Модель и метод анализа эффективности систем защиты информации сайтов органов власти Российской Федерации тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Проценко, Евгений Александрович

Актуальность выбора темы диссертационного исследования обусловлена необходимостью обеспечить сохранность информационных ресурсов, а также нарастанием угроз национальной безопасности РФ в информационной сфере за счёт получения несанкционированного доступа к информационным ресурсам й нарушения нормального функционирования информационных и телекоммуникационных систем. В связи с этим анализ эффективности систем защиты информации (СЗИ) сайтов органов власти становится обязательным этапом созда'-ния любой СЗИ сайтов.

Неотъемлемой частью разработки СЗИ сайтов органов власти является совершенствование нормативных правовых и нормативно-методических документов в области защиты информации, а также проведение экспертизы и контроля качества защиты открытой общедоступной информации, размещаемой на сайтах органов власти.

На региональном уровне, как показывает практика, органы власти, размещая открытую общедоступную информацию на сайтах в сети Интернет, в большинстве случаев не разрабатывают модели угроз и поведения «нарушителя», ввиду отсутствия методик и программных средств, позволяющих спрогнозировать их действия. Отсутствие должного уровня научной разработанности таких проблем препятствует широкому внедрению уже имеющихся исследований в практику. Учёт этого обстоятельства послужил основанием к выбору темы исследования. При этом, актуальность решения этой проблемы значительно повышается на уровне органов власти регионов.

Целью исследования является исследование и разработка методов, моделей и средств выявления, идентификации и классификации угроз нарушения СЗИ сайтов органов власти, расположенных в пределах Северо-Западного федерального округа (СЗФО), а также моделей и методов анализа эффективности их СЗИ.

В соответствии с целью в работе поставлены и решены следующие задачи: на примере зарубежных стран: проанализирован аналогичный опыт создания

СЗИ; проведена оценка сайтов правительств федерального уровня и уровня t штатов Америки на предмет представления онлайновой информации и услуг, а также обобщены результаты исследования характеристик их безопасности; выявлены различия между правительствами'обоих уровней на основе показателей, характеризующих степень того, как сайты правительств соответствуют потребностям граждан в доступе к необходимой им информации; I проведён анализ различий использования информационных технологий (ИТ) в разными ветвями* власти федерального правительства США; оценена роль таких элементов в области развития национальных экономик, как глобализация и прозрачность, для обеспечения эффективной ИБ; проанализирована зависимость между глобализацией, состоянием демократических свобод и уровнем затенённости деятельности правительств; проведена качественная'и количественная оценка взаимосвязи между уровнем распространения ИТ и величиной непрозрачности экономики; проанализирован опыт функционирования СЗИ органов власти СЗФО; разработаны подходы к организации защиты информации (ЗИ), размещаемой на сайтах органов власти; определена роль ЗИ в деятельности органов власти; уточнены вопросы финансирования мероприятий, направленных на ЗИ огра ниченного доступа в органах власти-субъектов РФ; разработаны инструментально-моделирующие комплексы (ИМК) «Навигатор сканирования» и «Сканирование угроз»; проведён анализ нормативных правовых и нормативно-методических документов в области защиты информации сайтов органов власти.

Решение- обозначенных задач имеет значение для научных и технических проблем специальности 05.13.19: Для народного хозяйства важность полученных результатов состоит в том, что разработаны новые и усовершенствованы имеющиеся методы и средства защиты информации.

Предметом настоящей диссертации является анализ эффективности СЗИ сайтов органов власти, а также разработка методов, моделей, программных к аппаратно-программных средств анализа эффективности СЗИ при ее обработке, передаче и хранении с использованием ИТ.

Особенность предмета исследования состоит в необходимости его изучения на примере создания СЗИ сайтов органов власти, что обуславливает как концептуально-теоретический подход к исследованию, так и набор методов исследования и направлений реализации его результатов, а также обусловлена межотраслевым характером информационных отношений.

Объектом исследования выступают методы и механизмы защиты информации, размещаемой на сайтах органов власти.

Область исследования. Содержание диссертации соответствует области исследования 05.13.19 «Методы и системы защиты информации, информационная безопасность» паспорта номенклатуры специальностей научных работников(техни-ческие науки).

Объектом наблюдения являются сайты органов власти СЗФО.

Теоретическая и методологическая основа исследования.

