеют специфические функции и действуют в пределах их компетенции.

Задачи управления РСЗИ охватывают:

1. Выбор и обоснование показателей и критериев оценки состояния РСЗИ. Разработка методик сбора (мониторинга), анализа собранной информации и оценки

состояния РСЗИ

2. Формирование постоянно действующей системы сбора фактической информации о состоянии объектовых (целевых) и функциональных подсистем РСЗИ

3. Разработка моделей и алгоритмов принятия управленческих решений на основе мониторинга показателей информационной безопасности и состояния РСЗИ.

Во второй главе рассматривается разработка моделей и методик мониторинга показателей информационной безопасности и защиты информации в регионе, обсуждаются возможности адаптивного подхода к формированию обобщенного показателя информационной безопасности органов управления регионом на основе данных мониторинга.

В традиционной постановке задача защиты информации, может быть обобщенно сведена к удовлетворению следующего критерия качества защиты К;= min {I ( г> \и). Вместе с тем предлагается в рамках проблемы информационной безопасности объекта рассмотреть задачу адекватности информации, поясняемую следующим критерием качества КЛ=тах{1оо 1с}. Несмотря на кажущуюся автономию задач К3 и КА, просматривается их определенная корреляция за счет взаимосвязи 1о 1с, 1з и I, Поэтому целесообразно было бы оперировать неким интегральным критерием, консолидирующим задачи К3 и КА в целях обеспечения комплексной безопасности объекта. Предлагаемый адаптивный подход к выбору стратегии ЗИ в интегрированной системе управления регионом заключается в использовании в качестве критерия компромисса между показателями Кз и К ^ средневзвешенной свертки

где р , р2- величины вероятностей привлечения к адаптивному выбору соответственно показателей Кз и КЛ(р, +р2= 1).

Адаптивный алгоритм выбора использует экспертные оценки, которые позволяют формализовать суждения специалистов органов управления и информационной безопасности о значимости на k-ом временном интервале управления показателей и КА и математическое прогнозирование динамики этих показателей. Формирование обобщенногопоказателя информационной безопасности, пред-сттавленна рис 1.

Для того, чтобы определить конкретные показатели, критерии, и методики оценки состояния РСЗИ необходимо выделить основные элементы этой системы, их направления деятельности и функции. Оценка эффективности и качества выполнения функций отдельными элементами системы с учетом взаимосвязей этих функций позволит выйти на показатели оценки состояния РСЗИ в целом.

Под оценкой состояния РСЗИ понимается процедура определения показателей, характеризующих текущее положение системы, меру выполнения системой возложенных на нее функций. Такими функциями являются: процесс 311 в объектных подсистемах, общесистемное обеспечение РСЗИ в функциональных подсистемах; общесистемное управление РСЗИ. В качестве показателей оценки состояния ЗИ на единичном объекте защиты предлагается использован, вектор-

Рис. 1 Структурная схема адаптивного формирования обобщенного показателя информационной безопасности

ный показатель, характеризующий выполнение или невыполнение на объекте установленных требований по ЗИ. П'мгК .

где п' - показатель выполнения j -ого 0 = 1,10) требования по ЗИ на ¡-ом объекте;

/?' I = 1, - если; -ое требование выполняется или п' I = О-в противном случае.

В обобщенном виде требования по ЗИ на конкретном объекте включают: требования по организации процесса ЗИ на объекте, включая требования по материально-техническому, нормативно-методическому, информационному, финансовому и др. обеспечению процесса ЗИ на объекте . = ..., требования по эффективности ЗИ на объекте = 1,.!,).

При расчете указанного выше показателя используется обобщенная модель функций защиты информации.

Для совокупности объектов защиты одного предприятия, ведомства РСЗИ в

Рис.2 Общая модель исходов при осуществлении функций защиты

информации

целом состояние ЗИ оценивается долей объектов (от общего числа объектов защиты), на которых выполняются установленные требования. При этом также должна учитываться важность (категория) защищаемых объектов.

К'т

П'зи =-,

К^'о-

тде Ют - количества объектов 1-го типа, на которых выполняются установленные требования;

К'0 - общее количество защищаемых объектов ¡-го типа.

При выборе показателей оценки состояния функциональных подсистем ЗИ (контроля, аттестования, подготовки специалистов и др.) необходимо иметь в виду, что эти подсистемы являются своеобразными системами массового обслуживания, отрабатывающими определенный поток заявок (требований) по контролю, аттестованию, подготовке специалистов, созданию техники ЗИ в интересах обеспечения процесса защиты информации на различных объектах защиты.

Состояние функциональных подсистем РСЗИ оценивается полнотой выполнения возложенных на функциональную подсистему РСЗИ задач (с дифференциацией по видам подсистем) осуществляется в соответствии с выражением:

N

у И'

где и'. - важность ¡-ой решенной задачи (1 ~ 1,N);

- важность j-oй задачи, требующей решения (¡=1,М).

Важнейшей подсистемой РСЗИ является ее подсистема управления. По сути, она является ядром системы ЗИ и объединяет объектные (целевые) и функциональные подсистемы в единое целое. Поэтому интегральную характеристику подсистемы управления отражают показатели эффективности системы ЗИ в целом. Поскольку основной целью системы ЗИ является защита объектов, то в качестве интегрального показателя системы управления ЗИ может служить степень ее влияние на эффективность защиты объектов или на долю (количество) объектов, на которых выполняются установленные требования по ЗИ.

Однако ввиду сложности РСЗИ, опосредованного влияния подсистемы ее управления на процессы ЗИ на конкретном объекте защиты оценить этот показатель не представляется возможным. Поэтому предлагается использовать частные показатели, характеризующие степень выполнения отдельных функций подсистемой управления:

Полнота разработки системы документов в области ЗИ и обеспечения этими документами исполнителей

Полнота формирования органов в системе ЗИ.

Полнота необходимой информации о состоянии элементов системы ЗИ.

. Полнота реализации программ и планов развития системы ЗИ.

В третьей главе разрабатываются алгоритмы принятия управленческих решений в региональной системе защиты информации и моделей синтеза подсистемы ее управления.

Для управления состоянием информационной безопасности в регионе целесообразно использовать структуры, которые объединяют множество ситуаций, характеризующих требования к информационному обеспечению функциональных задач анализа социально-экономического положения и принятия решений в государственных учреждениях, и множество программно-целевых мероприятий по обеспечению качества защиты информации. Оптимизация программно-сшуаци-онной структуры состоит в формировании элементов множества ситуаций г =!,/{, где Л - общее количество возможных ситуаций, и множества программных мероприятий \/ = Тр % где V - общее число программных мероприятий, играющих роль управляющих воздействий, и установлении степени рационального соответствия между элементами г и v. Соответствие между элементами г и v полностью зависит от рационального соотношения между качеством защиты информации (К3) и адекватностью информационного обеспечения задачам управления (КЛ).

Структурная схема управления РСЗИ на основе программно-митуационных структур представлена на рис 3.

В формальном плане ситуация защиты представляет собой набор конкретных угроз безопасности информации, оценок вероятности их реализации и перечень объектов, применительно к которым эти угрозы могут быть реализованы. Соответственно, признаком такой ситуации будет являться выход некоторого па-

Рис. 3 Структурная схема управления РСЗИ на основе оптимизации программно-ситуационных структур

раметра (или совокупности параметров) за установленные пределы (границы). Поэтому определение признака ситуации может интерпретироваться как решение простейшей задачи распознавания объекта, иначе говоря - определения его принадлежности одному из двух классов. Первый класс соответствует случаю, когда значение признака находится в заданных пределах, а второй - когда значение признака выходит за установленные пределы.

Одной из основных проблем при реализации региональных систем защиты информации является правильное сочетание командных и координационных методов управления, что связано как со спецификой РСЗИ, объединяющей разнородные организации (органы власти, предприятия, учреждения) различной ведомственной принадлежности, так и со спецификой самой задачи защиты информации, когда управление осуществляется не деятельностью объекта по его основному назначению, а некоторым качеством этого объекта - степенью защищенности конфиденциальной информации.

Отсюда следуют два основополагающих принципа, из которых необходимо исходить, разрабатывая (синтезируя) варианты управления для РСЗИ. Первый принцип - принцип минимального сковывания деятельности защищаемого объекта. Второй - принцип ненанесения ущерба другим объектам, входящим в РСЗИ.

В четвертой главе приводятся основные результаты синтеза подсистемы управления региональной системы защиты информации.

В целях определения роли и места РСЗИ в решении проблемы обеспечения информационной безопасности в диссертаци определены основные направления деятельности по обеспечению информационной безопасности региона: формирование, наращивание и рациональное управление государственными и муниципальными информационными ресурсами; выявление угроз информационной безопасности и их источников; обеспечение информационных прав личности, общества, органов государственной власти и местного самоуправления, их защита от негативных информационных воздействий, т.е. организация информационного обмена с внешней средой, не наносящего ущерб безопасности субъектам региона и субъектам внешней (по отношению к региону) среды; защита информации, отнесенной в законном порядке к категории ограниченного доступа (составляющей тайну), от угроз ее утечки к недружественным субъектам, в том числе в результате незаконного ведения технической разведки и несанкционированного доступа к информации; защита информации (независимо от категории доступа к ней и формы представления) от угроз нежелательных несанкционированных и непреднамеренных воздействий. Указанные направления должны реализоваться конкретными видами деятельности, выполняемыми различными органами государственной власти и местного самоуправления, предприятиями, учреждениями и организациями в соответствии с их компетенцией. Для координации их деятельности целесообразно иметь систему распределенную по уровням федерального, регионального и местного управления, отражающую структуру научно-технических и социально-экономических проблем в области информационной безопасности.

Основу деятельности РСЗИ составляют перечень защищаемых информаци-

иных ресурсов. Поэтому в диссертации был разработаналгоритм обоснования нцищаемых информационных ресурсов, представленный на рис. 4.

Перечень локумгнтов, ограничивающих доступ к информации:

1 Перечень сведении составляющих государственную тайну

2 Отраслевые, ведомственные, программно-1 [елевме перечни сведений, подлежащих засекречиванию.