Теоретическая основа включает методологические положения и выводы, содержащиеся в трудах отечественных и зарубежных учёных, политических и государственных деятелей, материалы научных дискуссий в области обеспечения национальной и ИБ, а таюке положения философской, политологической наук о политике как социальном явлении, связанные с ИБ.

Исследование проведено на стыке ряда научных направлений, что. потребовало использование источников в области технических и юридических наук. Основу исследования на общетеоретическом уровне составили труды учёных В.П. Шерстюка, Р.Ф. Идрисова, Л.Г. Осовецкого, Ю.С. Уфимцева; М.В. Щедрина, В.И. Ярочкина в сфере информационных отношений таких ученых, как В.Г. Кулаков, В.В. Кульба, Н.А. Кузнецов, И.Л. Бачило, М.М. Рассолов, В.Н. Лопатин, М.В. Мирошниченко, А.А. Фатьянов.

Методологическую основу исследования составляют общенаучные и специальные методы познания. Их применение в сочетании с разработками философских, социологических и юридических проблем позволило установить первостепенные направления конкретной практической деятельности специалистов законодательных органов при реализации задач обеспечения ИБ. Для сбора и изучения эмпирического материала применялись следующие основные методы: методы познания, различные сочетания эмпирических (наблюдение, эксперимент и т.д.), логических методов, а также моделирование, математические и кибернетические методы. Из специальных методов широко применялись ме-тодьг графического отображения данных и экспертных оценок.

Информационная основа исследования. Существенную теоретическую и методологическую роль в расширении представления диссертанта при решении научных задач сыграли статистические исследования, материалы периодической печати, в том числе размещенные в сети Интернет, отражающие влияние информации, новых ИТ на состояние и процесс обеспечения национальной и

ИБ РФ и её субъектов, материалы международных и отечественных выставок и конференций в области ИТ и средств её защиты, а также практический опыт работы автора в Управлении ФСТЭК России по СЗФО.

Нормативная правовая база исследования сформирована на основе использования официальной правовой информации.

Научная новизна диссертационного исследования состоит в следующем: проведено новое исследование анализа эффективности СЗИ сайтов органов власти СЗФО, результаты которого привели к выводу о несоответствии применяемых методов ЗИ необходимой эффективности в сравнении с зарубежными аналогами и аналогами иных областей применения; выявлены причины несоответствия1 современным требованиям применяемых методов ЗИ сайтов правительственных организаций; внесены коррективы в традиционно используемые понятия, относящиеся к предметной области «информационная безопасность», «безопасность информации», «защита информации»; разработана методика определения угроз, отличительной особенностью которой является совершенствование эффективных условий в структуре СЗИ сайтов органов власти. Главная цель методики состоит в создании методологической основы для реализации основных принципов государственной политики в области обеспечения ИБ; создана модель угроз, направленная на обеспечение ЗИ, размещаемых органами власти в сети Интернет, отличающаяся введением механизма саморазви-4 тия, суть которого в интеграции в ней таких блоков как источники угроз, определение целей угроз, способы реализации возможных угроз, оценка возможного ущерба от реализации угроз; предложены научно обоснованные рекомендации, которые по сравнению с существующими позволяют повысить эффективность традиционных и вновь разрабатываемых СЗИ сайтов органов власти; проведена оценка более 1600 сайтов правительств федерального уровня и уровня штатов Америки на предмет качества представления онлайновой информации и услуг, а также обобщены результаты исследования характеристик-безопасности, показавшие наличие нерешенных проблем в области обеспечения секретности, безопасности, соблюдения и развития демократических принципов и развития интерактивности; оценена роль таких важнейших элементов в области развития национальных экономик, как глобализация и прозрачность, для обеспечения ИБ. Оценка позволила придти к выводу о том, что тенденция роста влияния технологического фактора, информационных и коммуникационных технологии, стали доминирующим двигателем процесса глобализации; проведена качественная и количественная оценка взаимосвязи между уровнем распространения ИТ и величиной непрозрачности экономики.

Объективность исследования достигается использованием автоматизированных методов проведения исследования с использованием инструментальных средств, снижающих вероятность случайной ошибки. Точность и достоверность полученных результатов оценивается (по возможности) применением аппарата математической статистики и поддерживается инструментальными средствами.

Значимость полученных результатов для теории заключается в развитии теории и методологии изучения проблем ЗИ органов власти на региональном уровне.

Практическая значимость исследования состоит в создании модели и метода анализа эффективности СЗИ сайтов органов власти, а также механизма совершенствования обозначенных систем на примере СЗФО. Ряд положений могут быть включены в обоснование предложений по совершенствованию научно-технических методов эффективной защиты и создания СЗИ, российского законодательства в сфере информационных отношений и повышению его эффективности; в развитие научных представлений и понятий в области цикла общих профессиональных дисциплин специальности 075300 «Организация и технология защиты информации», на курсах повышения квалификации, подготовки и переподготовки, кадров по ЗИ; при проведении дальнейших научных исследований по данной проблематике.

Апробация результатов исследования.

Диссертация выполнена и обсуждена на заседании кафедры «БИТ» ГОУ ВПО «СПбГУ ИТМО». Теоретические положения и выводы использовались диссертантом в учебном процессе при изложении лекционного материала и проведении практических занятий в ГОУ ВПО «СПбГУ ИТМО», на курсах повышения квалификации ФГУП «ЗащитаИнфоТранс», НОУ ДПО «СевероЗападный центр комплексной защиты информации» и НОУ ДПО «Центр предпринимательских рисков». Авторские материалы научно-технического отчета «Исследование анализа защищённости официальных сайтов органов власти, находящихся в пределах СЗФО», подготовленные на кафедре «БИТ» в соответствии с договором между Управлением ФСТЭК России по СЗФО и ГОУ ВПО «СПбГУ ИТМО» «О сотрудничестве в научных исследованиях, подготовке, повышении квалификации, стажировке и профессиональной переподготовке специалистов в области обеспечения безопасности информации в системах информационной телекоммуникационной' инфраструктуры» использованы для подготовки Межведомственного совета по защите информации при полномочном представителе Президента РФ в СЗФО, а также в ходе подготовки и проведения, мероприятий контроля? в органах власти; и организациях СЗФО (исх. №598 от 08.05.2007).

Результаты исследования также использовались в рамках совместного проекта ГОУ ВПО «СПбГУ ИТМО» и Управления ФСТЭК России по СЗФО в работе по идентификации ключевых систем информационной инфраструктуры, региона, в части разработки и совершенствования методов анализа защищённости сайтов органов власти РФ, а. также были применены в работе ООО? «ЩИТ-XXI» по анализу защищенности сайтов органов? власти и банковской сферы СЗФО:

Основные положения и результаты диссертационного; исследования прошли апробацию на конференциях, проведённых ГОУ ВПО «СПбГУ ИТМО»: II ' ' f '■•■•. ' 'г межвузовская конференция молодых ученых, 28-31 марта 2005 г., XXXIV, научная- и учебно-методическая конференция, 2-4 февраля» 2005: г., III межвузовская конференция молодых ученых, 10-13 апреля 2006 г. .

Результаты работы реализованы, что подтверждается: научно-техническим отчетом «О состоянии защищённости официальных сайтов органов власти и организаций, находящихся в пределах СЗФО, российского сегмента Интернет по основным направлениям и видам деятельности», кафедры. «БИТ» ГОУ ВПО «СПбГУ ИТМО» по запросу Управления ФСТЭК России по

СЗФО (исх. №101 от 30.01.2007); актами о внедрении: ФСТЭК России; Управ1 ления ФСТЭК России по СЗФО, Комитета по информатизации и связи администрации Санкт-Петербурга,„Агентства по информатизации.и связи правительства Камчатского края, ГОУ ВПО : «СПбГУ ИТМО», Санкт-Петербургского монетного двора филиала ФГУП «Госзнак», НОУ ДПО «СЗЦКЗИ», ЗАО «Эврика».

Основные положения, выносимые на защиту: модель угроз СЗИ сайтов органов власти; методика определения угроз СЗИ сайтов органов власти; рекомендации, повышающие эффективность традиционных и вновь разрабатываемых СЗИ сайтов органов власти; результаты анализа сайтов правительств федерального уровня и уровня штатов Америки на предмет представления онлайновой информации и услуг, различия между правительствами обоих уровней на основе показателей, характеризующих степень соответствия потребностям граждан в доступе к необходимой им информации; обобщённые результаты исследования характеристик безопасности сайтов правительств федерального уровня и уровня штатов Америки; результаты оценки роли элементов (глобализация и прозрачность) в области развития национальных экономик для обеспечения эффективной ИБ.