3. Договора с собственникам! или владельцами информации

4. Перечень сведений» составляющих служебную тайну органа власти (управления)

5. Закон РФ "Об информации, информатизации и защите информации" (ст. 1П

Ил^рмаикя, циркулирующая в органе власти (управления)

Подпадает ли данная информация под действие документов, ограничивающих доступ к информации?

Подпадает ли данная информация под действие нормативных документов, запрещающих ограничивать

Перечень доктментон, запрещающих ограничивать доступ к ннформа-цнп:

). Закон РФ "О государсч -венной тайне" (ст 7)

2. Постановление Правительства ГСФСР № 35 015,12.91 г. '"О перечне сведений, которые не могут составлять коммерческую тайну"

3. Закон РФ "Об информация. .г(ст 10)

Какова величина ущерба при свободном распространении информации?

Какова величина издержек при ограничении доступа к информации?

Какова величина ущерба при несашсционирован-ном или непреднамеренном воздействии на информацию?

Какова величина издержек на защиту информации от этих угроз?

Если ущерб превышает издержки

I -

Государство

Юридическое лицо

7\

Если ущерб превышает издержки

В чьей собственности находится информация?

Физическое лицо

Информация ограниченного доступа

Государст- Тайна юри- Служебная Персональ-

веиная тайна дических тайна органа ные данные

лиц, пере- власти (личная)

давших ин- (управле- тайна

формацию ния)

Открытая информация

Открытая Незащищае-

информация, мая иифор-

требующая мация

защиты

Защищаемая информация

Рис. 4 Алгоритм обоснования защищаемых информационных ресурсов в органах региональной власти и управления

Такое обоснование осуществлялось с использованием интегрального показателя выбранного режима распространения информации:

V/ = и-р - Ъ ,

где и и V - оценки потенциально возможной величины ущерба при распространении сведения и выгоды при его распространении;

р, (] - оценки вероятностей проявления (реализации) ущерба и выгоды в период жизненного цикла сведений;

1/р - оценка величины предотвращаемого ущерба при ограничении доступа к информации;

Ус] - оценка величины упущенной выгоды вследствие ограничения доступа к информации;

Z - оценка величины затрат на защиту сведения.

Если рассчитанное значение интегрального показателя оказывается больше нуля, то включение рассматриваемого сведения в перечень сведений, отнесенных к информации ограниченного доступа, целесообразно.

Цели развития управления РСЗИ включают:

в создании необходимых и достаточных правовых, организационных и научно-технических и информационных условий для управления РСЗИ с существующей сферой компетенции;

в создании эффективной и гибкой системы управления к координации деятельности в области ЗИ, приспособленной к изменяющимся условиям обстановки;

в обеспечении требуемого уровня защиты информации, составляющей государственную и служебную тайну, от технических разведок, от ее утечки по техническим каналам, несанкционированного доступа к информации, несанкционированных и непреднамеренных воздействий на информацию;

Приоритетность решения задач развития управления РСЗИ в современных условиях определяется необходимостью в первую очередь сохранить и обеспечить развитие организационной структуры управления РСЗИ, как основы функционирования системы. Затем необходимо создавать систему мониторинга показателей состояния РСЗИ и развивать информационное обеспечение деятельности органов РСЗИ, так как именно взаимный обмен информации между органами РСЗИ формирует из совокупности изолированных органов систему, способную решать общие задачи. И, наконец, необходимо обеспечить совершенствование системы документов в области ЗИ, организующих и упорядочивающих деятельность всех органов РСЗИ в процессе защиты информации.

В заключении приведен основные результаты и выводы по работе

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

1. Проведен анализ состояния угроз информационной безопасности в регионе. В результате этого анализа установлено, что совершенствование способов и средств технической разведки и несанкционированного доступа к информации на фоне расширения экономического и военно-технического сотрудничества с зарубежными странами, реализации международных договоров о сокращении вооружений и вооруженных сил, роста преступности резко осложняет задачу защиты информации в регионах России. Утечка защищаемой информации, ее уничтожение, искажение или блокирование может привести к значительным материальным потерям и другим негативным последствиям, существенно влияющим на состояние безопасности России и ее регионов, что обуславливает необходимость принятия адекватных мер по защите информации.

2. Разработана структура концептуальной модели региональной системы защиты информации и управления этой системой, отличающаяся введением в состав модели управляемых целевых подсистем защиты информации, функциональных подсистем, а также подсистемы управления РСЗИ, что позволило формализовать процедуру мониторинга комплекса показателей информационной безопасности и состояния РСЗИ, приоритетных по экспертным оценкам для уровня субъектов Федерации.

3. Разработана методика оценки и прогнозирования динамики обобщенных показателей информационной безопасности и состояния региональной системы защиты информации, отличающаяся совмещением в едином цикле мониторинга локальных показателей, модельных прогнозных оценок и экспертных оценок уровня их значимости для обобщенных показателей и принятия управленческих решений в области информационной безопасности и защиты информации.

4. Разработан алгоритм принятия управленческих решений в РСЗИ, учитывающий адекватное отображение результатов мониторинга и прогноза состояния РСЗИ на множество возможных воздействий на организационную структуру РСЗИ, систему документов, обеспечивающую ее функционирование, организационные и технические меры защиты информации по принципу мультипликативного эффекта.

5. Разработана методика и алгоритм адаптивного выбора рациональной подсистемы управления РСЗИ по критерию "эффективность - сложность", отличающаяся способом учета в оптимизационной модели характеристик мониторинга и принятия управленческих решений в зависимости от структуры РСЗИ и возможности оценки всего комплекса показателей состояния РСЗИ.

6. Разработаны основные формы документов для представления информа-I ции входе мониторинга, а также методические рекомендации по их заполнению.

к.

СПИСОК ОСНОВНЫХ РАБОТ, ОПУБЛИКОВАННЫХ НО

1. В.Г. Кулаков, А.Б. Андреев, A.B. Ушаков. Проблемы противодействия утечке информации по техническим каналам в госучреждениях Центрально-Черноземного региона Российской Федерации./ Региональный вестник "Информация » безопасность", Вып. 1,-Воронеж, 1998, с. 6-13.

2. А.Г.Остапенко, В.Г. Кулаков, А.Б. Андреев, С И. Панарин. К вопросу о содержании показателей информационной безопасности /Региональный вестник "Информация и безопасность"./ Вып. 3,- Воронеж, 1998, с. 123-125.

3. А.Г. Остапенко, В.Г. Герасименко, A.A. Королев, A.B. Швейкин, В.Г. Кулаков. Некоторые результаты работ ВГТУ в рамках межвузовской научно-технической программы "Методы и технические средства обеспечения безопасности информации"./ Региональный вестник "Информация и безопасность"./ Вып. З.Воронеж, 1998, с. 121-122.

4. В.Г. Герасименко, A.A. Королев, В.Г. Кулаков и др. Территориальная система информационной безопасности: муниципальный аспект/ Региональный вестник "Информация и безопасность", Вып. 2 - Воронеж, 1998, с. 9-13.

5. Г.Ф. Федоров, А.Г. Остапенко, В.Г. Кулаков и др. Муниципальная безопасность: кадровое обеспечение устойчивого развития./ Региональный вестник "Информация и безопасность", Вып. 2,- Воронеж, 1998, с. 37-42.

6. В.Г. Кулаков, Э.Д. Поликарпов, В.М. Питолин. Система подготовки специалистов в области информационной безопасности с использованием наукоемких технологий образования./ Региональный вестник "Информация и безопасность", Вып. 3,- Воронеж, 1998, с. 119-120:

7. В.Г. Герасименко, A.A. Королев, В.Г. Кулаков и др. Основные направления работ по формированию региональных и муниципальных систем обеспечения информационной безопасности./ Региональный вестник "Информация и безопасность", Вып. 1,-Воронеж, 1999, с. 21-25.

8. В.Г. Кулаков, A.A. Королев, В.Г. Герасименко и др. Постановка задачи обоснования и разработки основных направлений развития региональной системы защиты информации./ Региональный вестник "Информация и безопасность", Вып.4,- Воронеж, 1999, с. 25-31.

9. Я.Е. Львович, В.Г. Кулаков. Адаптивное формирование обобщенного показателя информационной безопасности. /Региональный вестник «Информация и безопасность» Вып.4, Воронеж, 1999, с. 29-33.

10. В.Г. Кулаков, Я.Е. Львович. Оптимизация программно-ситуационного управления состоянием инфрмационной безопасности на основе данных мониторинга. /Региональный вестник «Информация и безопасность» Вып.4, Воронеж, 1999, с. 33-38.

11. В.Г. Кулаков, И.П. Нестеровский, А.Г. Остапенко. Задачи совершенствования управления региональной системой защиты информации и основные пути их решения. /Региональный вестник «Информация и безопасность» Вып.4, Воронеж, 1999, с. 54-56.

ТЕМЕ ДИССЕРТАЦИИ

Оглавление автор диссертации — кандидата технических наук Кулаков, Владимир Григорьевич

ВВЕДЕНИЕ.

ГЛАВА ПЕРВАЯ

ОСОБЕННОСТИ УПРАВЛЕНИЯ РЕГИОНАЛЬНОЙ СИСТЕМОЙ ЗАЩИТЫ ИНФОРМАЦИИ.

1.1. Проблема защиты информации в региональных органах государственной власти и управления, на предприятиях, в учреждениях и организациях.

1.2.Концептуальная модель региональной системы защиты информации.

1.3. Основные особенности управления региональной системой защиты информации.

ГЛАВА ВТОРАЯ

РАЗРАБОТКА МОДЕЛЕЙ И МЕТОДИК МОНИТОРИНГА ПОКАЗАТЕЛЕЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ЗАЩИТЫ ИНФОРМАЦИИ В РЕГИОНЕ.!.

2.1. Адаптивное формирование обобщенного показателя информационной безопасности органов управления регионом на основе данных мониторинга

2.2. Обоснование показателей и критериев, характеризующих состояние региональной системы защиты информации.