Публикации. Результаты диссертационного исследования нашли своё отражение в 1 НИР, 7 статьях (общим объемом 3 п.л.), 5 из которых опубликованы в рецензируемых ВАК изданиях.

Структура и объем диссертации. Работа состоит из введения, пяти глав, заключения, списка используемых источников, приложения на 137 страницах машинописного текста, имеет 10 рисунков, 20 таблиц. Список используемых источников содержит 82 наименования.

Основные результаты и выводы, полученные в диссертации состоят в следующем: разработана методика определения угроз, отличительной особенностью которой является совершенствование эффективных условий в структуре СЗИ сайтов органов власти. Главная цель методики состоит в создании методологической основы для реализации основных принципов государственной политики в области обеспечения ИБ; создана модель угроз СЗИ сайтов органов власти, отличающаяся введением механизма саморазвития, суть которого в интеграции в ней таких блоков как источники угроз, определение целей угроз, способы реализации возможных угроз, оценка возможного ущерба от реализации угрозы; сформулированы причины несоответствия применяемых методов защиты информации необходимой эффективности в сравнении с зарубежными аналогами и аналогами иных областей применения; выявлены причины этого несоответствия; предложены научно обоснованные рекомендации, которые по сравнению с существующими, позволяют повысить эффективность традиционных и вновь разрабатываемых СЗИ сайтов органов власти; разработаны инструментальные средства анализа эффективности СЗИ сайтов органов власти (ИМК «Навигатор сканирования» и ИМК «Сканирование угроз»); проведена оценка более 1600 сайтов правительств федерального уровня и уровня штатов Америки, выявлены различия между правительствами обоих уровней на основе показателей, характеризующих степень того, как сайты правительств соответствуют потребностям граждан в доступе к необходимой им информации. Оценка показала, что разные штаты Америки достаточно сильно различаются по общим характеристикам электронизации деятельности своих правительств; обобщены результаты исследования характеристик безопасности сайтов правительств федерального уровня и уровня штатов Америки, показавшие, что значительное продвижение в области информационного обеспечения и предоставления услуг происходило на фоне нерешенных проблем в области обеспечения секретности, безопасности, соблюдения и развития демократических принципов и развития интерактивиости; проведён анализ различий использования ИТ в разных ветвях власти федерального правительства США, который выявил разную степень предоставления тех или иных возможностей ИТ между тремя ветвями власти — исполнительной, законодательной и судебной; оценена роль таких важнейших элементов в области развития национальных экономик, как глобализация и прозрачность, для обеспечения эффективной ИБ. Проведенные оценки позволили придти к выводу о том, что тенденции роста влияния технологического фактора, информационных и коммуникационных технологии, стали доминирующим двигателем процесса глобализации; предложена и обоснована рекомендация о необходимости скорейшего принятия Федерального Конституционного закона РФ «О безопасности РФ».

Конституционный закон должен привести в единую систему положения-нормативных правовых, актов и других федеральных документов в области обеспече-ншг безопасности, а также устранить пробелы, повторы и противоречия, установить должную корреляцию между ними. > -По результатам исследования сформулированы следующие рекомендации, предназначенные для повышения эффективность систем защиты информации сайтов органов власти: применение защищенных технологий для обеспечения безопасности информационного обмена между сайтом и компьютером пользователя; всестороннее' тестирование безопасности сайта профессиональной консалтинговой компанией, специализирующейся на предоставлении услуг вида «тестирование на проникновение»; использование двухфакторной аутентификации; при этом, как показало исследование, лучшая современная практика включает использование специального программно/аппаратного ключа - USB-токена, элемента touch-memory или ключевой дискеты; адаптация международных стандартов в области информационной безопасности для российских участников информационных отношений; идентификация информации, циркулирующей- в органе власти по следующим критериям: является ли информация ограниченного доступа или является открытой общедоступной информацией; все применяемые методы и средства защиты необходимо реализовывать в соответствии с требованиями Руководящего документа Гостехкомиссии России. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. для предотвращения угроз от внешнего нарушителя целесообразно применять организационно-технические мероприятия по обслуживанию,линий связи, систему криптографической защиты, коды-аутентификации, имитационную защиту данных, электронную цифровую подпись, протокол двусторонней криптографической аутентификации, систему НСД, Fire Wall между элементами на сетевом уровне, систему разовых паролей для доступа к ресурсам (на прикладном уровне), уникальный криптографический сеанс (на сеансовом уровне). в целях предотвращения опубликования на сайте органа власти информации ограниченного доступа, необходимо в обязательном порядке предварительно направлять её на экспертизу в Экспертную комиссию или Постоянно действующую техническую комиссию (ПДТК) органа власти.

ЗАКЛЮЧЕНИЕ

В данной работе проведен анализ эффективности СЗИ сайтов органов власти СЗФО. Методика исследования существенно отличается от распространенных методик, используемых в настоящее время, законностью используемых методов анализа. Примененные методы исследования, разработанные, обобщенные и усовершенствованные в работе, находятся в рамках российского законодательства, т.к. не приводят к вторжению/нарушению работы сетей и отдельных ЭВМ. Все действия, выполненные в процессе анализа, не выходят за рамки действующего законодательства. Целью методов является поиск таких изъянов или недостатков в защите сайтов, которые позволяют «нарушителям» преодолеть СЗИ сайтов или получить критически важную информацию для последующего вторжения.

1. Административная реформа в России : научно-практическое пособие / под ред. С.Е. Нарышкина, Т.Я. Хабриевой. М.: Юр. фирма «КОНТРАКТ»; ИНФРА-М, 2006. - 352 с.

2. Бачило, И.Л. Информационное право : учебник / И.Л. Бачило, В.Н. Лопатин, М.А. Федотов; под ред. акад. РАН Б.Н. Топорника. СПб.: Издательский центр Пресс, 2001 - 789 с.

3. Биячуев, Т.А. Модель и методы мониторинга и оценки защищенности веб-сайтов сети Интернет : дис. . канд. тех. наук: 05.13.19. СПб., 2005.

4. Большая энциклопедия Кирилла и Мефодия Электронный ресурс. / New Media Generation, 2006.

5. Бюджетный Кодекс Российской Федерации (в ред. от 19.12.2006 г.) от 31.07.1998 г. № 145-ФЗ // Российская газета. 1998. - 12 августа. - № 153-154.

6. Война и мир в терминах и определениях / Изд-во «ПоРог» Интернет: http://www.voina-i-mir.ru.

7. Гончаров, И.В. Законодательное обеспечение конституционной безопасности Российской Федерации / Конституционное и муниципальное право. -2003.-№4.

8. ГОСТ 7.0-99. Информационно-Библиотечная Деятельность, Библиография. Термины и определения.

9. ГОСТ Р 50922-96. Защита информации. Основные термины и определения.

10. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью.

11. Даль, В.И. Толковый словарь живого великорусского языка : в 4 т. М.: Русский язык, 1989.

12. Доктрина информационной безопасности Российской Федерации // Российская газета. 2000. - 28 сентября. - № 187.

13. Домарев, В.В. Безопасность информационных технологий. Системный подход. М.: Изд-во «DiaSoft», 2004. - 992 с.

14. За 2 года на защищаемые ФСБ России ресурсы органов государственной власти хакеры совершили более 2 млн. атак // Securitylab.ru Интернет: http://www.securitylab.ru/news/292145.php. 2007. - 3 июля.

15. Закон РФ от 05.03.1992 № 2446-1 (в ред. от 25.07.2006) «О безопасности» // Российская газета. 1992. - 6 мая. -№ 103.

16. Закон РФ от 21.07.1993 г. N 5485-1 «О государственной тайне» (в ред. от 22.08.2004 г.) // Российская газета. 1993.-21 сентября. - № 182.

17. Зима, В.М., Молдовян, А.А., Молдовян, НА. Безопасность глобальных сетевых технологий. СПб.: БХВ-Петербург, 2003.

18. Идрисов, Р.Ф. Теоретические и правовые проблемы обеспечения национальной безопасности Российской Федерации : диссертация на соискание степени д-ра юр. наук / Р.Ф. Идрисов. М., 2002. - 377 с.

19. Информационная безопасность систем организационного управления. Теоретические основы : в 2 т. / Н.А. Кузнецов, В.В. Кульба, Е.А. Микрин и др.; отв. ред. Н.А. Кузнецов, В.В. Кульба; Ин-т проблем передачи ин-форм. РАН. М.: Наука, 2006. - Т. 1. - 495 с.