2.3. Методика мониторинга и оценки состояния объектовых подсистем региональной системы защиты информации.

2.3. Методика мониторинга и оценки состояния функциональных подсистем региональной системы защиты информации.

ГЛАВА ТРЕТЬЯ

РАЗРАБОТКА АЛГОРИТМОВ ПРИНЯТИЯ УПРАВЛЕНЧЕСКИХ РЕШЕНИЙ В РЕГИОНАЛЬНОЙ СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ И МОДЕЛЕЙ СИНТЕЗА ПОДСИСТЕМЫ ЕЕ УПРАВЛЕНИЯ.

3.1. Оптимизация программно-ситуационного управления состоянием информационной безопасности в регионе.

3.2. Обоснование комплекса алгоритмов принятия управленческих решений в региональной системе защиты информации на основе результатов мониторинга и прогноза динамики показателей состояния системы (ситуационный подход).

3.3. Модель обоснование целей и задач развития управления региональной системой защиты информации.

3.4. Модель обоснования требуемых результатов развития системы документов в области защиты информации.

3.5. Модель обоснования системы мониторинга состояния защиты информации.

3.6. Разработка комплекса алгоритмов для обоснования и выбора рационального варианта управления для региональной системы защиты информации на основе результатов текущего мониторинга показателей ее состояния.

ГЛАВА ЧЕТВЕРТАЯ

ОСНОВНЫЕ РЕЗУЛЬТАТЫ СИНТЕЗ ПОДСИСТЕМЫ УПРАВЛЕНИЯ

РЕГИОНАЛЬНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ.

4.1. Основные направления работ по формированию региональных и муниципальных систем обеспечения информационной безопасности.

4.2. Обоснование перечней защищаемых информационных ресурсов в региональных системах управления.

4.3. Цели и этапы развития управления региональной системой защиты информации.

4.4. Обоснование требуемых результатов развития подсистемы управления региональной системой защиты информации.

Введение 2000 год, диссертация по информатике, вычислительной технике и управлению, Кулаков, Владимир Григорьевич

у

Концепцией национальной безопасности Российской Федерации, утвержденной Указом Президента Российской Федерации от 17.12.97 № 1300 (в редакции указа Президента от 10.01.2000 № 24), определены национальные интересы России в информационной сфере как на федеральном, так и на региональном уровнях.

Теоретические и практические разработки в этой области управления территориальными системами связаны с оценкой угроз безопасности, организации оперативного слежения и прогнозирования динамики показателей с использованием информационного мониторинга, формированием комплекса управленческих решений, направленных на поэтапное создание систем защиты информации с последующим выходом на уровень их устойчивого функционирования и развития. Большинство исследований выполняются в разках программ обеспечения социально-экономической безопасности и устойчивого развития субъектов Федерации. Их реализация связана с необходимостью детализации управленческих решений, относящихся к уровню регионов и местного самоуправления.

Характерным территориальным образованием такого плана являются субъекты Российской Федерации. Для них характерна особенно высокая взаимосвязь информационного пространства региона и его внутренней структуры материального производства, социальной сферы. Эффективность функционирования региональных социально-экономических комплексов и систем управления напрямую зависит от состояния информационной безопасности региона. Приоритетность показателей информационной безопасности, их динамика, организация управления, информационные технологии поддержки принятия решений имеют свои особенности по сравнению с федеральным уровнем. Кроме того, на региональном уровне управления на предыдущих этапах развития региональных систем защиты информации (РСЗИ) не реализовывалась технология управления этими системами на основе мониторинга показателей информационной безопасности. Данная технология не получила также, достаточного развития для управления системами федерального уровня.

Под информационной безопасностью обычно понимается состояние защищенности информационной среды общества, обеспечивающее ее формирование и развитие в интересах граждан, организаций и государства. Обеспечение информационной безопасности связано с защитой прав личности, общества, государства на поиск, получение и распространение достоверной информации любым законным способом, на неприкосновенность частной жизни, личную, семейную и государственную тайну, на сохранение и приумножение культурных и духовно-нравственных ценностей, исторических традиций и норм общественной жизни.

Решение столь сложных задач немыслимо без участия в системе обеспечения информационной безопасности России ее региональных и муниципальных составляющих. К основным направлениям деятельности по обеспечению информационной безопасности региона, сформулированным на основе анализа Концепции обеспечения безопасности и устойчивого развития Воронежской области, относятся: формирование, накопление и рациональное управление государственными и муниципальными информационными ресурсами; выявление угроз информационной безопасности и их источников; обеспечение информационных прав личности, общества, органов государственной власти и местного самоуправления, их защита от негативных информационных воздействий; защита информации, отнесённой в законном порядке к категории ограниченного доступа (составляющей тайну), от угроз ее утечки к недружественным субъектам, в том числе в результате незаконного ведения технической разведки и несанкционированного доступа к информации; защита информации (независимо от категории доступа к ней и формы представления) от угроз нежелательных несанкционированных и непреднамеренных воздействий.

Взаимосвязь направлений деятельности по обеспечению информационной безопасности и сложность проблем, требует скоординированных действий в этой сфере. Такая координация не может быть выполнена только федеральными органами исполнительной власти. Более целесообразно иметь систему координации деятельности в области обеспечения информационной безопасности, распределенную по уровням федерального, регионального и местного управления, отражающую структуру научно-технических и социально-экономических проблем в области информационной безопасности.

В настоящее время работы по формированию региональных систем обеспечения информационной безопасности начаты в ряде регионов России. Основу таких систем составляют РСЗИ субъектов Российской Федерации. Так, например, в

Воронежской области создан Совет по вопросам защиты информации при Главе администрации области, аккредитованы органы по лицензированию деятельности в области защиты информации и сертификации средств защиты информации. Подготовку для региона кадров в области информационной безопасности и защиты информации осуществляют Воронежский государственный технический уни верситет, Воронежский институт Министерства внутренних дел и ряд других организаций. В области развивается разработка и производство средств защиты информации, создается инфраструктура по оказанию услуг в области защиты информации/17/.

Вместе с тем, в деятельности РСЗИ имеется ряд нерешенных вопросов:

1. Недостаточно развиты такие необходимые элементы управления, как учет и анализ деятельности региональной системы. Отсутствует система показателей для мониторинга состояния информационной безопасности, принятия на этой основе управленческих решений в РСЗИ и выработки направлений дальнейшего развития РСЗИ, формированию и реализаций региональных программ в области информационной безопасности и защиты информации.

2. Не в полной мере используется такая форму управления, как разработка и внедрение методических рекомендаций по вопросам обеспечения информационной безопасности для предприятий, учреждений и организаций, входящих в РСЗИ. Это тем более важно в условиях отсутствия прямого их подчинения органам исполнительной власти региона.

3. Отсутствует координация в деятельности органов государственной власти, местного самоуправления, предприятий и организаций в проведении технического контроля объектов и территорий области в интересах ее безопасности.

Таким образом, актуальность темы заключается в необходимости формирования подходов к управлению РСЗИ с использованием показателей информационной безопасности и современных информационных технологий их определения, обеспечивающих повышение уровня безопасности и устойчивое развитие субъектов Российской Федерации.

Работа выполнена в соответствии с межвузовской научно-технической программой Н.Т.414 "Методы и технические средства обеспечения безопасности информации", программами социально-экономической безопасности и устойчивого развития Воронежской области и г. Воронежа на 1997-2006 гг. и с одним из основных научных направлений ВГТУ «Перспективные радиоэлектронные и лазерные устройства, системы передачи, приема и защиты информации»

Цель и задачи исследования. Целью работы разработка методов, моделей и алгоритмов принятия управленческих решений в РСЗИ на основе мониторинга показателей информационной безопасности региона.

Для достижения поставленной цели необходимо решить следующие задачи: проанализировать пути повышения эффективности организации информационной безопасности и защиты информации в регионе; сформировать концептуальную модель РСЗИ, позволяющей формализовать процедуру оценки состояния РСЗИ; разработать алгоритмические процедуры принятия управленческих решений на основе мониторинга динамики показателей состояния РСЗИ; сформировать комплекс алгоритмов выбора рациональной подсистемы управления ЗСЗИ как базовой структуры обеспечения информационной безопасности субъекта Российской Федерации; провести апробацию предложенных моделей и алгоритмов при формировании и реализации программ обеспечения информационной безопасности и защиты информации в Воронежской области.

Методы исследования. Для решения поставленных задач в работе используются методы системного анализа, теории управления, методы математического моделирования, экспертного оценивания, исследования операций и оптимизации. На защиту выносятся следующие новые научные результаты: структура концептуальной модели РСЗИ и управления этой системой; методика оценки и прогнозирования динамики изменения показателей информационной безопасности и состояния РСЗИ; алгоритм принятия управленческих решений в РСЗИ на основе результатов мониторинга показателей информационной безопасности и состояния РСЗИ; методика и алгоритм адаптивного выбора рациональной подсистемы управления РСЗИ по критерию "эффективность - сложность".

Научная новизна результатов исследования. В работе получены следующие основные результаты, характеризующиеся научной новизной: структура концептуальной модели РСЗИ и управления этой системой, отличающиеся введением в состав модели РСЗИ управляемых целевых подсистем защиты информации и возможностью организовать процедуру мониторинга по комплексу показателей информационной безопасности РСЗИ, приоритетных по экспертным оценкам для уровня субъектов Федерации; методика оценки и прогнозирования динамики обобщенных показателей информационной безопасности и состояния региональной системы защиты информации, отличающаяся совмещением в едином цикле мониторинга локальных показателей, модельных прогнозных оценок и экспертных оценок уровня их значимости для обобщенных показателей и принятия управленческих решений в области информационной безопасности и защиты информации; алгоритм принятия управленческих решений в РСЗИ, в отличии от аналогов учитывающий адекватное отображение результатов мониторинга и прогноза состояния РСЗИ на множество возможных воздействий на организационную структуру РСЗИ, систему документов; . методика и алгоритм адаптивного выбора рациональной подсистемы управления РСЗИ по критерию "эффективность - сложность", отличающиеся способом учета в оптимизационной модели характеристик мониторинга и принятия управленческих решений в зависимости от структуры РСЗИ и возможности оценки всего комплекса показателей состояния РСЗИ.

Практическая значимость и реализация результатов работы. Практическая значимость определяется использованием результатов работы для органов управления субъекта Российской Федерации. На основании проведенных исследований предложена структура системы мониторинга информационной безопасности и состояния РСЗИ по комплексу приоритетных для региона показателей с возможностью формирования прогнозных оценок по частным и обобщенным показателям.

Результаты работы положены в основу разработки структуры РСЗИ Воронежской области и комплекса целевых программ безопасного и устойчивого развития Воронежской области и г. Воронежа на 1997-2006 гг.

Апробация работы. Основные результаты диссертации докладывались и обсуждались на конференциях "Безопасность и устойчивое развитие регионов" (Москва, 1997 г.), "Безопасность и устойчивое развитие муниципальных образований" (Москва, 1998 г.), IV Всероссийской научно-практической конференции "Проблемы информационной безопасности в системе высшей школы" (Москва, 1999 г.), на ежегодных научных конференциях профессорско-преподавательского состава Воронежского государственного технического университета (1997-1999 9 гг.).

Публикации. По теме диссертации опубликовано 10 печатных работ /613,50,52/. :

Структура и объем работы. Диссертация состоит из введения, четырех глав, заключения, списка использованной литературы из 105 наименований, 11 приложений.

Заключение диссертация на тему "Управление региональной системой защиты информации на основе мониторинга показателей информационной безопасности"

Выводы по четвертой главе

1. К основным направлениям деятельности по обеспечению информационной безопасности региона относятся: формирование и наращивание государственных и муниципальных информационных ресурсов и рациональное управление ими; выявление угроз информационной безопасности и их источников; обеспечение информационных прав личности, общества, органов государственной власти и местного самоуправления, их защита от негативных информационных воздействий, т.е. организация информационного обмена с внешней средой, не наносящего ущерб безопасности субъектам региона и субъектам внешней (по отношению к региону) среды; защита информации, отнесенной в законном порядке к категории ограниченного доступа (составляющей тайну), от угроз ее утечки к недружественным субъектам, в том числе в результате незаконного ведения технической разведки и несанкционированного доступа к информации; защита информации (независимо от категории доступа к ней и формы представления) от угроз нежелательных несанкционированных и непреднамеренных воздействий.

2. Правовую основу для построения РСЗИ и управления ею составляют перечни сведений ограниченного доступа. Отнесение информации к категории ограниченного доступа предложено осуществлять с позиции обеспечения наиболее эффективного использования информации за время ее жизненного цикла. При этом необходимо выбрать такой режим ее распространения, при котором интегральный эффект от использования информации с учетом позитивных и негативных последствий достигал бы максимальной величины. Ограничение распространения информации на определенное время при таком подходе является одним из способов управления информационным ресурсом собственника в интересах достижения максимального интегрального эффекта от его использования. С использованием разработанного подхода обоснован Перечень служебной информации ограниченного распространения в администрации Воронежской области, составляющей служебную тайну I

3. Основные цели развития управления РСЗИ состоят: в создании необходимых и достаточных правовых, организационных и научно-технических и информационных условий для управления РСЗИ с существующей сферой компетенции; в создании эффективной и гибкой системы управления к координации деятельности в области ЗИ, приспособленной к изменяющимся условиям обстановки; в обеспечении требуемого уровня защиты информации, составляющей государственную и служебную тайну, от технических разведок, от ее утечки по техническим каналам, несанкционированного доступа к информации, несанкционированных и непреднамеренных воздействий на информации.

4. Основные направления работ по совершенствованию региональной системы документов состоят в следующем:

Для законодательного закрепления правовой основы работ по защите информационных ресурсов области и мониторингу состояния РСЗИ необходимо разработка и принятие законов "Об информационных ресурсах Воронежской области и их защите" и "О мониторинге и контроле объектов и территорий Воронежской области в интересах региональной безопасности".

В качестве основного нормативного документа по вопросам ЗИ необходимо завершить разработку и утверждение Модели угроз безопасности информации в регионе.

В связи с практическим отсутствием на федеральном уровне нормативных документов по защите информации, составляющих служебную тайну, требуется разработать временные требования и рекомендации по защите такой информации в региональных системах управления.

Совершенствование плановых документов в области ЗИ должно быть направлено на координацию решения вопросов ЗИ в рамках Программы информатизации области, обеспечения защиты государственной тайны, ведомственных (отраслевых) программ развития, а также программ, которые могут финансироваться из внебюджетных источников.

Совершенствование информационных документов должно быть направлено на разработку каталогов, справочников, баз и банков данных в интересах выполнения функций органов РЗИ, а также разработку системы учебных программ, учебных и методических пособий по ЗИ для подготовки специалистов различного профиля и уровня.

5. Предлагаемая схема мониторинга состояния РСЗИ включает:

133 линии сбора информации о предприятиях, находящихся в собственности субъектов Российской Федерации; I линии сбора информации о предприятиях, находящихся в собственности муниципальных образований; линии сбора информации о вневедомственных предприятиях, расположенных на территории этих субъектов.

134

ЗАКЛЮЧЕНИЕ

В диссертационной работе получены следующие основные результаты:

1. Проведен анализ состояния угроз информационной безопасности в регионе. В результате этого анализа установлено, что совершенствование способов и средств технической разведки и несанкционированного доступа к информации на фоне расширения экономического и военно-технического сотрудничества с зарубежными странами, реализаций международных договоров о сокращении вооружений и вооруженных сил, роста преступности резко осложняет задачу защиты информации в регионах России. Утечка защищаемой информации, .ее уничтожение, искажение или блокирование может привести к значительным материальным потерям и другим негативным последствиям, существенно влияющим на состояние безопасности России и ее регионов, что обуславливает необходимость принятия адекватных мер по защите информации.

2. Установлено, что основными направлениям деятельности по обеспечению информационной безопасности региона относятся: формирование, наращивание и рациональное управление государственными и муниципальными информационными ресурсами; выявление угроз информационной безопасности и их источников; обеспечение информационных прав личности, общества, органов государственной власти и местного самоуправления, их защита от негативных информационных воздействий, т.е. организация информационного обмена с внешней средой, не наносящего ущерб безопасности субъектам региона и субъектам внешней (по отношению к региону) среды; защита информации, отнесенной в законном порядке к категории ограниченного доступа (составляющей тайну), от угроз ее утечки к недружественным субъектам, в том числе в результате незаконного ведения технической разведки и несанкционированного доступа к информации; защита информации (независимо от категории доступа к ней и формы представления) от угроз нежелательных несанкционированных и непреднамеренных воздействий.

3. Разработана структура концептуальной модели региональной системы защиты информации и управления этой системой, отличающаяся введением в состав модели управляемых целевых подсистем защиты информации, функцио

135 > У нальных подсистем, а также подсистемы управления РСЗИ, что позволило формализовать процедуру мониторинга комплекса показателей информационной безопасности и состояния РСЗИ, приоритетных по экспертным оценкам для уровня субъектов Федерации.

4. Показано, что информационная безопасность региона в значительной мере определяется состоянием региональной системы защиты информации, которое предложено оценивать с использование следующих основных показателей: доля объектов (от их общего числа), на которых выполняются установленные требования по защите информации; доля обслуженных заявок (требований) на выполнение определенного вида работ функциональными подсистемами РСЗИ; полнота разработки системы документов в области ЗИ и обеспечения этими документами исполнителей; полнота формирования органов управления РСЗИ.

Предложенные показатели составляют информационную основу при организации мониторинга состояния РСЗИ.

5. Разработана методика оценки и прогнозирования динамики обобщенных показателей информационной безопасности и состояния региональной системы защиты информации, отличающаяся совмещением в едином цикле мониторинга локальных показателей, модельных прогнозных оценок и экспертных оценок уровня их значимости для обобщенных показателей и принятия управленческих решений в области информационной безопасности и защиты информации. /

В качестве критериев безопасного состояния РСЗИ предложено использовать пороговые значения показателей состояния РСЗИ, определяемые на основе экспертных оценок й опыта оценок эффективности функционирования сложных организационно-технических систем (систем радиоэлектронной борьбы, систем управления боевыми действиями и др.).

6. Разработан алгоритм принятия управленческих решений в РСЗИ, учитывающий адекватное отображение результатов мониторинга и прогноза состояния РСЗИ на множество возможных воздействий на организационную структуру РСЗИ, систему документов, обеспечивающую ее функционирование, организационные и технические меры защиты информации по принципу мультипликативного эффекта. С

Показано, что основные цели развития управления РСЗИ состоят:

•у в создании необходимых и достаточных правовых, организационных и научно-технических и информационных условий для управления РСЗИ с существующей сферой компетенции; в создании эффективной и гибкой системы управления к координации деятельности в области ЗИ, приспособленной к изменяющимся условиям обстановки; ' в обеспечении требуемого уровня защиты информации, составляющей государственную и служебную тайну, от технических разведок, от ее утечки по техническим каналам, несанкционированного доступа к информации, несанкционированных и непреднамеренных воздействий на информации.

Разработана процедура отнесения информации к категории ограниченного доступа с позиции обеспечения наиболее эффективного использования информации за время ее жизненного цикла. При этом необходимо выбрать такой режим ее распространения, при котором интегральный эффект от использования информации с учетом позитивных и негативных последствий достигал бы максимальной величины. С использованием разработанной процедуры обоснован Перечень служебной информации ограниченного распространения в администрации Воронежской области, составляющей служебную тайну.

7. Разработана методика и алгоритм адаптивного выбора рациональной подсистемы управления РСЗИ по критерию "эффективность - сложность", отличающаяся способом учета в оптимизационной модели характеристик мониторинга и принятия управленческих решений в зависимости от структуры РСЗИ и возможности оценки всего комплекса показателей состояния РСЗИ.