20. Информационные технологии в бизнесе / под ред. М. Желены. СПб: Питер, 2002. - 1120 е.: ил. - (Серия «Бизнес класс»).

21. Кирьянов, А.Ю. Региональная безопасность в системе национальной безопасности // Российский судья. 2005. - № 9.

22. Кулаков, В.Г. Региональная система информационной безопасности : угрозы, управление и обеспечение : дис. . д-ра техн. наук : 05.13.19, 05.13.10.

23. Лопатин, В. Правовые аспекты информационной безопасности // Системы безопасности связи и телекоммуникаций. 1998. - № 21. - С. 8.

24. Лукацкий, А.В. Безопасность e-commerce // Системы безопасности, связи и телекоммуникаций. 2006. - № 4.

25. Методы и системы защиты информации, информационная безопасность : Паспорт специальности 05.13.19.

26. Мирошниченко, М.В. Организация управления и обеспечение национальной безопасности Российской Федерации / В.М. Мирошниченко. — М.: Изд-во «Экзамен», 2002. 256 с.

27. Нестеров, А.В. Существует ли информационная безопасность, или некоторые аспекты законопроекта технического регламента «О безопасности информационных технологий» // Правовые вопросы связи. 2007. — № 1.

28. Об информационном обеспечении органов государственной власти Ставропольского края: Закон Ставропольского края от 27 сентября 1996 года № 35-кз (в ред. от 11.03.2001).

29. Ожегов, С.И. Словарь русского языка. 21-е изд. - М.: Русский язык, 1989.

30. Осовецкий, Л.Г., Проценко, Е.А., Захаров, А.В. Исследование и анализ защищенности официальных сайтов органов власти, находящихся в пределах Северо-Западного федерального округа : научно-технический отчет / СПбГУ ИТМО. 2007.

31. Пономарев, В. E-banking как вершина банковской технологической мысли // Компьютерная неделя. 2004. - № 19(443).

32. Постановление Конституционного Суда РФ от 27.01.1999г. 2-П «По делу о толковании статей 71 (пункт «г»), 76 (часть 1) и 112 (часть 1) Конституции Российской Федерации» // Российская газета. — 1999. -10 февраля. № 25.

33. Постановление Правительства РФ от 28.01.2002 № 65 (в ред. от 15.08.2006) «О Федеральной целевой программе «Электронная Россия (2002-2010 годы)» // Собрание законодательства РФ. 2002. - 4 февраля. — № 5. - ст. 531.

34. Правовое обеспечение безопасности информации в Российской Федерации : учеб. пособие / Фатьянов А.А. М.: Изд. группа «Юрист», 2001. -412 с.

35. Приоритетные проблемы научных исследований в области информационной безопасности Российской Федерации: одобрены секцией по информационной безопасности научного совета при Совете Безопасности Российской Федерации (протокол от 28 марта 2001 г. N 1).

36. Просвирнин, Ю.Г. Информационная функция государства / Журнал российского права. 2002. - № 3.

37. Проценко, Е.А. Некоторые вопросы правового регулирования вопросов информационной безопасности, безопасности информации и защиты информации // Власть и управление на Востоке России. Научно-публицистический журнал. 2007 г. №4 (41). 228 с.

38. Проценко, Е.А. Структура федерального законодательства в области защиты информации // Вестник II межвузовской конференции молодых ученых : сб. науч. тр. / под. ред. B.JI. Ткалич. СПб: СПбГУ ИТМО, 2005.-Т. 1.-268 с.

39. Распоряжение Правительства РФ от 17.07.2006 N 1024-р «О Концепции региональной информатизации до 2010 года» // Собрание законодательства РФ. 2006. - 24 июля. - № 30. - ст. 3419.

40. Рейтинг ФБР : самые разорительные угрозы ИБ // Safe.CNews.ru Интернет: http://safe.cnews.ru/reviews/index.shtml72006/08/18/208912. 2006. - 18 августа.

41. Северин, В.А. Правовое регулирование информационных отношений // Юрист.-2001.-№ 7.

42. Скиба, В.Ю., Курбатов, В.А. Руководство по защите от внутренних угроз информационной безопасности // СПб.: Питер, 2008 320 е.: ил.

43. Стахов, А.И. Безопасность в правовой системе Российской Федерации // Безопасность бизнеса. 2006 - № 1.