Установлено, что обоснование требуемых результатов развития системы документов в области защиты информации должно основываться на морфологическом анализе функций органов РСЗИ. Разработанное формализованное (с использованием двудольных графов) описание содержания функций позволило выявить множество возможных отношений между субъектами, объектами и средствами обеспечения защиты информации, требующих регламентации с использованием соответствующих норм и правил. ?

Разработана технологическая схема обоснования требуемых результатов развития системы мониторинга РСЗИ, включающая: синтез «идеальной» системы, исходя из выбранных целей системы, то есть определение рационального состава, структуры и функций органов системы мониторинга, необходимой и достаточной для их функционирования, системы документов, а также системы технического обеспечения. ; оценка текущего состояния (достигнутого уровня) развития системы сора и анализа информации о состоянии РСЗИ. сопоставление «идеальной» системы с текущим состоянием развития системы мониторинга: по составным частям ее организационной структуры (по ее подсистемам), по классам документов, регламентирующих и обеспечивающих ее деятельность, по классам используемых технических средств.

Разработана схема системы Мониторинга состояния РСЗИ, включающей: линии сбора информации о предприятиях, находящихся в собственности субъектов Российской Федерации; линии сбора информации о предприятиях, находящихся в собственности муниципальных образований; линии сбора информации о вневедомственных предприятиях, расположенных на территории этих субъектов.

Разработаны основные формы документов для представления информации входе мониторинга, а также методические рекомендации по их заполнению.

138

Библиография Кулаков, Владимир Григорьевич, диссертация по теме Методы и системы защиты информации, информационная безопасность

1. Безопасность компьютерных систем. "КомпьютерПресс", № 1Г-91 г.

2. Беляев Е.А. Становление и развитие государственной системы защиты информации// Безопасность информационных технологий. М.: МИФИ- 1995.-№3. .

3. Болшев Л.А., Смирнов Н.П. Таблицы математической статистики. М.: Наука, 1983.

4. Бурков В.Н., Ириков B.JI. Модели и методы управления организационными системами. . М.: Наука, 1994.

5. Бусленко Н.П. Моделирование сложных систем. М., «Наука»,4978.

6. В.Г. Кулаков, А.Б. Андреев, с.И. Панарин. К вопросу о содержании показателей информационной безопасности./ Региональный вестник "Информация и безопасность"./ Вып. 3,-Воронеж, 1998, с. 123-125.

7. В.Г. Кулаков, В.Г. Герасименко, A.A. Королев и др. Постановка задачи обоснования и разработки основных направлений развития региональной системы защиты информации./ Региональный вестник "Информация и безопасность", Вып. 1,-Воронеж, 1999, с. 25-31.

8. В.Г. Кулаков, В.Г. Герасименко, A.A. Королев и др. Территориальная система информационной безопасности: муниципальный аспект./ Региональный вестник "Информация и безопасность", Вып. 2.- Воронеж, 1998, с. 9-13.

9. В.Г. Кулаков, Г.Ф. Федоров, А.Г. Остапенко и др. Муниципальная безопасность: кадровое обеспечение устойчивого развития./ Региональный вестник "Информация и безопасность", Вып. 2.- Воронеж, 1998, с. 37-42.

10. В.Г. Кулаков, Э.Д. Поликарпов, В.М. Питолин. Система подготовки специалистов в области информационной безопасности с использованием наукоемких технологий образования./ Региональный вестник "Информация и безопасность"/Вып. 3,-Воронеж, 1998, с. 119-120.

11. Вагнер Г. Основы исследования операций. Том 3. Пер. с англ. / Под ред. Б.Т.Вавилова. М.: Мир, 1973.

12. Вехов В.Б. Компьютерные преступления: Способы совершения и раскрытия. / Под ред. акад. Смагоринского М.: Право и Закон, 1996. — 182 с.

13. Вирковский В .А. Гостехкомиссия России: лицензирование и сертификация. "Системы безопасности связи и телекоммуникаций 97" (Межотраслевой тематический каталог). М., 1997.

14. Войналович В.Ю., Скрыль C.B. Принципы организации защиты информации в постоянно действующей агрессивной среде. // Материалы Международной конференции "Безопасность информации". М.: Российская инженерная академия, 1997. с. 295-297.

15. Волик Б.Г., Буянов Б.Б., Лубков Н.В. и др. Методы анализа и синтеза структур управляющих систем. М.: Энергоатомиздат, 1988.

16. Г.А. Остапенко, А.Г, Юрочкин. К вопросу обеспечения защиты систем от явных информационных угроз./ Региональный вестник "Информация и безопасность"./Вып. 1.-Воронеж, 1999, с. 75-77.

17. Герасименко В.А., Малюк A.A. Основы защиты информации. М.: ООО «Инкомбук», 1997г

18. Герасименко В.А., Малюк A.A. Системотехник по защите информации -новая специальность //Безопасность информационных технологий, 1997, №1, с. 1015.

19. Герасименко В.Г., Губарев В.А., Жижелев A.B., Сыч B.Ä. Особенности создания и направления развития региональных систем технического контроля на примере Воронежской области. Сборник материалов II международного аэрокосмического конгресса. М., 1997.

20. Герасименко В.Г., Кащенко Г.А., Лавлинский с.И., Остапенко А.Г. О региональном аспекте учебных стандартов специальностей в области информационной безопасности //Материалы конференции "Безопасность и устойчивое развитие регионов". Москва, 1997, с.80.

21. Герасименко В.Г., Королев A.A., Тупота В.И. Особенности создания и развития региональных систем защиты информации. Сборник материалов международной конференции "Безопасность информации". М., 1997 г.

22. Герасимов Б.М., Ложкин Г.В., Скрыль С.В., Спасенников В.В. Имитационная модель для оценки комплексного влияния инженерно-психологических факторов на эффективность эргатической системы. Кибернетика и вычислительная техника, 1984, вып. 61 с. 83.

23. Гермейер Ю.Б., Моисеев H.H. О некоторых задачах теории иерархических систем управления. В кн. Проблемы прикладной математики и механики. -М.: Наука, 1971.

24. Глазунов Ю.М., Дмитриев И.Д., Кирсанов Ю.Г., Корытько Т.В. Обоснование оптимального состава программы комплексной стандартизации в области защиты информации/ РНТВ «Информация и безопасность». N1, 1998. с.48-51.

25. Глазунов Ю.М., Кирсанов Ю.Г., Корытько Т.В. Методика обоснования системы работ по стандартизации в интересах повышения качества защищенности технических систем/ РНТВ «Информация и безопасность». N1, 1998. с.45-48.

26. ГОСТ Р 50752-95. Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке средствами вычислительной техники. Методы испытаний.

27. ГОСТ Р 50922-96. Защита информации. Основные термины и определения. ГОСТ РВ 50600-93. «Защита секретной информации от технической разведки. Система документов. Общие положения».

28. ГОСТ Р. 50600-93. Защита секретной информации от технических разведок. Система документов. Общие положения.

29. ГОСТ.24.104-85. Автоматизированные системы управления. Общие требования. ^

30. ГОСТ.24.702-85. Эффективность АСУ.

31. ГОСТ.24.703-85. Типовые проекты решения АСУ.

32. ГОСТ.29339-92. Защита информации от утечки за счет ПЭМИН. Общие технические требования.

33. ГОСТ.29339-92. Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. OTT.

34. ГОСТ.34.603-92. Виды испытаний автоматизированных систем.

35. ГОСТ.РВ 50170-92. Противодействие иностранной технической разведке. Термины и определения.

36. ГОСТ.РВ 50170-92.Противодействие ИТР. Термины и определения.

37. Гостехкомиссия России: точка зрения на техническую защиту информации. Интервью советника председателя Гостехкомиссии России А.П. Каландина бюллетеню Jet Info. Информационный бюллетень Jet Info №11(78), 1999 г.

38. Закон РФ « О безопасности». Постановление Верховного Совета РФ от 5.03.92 г.,№2446-1.

39. Закон РФ «О государственной тайне». Постановление Верховного Совета РФ от 21.07.93 г. № 5485-1 (с изменениями и дополнениями от 6.10.97 г. № 131-Ф3). S

40. Инструкция о порядке организации и проведения специальных проверок импортных технических средств.

41. Касперский Е.В. Компьютерные вирусы в MS-DOS. M.: Издательство Эдель, 1992. - 120 с.

42. Каталог средств защиты информации общего применения. Утвержден Первым заместителем Председателя Гостехкомиссии России 1997г.

43. Коржов В. Internet или безопасность. "Computer World Россия", № 10- 98г.

44. Лившиц A.JI. Статистическое моделирование систем массового обслуживания. М., «Сов. радио», 1978.

45. Львович И.Я. Методы поиска экстремума в задачах разработки конструкций и технологий РА-Воронеж:ВПИ1982 -77с.

46. Львович И.Я. Кулаков В.Г. Оптимизация программно-ситуационного управления состоянием инфрмационной безопасности на основе данных мониторинга. /РНТВ «Информация и безопасность» Вып.1, Воронеж, 1999.

47. Маркоменко В.И., Защита информации в информационно-коммуникационных системах органов государственной власти. "Системы безопасности связи и телекоммуникаций" № 2-97 г.

48. Маслов С. Скажи-ка, Америка, почему у тебя такие большие уши? "Комсомольская правда" от 4.11.1997 г.

49. Материалы II Международной конференции "Информационно-аналитическое обеспечение управления предпринимательскими рисками Москва, 1997, 167 с.

50. Мельников В. Защита информации в компьютерных системах. "Финансы и статистика", М., 1997.

51. Методики оценки возможностей ИТР (МВТР-87) (с изменениями).

52. Нечипоренко В.И. Структурный анализ и методы построения надежных систем.-М.: Сов. Радио,1968.

53. Нечипоренко В.И. Структурный анализ систем. М.: Сов. Радио, 1977.

54. Николаев В.И., Брук В.М,- Системотехника: методы и приложения. -Ленинград: Машиностроение, 1985.

55. Новиков O.A., Петухов с.И. Прикладные вопросы теории массового обслуживания / Под ред. Б.В.Гнеденко. М.: Сов. радио, 1969. !

56. Об утверждении перечня сведений конфиденциального характера. Указ Президента РФ от 6 марта 1997 года N 188.

57. Основы информационной безопасности. Учебное пособие/ Под ред. Остапенко А.Г. Воронеж: РАЦБУР, 1997. с. 5-29, 71-82.

58. OTT 1.1.8-90 Общие требования по защите от иностранной технической разведки. OTT 1.2.8-89 Общие требования к методам контроля за эффективностью защиты от иностранной технической разведки.

59. OTT 2.1.27-94 Средства противодействия иностранной технической разведке. Общие тактико-технические требования. (ТТТ).

60. Перечень служебной информации ограниченного распространения вадминистрации Воронежской области, составляющей служебную тайну Администрация Воронежской области, 1995.

61. Перечень средств защиты информации, подлежащих сертификации в Системе сертификации средств защиты информации Гостехкомиссии России № РОСС 1Ш.0001.01БИОО. Введен в действие приказом Председателя Гостехкомиссии России от 05 января 1996 г. N 3.

62. Положение о государственной системе защиты информации в Российской Федерации от иностранной технической разведки и от ее утечки по техническим каналам. Утверждено Постановлением Совета Министров-Правительства РФ от 15.09.93 г. №912-51.

63. Положение о региональной системе защиты информации Воронежской области. Администрация Воронежской области. 1996.

64. Положение о Государственной технической комиссии при Президенте Российской Федерации (утв. Указом Президента РФ от 19 февраля 1999 г. N 212).

65. Положение о Государственном комитете Российской Федерации по статистике. Утверждено Постановлением Правительства Российской Федерации от 9 июля 1994 г. N 834.

66. Положение о сертификации средств защиты информации по требованиям безопасности информации. Приказ Председателя Гостехкомиссии России от 27.10.95 г. №199. ' /Б

67. Положение о сертификации средств защиты информации. Постановление Правительства РФ от 26.06.95 г. № 608.

68. Положение по аттестации объектов информатизации по требованиям безопасности информации. Приказ Председателя Гостехкомиссии России от 5.01.96 г. №3

69. Положение по категорированию объектов ЭВТ на территории СССР (ПКО-ЭВТ) Решение Гостехкомиссии СССР от 3.04.81 г. N 32-3).

70. Пособие по проектированию технических мероприятий защиты военно-промышленных объектов от ИТР.(Пособие к ВСН-01-82).

71. Саати Т., Керне К. Аналитическое планирование. Организация систем. -М.: Радио и связь, 1991г., с. 224.

72. Сборник методических материалов по проведению специсследований технических средств АСУ и ЭВМ, предназначенных для работы с секретной информацией.

73. Специальные временные требования и рекомендации по размещению и монтажу АСУ и ЭВМ на проектируемых объектах (СВТР-78).

74. Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам. Решение Гостехкомиссии России от 23.05.97 г., № 55 (ввод в действие с 1.01.98 г.)

75. Специальные требования и рекомендации по защите информации, составляющей государственную Тайну и обрабатываемой техническими средствами, от утечки по техническим каналам.

76. Т. Саати. Принятие решений. Метод анализа иерархии. М.: Радио и связь, 1993.

77. Тайли Э. Безопасность компьютера. "Попурри". Минск, 1997.

78. Терминология в области защиты информации. Справочник (ВНИИстан-дарт, 93).

79. Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации. Приказ Председателя Гостехкомиссии России от 5.01.96 г. № 3.

80. Типовое положение об органе по сертификации объектов информатизации по требованиям безопасности информации. Приказ Председателя Гостехкомиссии России от 5.01.96 г № 3. ;

81. Типовые требования к содержанию и порядку разработки Руководства по защите информацииот иностранных технических разведок и от ее утечки по техническим каналам на объекте. Решение Гостехкомиссии России от 3.10.95 г. № 42.

82. Федеральный закон «Об информации, информатизации и защите информации». Принят Государственной Думой 25 января 1995 года. Утвержден Президентом РФ 20.02.95 г., № 24-ФЗ.

83. Федеральный закон «Об участии в международном информационном обмене». 85-ФЗ. Принят Государственной Думой 5 июня 1996 г.

84. Фролов В.Н., Львович Я.Е., Меткин Н.П. Автоматизированное проектирование технологических процессов. М.: Высшая школа, 1991.

85. Харингтон Дж. Управление качеством в американских корпорациях. -М., 1991.

86. Хмелев Л.е., Жаринов В.Ф., Киреев A.M., Синелев Д.В. Защита информации в автоматизированных системах обработки данных. "Системы безопасности связи и телекоммуникаций", № 4-96 г.

87. Цвиркун А. Д. Структур сложных систем. М.: Сов. Радио,1975.

88. Цвиркун А. Д., Акинфинов,В.К. Структура многоуровневых и крупномасштабных систем. М.: Наука, 1993.

89. Цвиркун А. Д., Акинфинов В.К., Филиппов В.А. Имитационное моделирование сложных систем. . М.: Наука, 1985.

90. Цвиркун А. Д., Акинфинов В.К., Соловьев М.М. Моделирование развития крупномасштабных систем. -М.: Экономика, 1983.

91. Цвиркун Основы синтеза структур сложных систем. М.: Наука, 1982.

92. Юдин Д.Б., Гольдштейн Е.Г. Линейное программирование. М.: Издательство физико-математической литературы, 1963. с. 164. г146

93. Яшин Ю.А Защита информации приоритетная задача обеспечения национальной безопасности России. "Системы безопасности связии телекоммуникаций" № 1-97 г.

94. ФОРМЫ ПРЕДСТАВЛЕНИЯ ИНФОРМАЦИИ О СОСТОЯНИИ РЕГИОНАЛЬНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

95. Форма представления информации о состоянии защиты информации для отдельного защищаемого объекта1. Наименование объекта.

96. Принадлежность объекта конкретному предприятию (ведомству).

97. Местоположение (адрес) объекта. ^

98. Перечень охраняемых от технических разведок сведений об объекте.

99. Наименований защищаемой информации, циркулирующей в технических средствах обработки информации.

100. Гриф защищаемой информации («Особой важности», «Сов. секретно», «Секретно», «Для служебного пользования»),

101. Оценки относительной важности защиты объектов от различных угроз (.Классификатор угроз безопасности информации и методические рекомендации по получению оценок приведены в Прилоэ/сёнии 2).

102. Оценки относительной важности мер ЗИ (Классификатор возможных мер ЗИ и методические рекомендации по получению оценок приведены в Приложении 3). : ,

103. Номенклатура и количество используемых на объекте средств'защиты информации (Рекомендуемая классификация средств ЗИ представлена в Приложении 5).

104. Потребности в дополнительных средствах ЗИ (в соответствии с классификацией, представленной в Прилоэюении 5)

105. Номенклатура технических и программных средств, используемых для обработки защищаемой информации.1

106. Потребности в сертификации используемых технических средств обработки информации и средств ЗИ.

107. Используемые в процессе защиты информации об объекте документы по ЗИ.

108. Потребности в дополнительных общесистемных документах по ЗИ (в соответствии с перечнем, приведенным в Приложении 6)

109. Форма представления информации о состоянии-ЗИ для предприятия (учреждения, организации)1. Наименование предприятия

110. Организационно-правовая форма

111. Ведомственная принадлежность

112. Юридический адрес, телефон, телефакс, Ф.И.О. руководителя и его заместителей

113. Номенклатура объектов! защиты, общее количество объектов различных классов (Рекомендуемый классификатор объектов защиты представлен в При-лоэ/сении 8)

114. Обобщенные данные по охраняемым от технических разведок сведениям (перечни охраняемых сведений применительно к конкретным классам защищаемых объектов)

115. Обобщенные данные по защищаемой информации, циркулирующей в технических средствах обработки информации (гриф защищаемой информации, %-ое соотношение объектов защиты информации с различным грифом)

116. Обобщенные по предприятию оценки относительной важности защиты от различных угроз (в соответствии с Приложением 2)

117. Обобщенные по предприятию оценки относительной важности мер ЗИ (в соответствии с Прилоэюением 3)

118. Оценки возможного (потенциального) ущерба, который может быть нанесен предприятию в результате утечки защищаемой информации, несанкционированных или непреднамеренных воздействий на нее (в соответствии-с Приложением 4)

119. Номенклатура и количество используемых на предприятии средства ЗИ (в соответствии с Прилоэюением 5)

120. Потребности предприятия в дополнительных средствах ЗИ (в соответствии с Прилоэюением 5) ,/ ■

121. Номенклатура технических и программных средств, используемых на предприятии для обработки защищаемой информации

122. Потребности предприятия в сертификации средств обработки информации и средств ЗИ >

123. Используемые на предприятии общесистемные документы по ЗИ {в соответствии с Приложением 6)

124. Потребности в дополнительных общесистемных документах по ЗИ

125. Потребности в повышении квалификации и переподготовке специалистов по вопросам ЗИ (специальности, специализации, количество человек на 1999, 2000, 2001 г.г.) (в соответствии с Приложением 7)

126. Потребности в услугах по ЗИ. Объем требуемых услуг {в соответствии с классификатором услуг, приведенным в Приложении 9).

127. Форма представления информации о состоянии ЗИ для органов исполнительной власти субъектов РФ

128. Наименование органа исполнительной власти субъекта РФ2. Адрес

129. Ф.И.О. руководителя и его заместителей, руководителей структурных подразделений г4. ТЛФ, телефакс

130. Наименование подведомственных предприятий, в структуре которыхиме-ются защищаемые объекты I

131. Наименование вневедомственных предприятий, в структуре которых имеются защищаемые объекты

132. Наличие структурного подразделения по ЗИ. Количество специалистов, имеющих образование по специальностям ЗИ

133. Номенклатура объектов защиты, их количество (в соответствии с Приложением 8)

134. Обобщенные по органу исполнительной власти субъекта РФ данные по охраняемым от технических разведок сведениям

135. Обобщенные по органу исполнительной власти субъекта РФ данные по защищаемой информации, циркулирующей в технических средствах обработки информации на подведомственных и вневедомственных предприятиях

136. Обобщенные по органу исполнительной власти субъекта РФ оценки относительной важности защиты от различных угроз (в соответствии сПрилоэюе-иием 2)

137. Обобщенные по органу исполнительной власти субъекта РФ оценки относительной важности мер ЗИ (в соответствии с Приложением 3)

138. Оценки возможного (потенциального) ущерба, который может быть нанесен органу исполнительной власти субъекта РФ в результате утечки защищаемой информации, несанкционированных или непреднамеренных воздействий на нее (в соответствии с Прилоэюением 4)

139. Обобщенные данные по используемым средствам ЗИ и их количеству (в соответствии с Прилоэюением 5)

140. Потребности органа исполнительной власти субъекта РФ в дополнительных средствах ЗИ (в соответствии с Приложением 5) й

141. Потребности органа исполнительной власти субъекта РФ в сертификации средств ЗИ

142. Используемые в органе исполнительной власти субъекта РФ общесистемные документы по ЗИ (в соответствии с Приложением 6)

143. Потребности в дополнительных общесистемных документах по ЗИ (номенклатура и количество)

144. Потребности в повышений квалификации и переподготовке специалистов по вопросам ЗИ (специальности, количество человек на 1999, 2000, 2001 г.г.) (в соответствии с перечнем, представленным в Приложении 7)

145. Потребности в услугах по ЗИ. Объем требуемых услуг (в соответствии с классификатором услуг, приведенным в Приложении 9).

146. Форма представления информации о состоянии ЗИ для органов исполнительной власти муниципальных образований субъектов РФ

147. Наименование органа исполнительной власти муниципального образования субъекта РФ2. Адрес

148. Ф.И.О. руководителя и его заместителей, руководителей „структурныхподразделений4. ТЛФ, телефакс

149. Наименование предприятий, находящихся в муниципальной собственности

150. Наличие структурного подразделения по ЗИ. Общее количество специалистов, занимающихся вопросами организации процесса ЗИ

151. Номенклатура и количество объектов защиты, находящихся в муниципальной собственностисоответствии с Приложением 8)

152. Обобщенные по органу исполнительной власти муниципального образования субъекта РФ данные по охраняемым от технических разведок сведениям

153. Обобщенные по органу исполнительной власти муниципального образования субъекта РФ данные по защищаемой информации, циркулирующей в технических средствах обработки информации на подведомственных и вневедомственных предприятиях

154. Обобщенные по органу исполнительной власти муниципального образования субъекта РФ оценки относительной важности защиты от различных угроз (в соответствии с Приложением 2)

155. Обобщенные по органу исполнительной власти муниципального образования субъекта РФ оценки относительной важности мер ЗИ (в соответствии с Прилолсением 3)

156. Обобщенные данные по используемым средствам ЗИ и их количеству (в соответствии с Приложением 5)

157. Потребности органа исполнительной власти муниципального образования субъекта РФ в дополнительных средствах ЗИ (в соответствии с Приложением 5)

158. Потребности органа исполнительной власти муниципального образования субъекта РФ в сертификации средств ЗИ

159. Используемые в органе исполнительной власти муниципального образования субъекта РФ общесистемные-документы по ЗИ (в соответствии с Приложением 6) ^г•V152

160. Потребности в дополнительных общесистемных документах по ЗИ (номенклатура и количество) г'^

161. Потребности в повышении квалификации и переподготовке специалистов по вопросам ЗИ (специальности, количество человек на 1999, 2000, 2001 г.г.) (в соответствии с перечнем, представленным в Приложении 7)

162. Потребности в услугах по ЗИ. Объем требуемых услуг {в соответствии с классификатором услуг, приведенным в Приложении 9).

163. КЛАССИФИКАТОР УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ И МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ПОЛУЧЕНИЮ ОЦЕНОК ОТНОСИТЕЛЬНОЙ ВАЖНОСТИ ЗАЩИТЫ ОБЪЕКТОВ ОТ ЭТИХ УГРОЗ

164. Классификатор угроз безопасности информации1. Радиоразведка.

165. Радиотехническая разведка.3 . Радиолокационная параметрическая разведка.

166. Радиолокационная видовая разведка.5. Радиотепловая разведка.6. Разведка ПЭМИН.7. Телевизионная разведка.

167. ИК (тепловизионная) разведка. ,

168. ИК параметрическая (теплопеленгационная) разведка.

169. Визуальная оптико-электронная разведка. /

170. Разведка лазерных излучений.12. Фотографическая разведка.

171. Акустическая речевая разведка.

172. Акустическая сигнальная разведка. , ? /

173. Визуальная оптическая разведка. |16. Разведка шумовых полей.

174. Гидролокационная параметрическая разведка.

175. Гидролокационная видовая разведка.

176. Разведка гидроакустических сигналов. ' 20. Разведка звукоподводной связи.

177. Магнитометрическая разведка.22. Химическая разведка,23. Радиационная разведка.24. Сейсмическая разведка.25. Компьютерная разведка.

178. Несанкционированный доступ в системы информатизации и связи.

179. Получение информации с использованием электронных устройств съема.

180. Несанкционированное воздействие на информацию.29. Уничтожение информации.

181. Искажение информации. , * /

182. Блокирование информации. |32. Подделка информации.

183. Непреднамеренное воздействие на информацию.

184. Непреднамеренное уничтожение информации.

185. Непреднамеренное искажение информации.

186. Непреднамеренное блокирование информации.

187. Методические рекомендации по оценке относительной важности защиты информации от угроз безопасности информации

188. Относительная важность защиты информации от угроз безопасности информации определяется с использованием метода экспертного опроса.

189. При обработке результатов экспертных оценок в виде количественных данных, содержащихся в анкетах, определяются статистические оценки прогнозируемых характеристик и их доверительные границы.

190. Среднее значение прогнозируемой величины определяется по формуле:в = Е в./п, I1где В. значение прогнозируемой величины, данное ьм экспертом;п число экспертов в группе.п

191. Доверительные границы для значения прогнозируемой величины вычисляются по формулам: ?для верхней границы Ав = В + j, для нижней границы Ан = В J.

192. МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ПОЛУЧЕНИЮ ОЦЕНОК ПОТЕНЦИАЛЬНОГО УЩЕРБА, КОТОРЫЙ МОЖЕТ БЫТЬ НАНЕСЕН ОБЪЕКТУ В РЕЗУЛЬТАТЕ УТЕЧКИ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ, НЕСАНКЦИОНИРОВАННЫХ ИЛИ НЕПРЕДНАМЕРЕННЫХ1. ВОЗДЕЙСТВИЙ НА НЕЕ

193. ССЕр стоимость серийного производства объекта;3\У / относительное снижение эффективности объекта вследствие возрастания осведомленности противника о его характеристиках (несанкционированных или непреднамеренных воздействий на защищаемую информацию);

194. Э\¥ ожидаемое снижение эффективности объекта вследствие возрастания осведомленности и принятия противником контрмер (несанкционированных или непреднамеренных воздействий на защищаемую информацию); г

195. У проектная эффективность объекта.

196. КЛАССИФИКАТОР СРЕДСТВ ТЕХНИЧЕСКОЙ ЗАЩИТЫ1. ИНФОРМАЦИИ

197. Технические средства защиты информации от утечки по техническим каналам включая средства контроля эффективности принятых мер защиты информации, основные и вспомогательные технические средства и системы в защищенном исполнении.

198. Средства защиты информации от перехвата акустических сигналов распространяющихся в воздушной, водной, твердых средах, осуществляемого акустическими, гидроакустическими, виброакустическими, лазерными и сейсмическими средствами.

199. Средства защиты информации от деятельности радиационной разведки по добыванию сведений за счет изменения естественного радиационного фона окружающей среды, возникающего при функционировании объекта защиты.

200. Средства защиты информации от деятельности химической разведки по получению сведений за счет изменения химического состава окружающей сре•■':•■■'" Л160ды возникающего при функционировании объекта защиты.

201. Средства защиты информации от возможности получения сведений магнитометрической разведкой за счет изменения локальной структуры магнитного поля Земли, возникающего вследствие деятельности объекта защиты.

202. Технические средства защиты информации от несанкционированного доступа (НСД):

203. Средства защиты от несанкционированного доступа и подделки документов на основе оптико-химических технологий. I

204. Программные средства защиты информации:

205. Программы, обеспечивающие разграничение доступа к информации по мандатному, дискреционному или многоуровневому принципу (матрица и диспетчер доступа, электронный журнал регистрации доступа пользователей к информации и т.п.).

206. Программы идентификации и аутентификации терминалов и пользователей по различным признакам (пароль, дополнительное кодовое слово и т. п.), в том числе программы повышения достоверности идентификации (аутентификации).

207. Программы проверки функционирования системы защиты информации от несанкционированного доступа (НСД).

208. Программы контроля целостности средств защиты.

209. Программы защиты различного назначения^ в том числе антивирусные1. Аъ , -1/'программы.

210. Программы защиты операционных систем ЭВМ (модульная программная интерпретация и т. п.).

211. Программы контроля целостности общесистемного и прикладного программного обеспечения.

212. Программы, сигнализирующие о нарушении использования ресурсов.

213. Программы уничтожения остаточной информации в запоминающих устройствах (оперативная память, видеопамять и т. п.) после использования.

214. Программы контроля файловой структуры на внешних запоминающих устройствах и средствах восстановления. ?

215. Программы имитации работы системы или ее блокировки при обнаружении фактов НСД.

216. Программы определения фактов НСД и сигнализации (передачи сообщения) об их обнаружении.

217. Программы обнаружения и локализации программных закладок. 3.14 Программы для проведения испытаний ЭВТ на ПЭМИН, в том числетестирующие программы обработки результатов измерений.

218. Защищенные программные средства обработки информации:

219. Пакеты прикладных программ автоматизированных рабочих мест (АРМ).

220. Базы данных вычислительных сетей.

221. Программные средства автоматизированных систем управления (АСУ).

222. Программные средства идентификации изготовителя программного (информационного) продукта, включая средства идентификации авторского права.

223. Программные средства общего назначения: ^51. Операционные системы.

224. Системы управления базами данных.53. Языки программирования.

225. Средства разработкишрограммного обеспечения.

226. Редакторы текстовые и графические.56. Программные оболочки.

227. Программно-технические средства защиты информации:

228. Устройства прерывания программы пользователя при нарушении им правил доступа.

229. Устройства с|ирания данных.162

230. Устройства выдачи сигналов тревоги при попытке несанкционированного доступа к информации. /' |

231. Устройства локализации электронных закладок.

232. Программно-аппаратные средства разграничения доступа к информации, встроенные в информационные технологии.

233. КЛАССИФИКАТОР И ПЕРЕЧЕНЬ ДЕЙСТВУЮЩИХ ОБЩЕСИСТЕМНЫХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ,1. ИНФОРМАЦИИ /

234. Основные правовые документы

235. Указы и распоряжения Президента РФ12. "Об утверждении перечня сведений конфиденциального характера"

236. Основные организационно-распорядительные документы1. Положения

237. Положение о государственной системе защиты информацииРоссийской Федерации от иностранной технической разведки и от ее утечки по техническим каналам

238. Типовое положение о Совете (Технической комиссии) министерства, ведомства, органа государственной власти субъекта Российской Федерации по защите информации от иностранных технических разведок и от ее утечки по техническим каналам

239. Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам в министер164 Иствах и ведомствах, в органах государственной власти субъектов Российской Федерации , ' ,

240. Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации)

241. Положение о государственном лицензировании деятельности в области защиты информации

242. Положение о сертификации средств защиты информации

243. Положение о сертификации средств защиты информации по требованиям безопасности информации

244. Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации

245. Положение по аттестации объектов информатизации по требованиям безопасности информации

246. Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации |

247. Типовое положение об органе по сертификации объектов информатизации по требованиям безопасности информации

248. Типовое положение об испытательной лаборатории по сертификации

249. Руководства, инструкции и др.

250. Типовые требования к содержанию и порядку разработки руководств по защите информации на объектах ^

251. Инструкции по применению средств контроля

252. Перечень средств зашить* информации, подлежащих сертификации в Системе сертификации средств защиты информации Гостехкомиссии России № РОСС 1Ш.ООО1.О1БИОО

253. Перечень учебных заведений, осуществляющих подготовку специалистов по вопросам ЗИ, составляющей государственную тайну1651. Концепции

254. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации

255. Основные нормативные документы

256. ГОСТ Р 50922-96. Защита информации. Основные термины и определения в области защиты информации

257. ГОСТ РВ 50600-93. Защита секретной информации от технической разведки. Система документов. Общие положения

258. ГОСТ РВ 50170-92. Противодействие иностранной технической разведке. Термины и определения

259. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования

260. ГОСТ Р 50972-96. Защита информации. Радиомикрофон. Технические требования к защите от утечки секретной информации

261. ГОСТ 29339-92. Защита информации от утечки за счет побочных электромагнитных излучений и наводок. Общие технические требования

262. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа. Общие технические требования

263. ГОСТ Р 50752-95. Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений и наводок при ее обработке средствами вычислительной техники. Методы испытаний

264. OTT 1.1.8-90. Системы и комплексы (образцы) вооружения и военной техники. Общие требования по защите от иностранной технической разведки

265. OTT 1.2.8-89. Системы и комплексы (образцы) вооружения и военной техники. Общие требования к методам контроля за эффективностью защиты от иностранной технической разведки

266. OTT 2.1.27-94. Средства противодействия иностранным техническим разведкам общего применения. Общие тактико-технические требования

267. Модель иностранных технических разведок (Модель ИТР-2010)

268. Методики контроля эффективности защиты информации от акустической разведки v

269. Нормативно-методические документы по противодействию средствам иностранной разведки лазерных излучений >

270. Нормативно-методические документы по противодействию средствам иностранной радиоразведки

271. Нормативно-методические документы по противодействию средствам иностранной радиотехнической разведки |

272. Нормативно-методические документы по противодействию средствам иностранной радиолокационной видовой, разведки

273. Нормы эффективности защиты автоматизированных систем управления и электронно-вычислительной техники от утечки за счет побочных электромагнитных излучений и наводок;

274. Нормы эффективности защиты технических средств передачи речевой информации от утечки за счет побочных электромагнитных излучений и наводок;

275. Нормы эффективности защиты технических средств передачи телевизионной информации от утечки за счет побочных электромагнитных излучений и наводок; ;

276. Нормы эффективности защиты технических средств передачи телеграфной и телекодовой информации от утечки за счет побочных электромагнитных излучений и наводок ^-V

277. Нормативно-методические документы по защите информации от магнитометрической разведки для объектов в водной среде

278. Нормативно-методические документы по противодействию средствам иностранной фоторазведки и оптико-электронной разведки:

279. Нормативно-методические документы по противодействию средствам иностранной фотографической разведки

280. Нормативно-методические документы по противодействию средствам иностранной гидроакустической разведки:

281. Нормативно-методические документы по противодействию средствам иностранной химической разведки

282. Нормативно-методические документы по противодействию радиолокационным средствам иностранной воздушной и космической разведок

283. Список действующих нормативных документов, на основании которых и по которым проводится сертификация продукции в Системе сертификации Гостехкомиссии России (Приложение к Перечню средств ЗИ)

284. Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам

285. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения Д

286. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации

287. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации

288. Руководящий документ. Защита информации. Специальные защитные знаки. Классификация и общие требования 4"

289. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации

290. Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники

291. Информационные документы Лицензирование, сертификация и аттестование в области защиты информации

292. Каталог средств защиты информации общего применения

293. Каталог сертифицированных средств защиты информации

294. Справочник "Производители, поставщики средств защиты; информации, а также специальные организации, оказывающие услуги в области защиты информации"

295. Информационные материалы об органах по лицензированию и сертификации ; 1

296. ПЕРЕЧЕНЬ СПЕЦИАЛЬНОСТЕЙ И СПЕЦИАЛИЗАЦИЙ

297. ВЫСШЕГО И ДОПОЛНИТЕЛЬНОГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ В ОБЛАСТИ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ

298. Номенклатура специальностей и специализаций высшего профессионального образования в области технической защиты информации

299. Организациям технология защиты информации #

300. Компьютерная безопасность I

301. Разработка специального программного обеспечения

302. Защита в операционных системах

303. Безопасность систем управления и принятия решений

304. Безопасность распределенных систем

305. Безопасность информационных технологий21. Информационное оружие

306. Защищенные информационные технологии

307. Комплексное обеспечение информационной безопасности автоматизированных систем

308. Защищенные операционные среды

309. Защита автоматизированных информационных систем

310. Технологии разработки и верификации безопасных систем

311. Защищенные телекоммуникационные системы .

312. Защита информации от утечки по техническим каналам

313. Системы контроля и поддержания безопасности критических объектов

314. Технические средства охраны и охранной сигнализации 5. Организация и технология защиты информации

315. Разработка систем комплексной защиты информации

316. Управление комплексной защитой информации

317. Техническая защита и охрана объектов и сооружений

318. Оперативно-техническое обеспечение информационной безопасности

319. Организация режимно-секретной работы

320. Автоматизация систем документоведения6. Информационные системы

321. Администрирование систем безопасности по отраслям

322. Номенклатура специальностей и специализаций повышения квалификации и переподготовки кадров в области технической защиты информации s

323. Организация и технология защиты информации11. Компьютерная безопасность

324. Защита в операционных системах

325. Безопасность систем управления и принятия решений

326. Безопасность распределенных систем

327. Безопасность информационных технологий

328. Защищенные информационные технологии

329. Управление системой защиты информации

330. Проблемы безопасности при подключении к Internet

331. Комплексное обеспечение информационной безопасности автоматизированных систем

332. Защищенные операционные среды

333. Защита автоматизированных информационных систем

334. Технологии разработки и верификации безопасных систем

335. Противодействие компьютерной преступности

336. Технология защиты информации от НСД

337. Защищенные телекоммуникационные системы

338. Защита информации от утечки по техническим каналам

339. Системы контроля и поддержания безопасности критических объектов

340. Технические средства охраны и охранной сигнализации

341. Организация и технология защиты информации

342. Разработка систем комплексной защиты информации

343. Управление комплексной защитой информации

344. Техническая защита и охрана объектов и сооружений

345. Оперативно-техническое обеспечение информационной безопасности

346. Организация режимно-секретной работы

347. Автоматизация систем документоведения

348. Построение системы контроля доступа на предприятие

349. КЛАССИФИКАТОР ПРОМЫШЛЕННЫХ ОБЪЕКТОВ1. ЗАЩИТЫ1. По категории:

350. Промышленные объекты (ПО) 1-й категории (объекты, при строительстве, реконструкции и эксплуатации которых необходимо скрытие и искажение информации об их предназначении, местоположении или профиле деятельности);

351. ПО оборонного комплекса, выпускающие особые образцы ВВТ, которые обладают высоким боевым потенциалом;

352. ПО с экологически опасными производствами;

353. ПО, на которых используются высокоперспективные технологии оборонного и двойного назначения;

354. ПО, имеющие высокодоходные производства.

355. По этапам жизненного цикла:

356. ПО, находящиеся на предпроектном этапе или этапе проектирования;

357. ПО, находящиеся на этапе строительства;

358. ПО с рассредоточенной структурой;

359. ПО с сосредоточенной структурой.

360. КЛАССИФИКАТОР РАБОТ И УСЛУГ В ОБЛАСТИ ЗАЩИТЫ1. ИНФОРМАЦИИ

361. Проведение специсследований на ПЭМИН ТСОИ.

362. Подготовка и переподготовка кадров в области защиты информации по видам деятельности, перечисленным в данном перечне.