44. Стрельцов, А.А. Правовое обеспечение информационной безопасности России : теоретические и методологические основы. Минск, 2005. — 304 с.

45. Стрельцов, А.А. Обеспечение информационной безопасности России. Теоретические и методологические основы / под ред. В.А. Садовничего и В.П. Шерстюка. М.: МЦНМО, 2002. - 296 с.

46. Указ Президента РФ от 05.01.1992 № 9 «О создании Государственной технической комиссии при Президенте Российской Федерации» // Ведомости СНД и ВС РСФСР. 1992. - 16 января. - № 3. - ст. 109.

47. Указ Президента РФ от 09.03.2004 № 314 (в ред. от 27.03.2006) «О системе и структуре федеральных органов исполнительной власти» // Российская газета. — 2004. — 12 марта. — № 50.

48. Указ Президента РФ от 10.01.2000 № 24 «О Концепции национальной безопасности Российской Федерации» // Российская газета. 2000. - 18 января. - № 11.

49. Указ Президента РФ от 16.08.2004 № 1085 (в ред. от 30.11.2006) «Вопросы федеральной службы по техническому и экспортному контролю» // Собрание законодательства РФ. 2004. - 23 августа. - № 34. - ст. 3541.

50. Указ Президента РФ от 20.05.2004 № 649 (в ред. от 05.02.2007) «Вопросы структуры федеральных органов исполнительной власти» // Российская газета. 2004. - 22 мая. - № 106.

51. Уфимцев, Ю.С., Буянов, В.П., Ерофеев и др. Методика информационной безопасности / Ю.С. Уфимцев, В.П. Буянов, Е.А. Ерофеев, H.JL Жогла, О.А. Зайцев, Г.Л. Курбатов, А.И. Петренко, Н.В. Федотов. М.: Изд-во «Экзамен», 2004. - 544 с.

52. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» // Российская газета. -2006.-29 июля. -№ 165.

53. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» // Российская газета. 2006. - 29 июля. - № 165.

54. Федеральный закон РФ от 15.08.1996 г. № 115-ФЗ «О бюджетной классификации Российской Федерации» (в ред. от 18.12.2006 г.) / Российская газета. 2000. - 12 августа. - № 156-157.

55. Чубукова, С.Г., Элькин, В.Д. Основы правовой информатики (юридические и математические вопросы информатики) : учеб. пособие / под ред. д-ра юр. наук, проф. М.М. Рассолова, канд. тех. наук, проф. В.Д. Эльки-на. Юр. фирма «Контракт», 2004. - 252 с.

56. Цена непрозрачности : недополученные прямые иностранные инвестиции. Апрель 2001. Проект ПрайсуотерхаусКуперс «Исследование прозрачности и стабильности экономики».

57. Штрик, А.А. Макроэкономические индикаторы развития информационного общества и преодоление цифрового неравенства между странами мира // Информационные технологии. 2002. - Приложение к № 8.

58. Щедрин, Н.В. Введение в правовую теорию мер безопасности : монография / Краснояр. гос. ун-т, 1999. 180 с.

59. Эрнст энд Янг. Международное исследование по вопросам информационной безопасности, 2003 // Internet URL http://www.ey.com/global/.

60. Яро^кин, В.И., Бузанова, Я.В. Аудит безопасности фирмы: теория и практика : учеб. пособие для вузов. М.: Академический Проект; Королев: Парадигма, 2005. - 352 с.

61. А.Т. Kearney and The Carnegie Endowment for International Peace. Measuring Globalization. FOREIGN POLICY Magazine Globalization Index TM. 2001 // Internet: http://www.foreignpolicy.com.

62. Global E-Government, 2003, Darrell M. West. Center for Public Policy, Brown University Providence, Rhode Island 02912-1977, United States. September, 2003 // Internet: http://www.InsidePolitics.org.

63. E. Rescorla HTTP Over TLS, RFC 2818, May 2000.

64. ISO/IEC' 13335-1: 2004-11-15 Information technology — Security Techniques Management of information and communications technology security

65. Part 1: Concepts and models for information and communications technology security management (1st edition).

66. ISO/TEC 27001:2005(E). Information technology — Security techniques — Information security management systems — Requirements.

67. John D. Howard An analysis of security incidents on the Internet 1989 -1995, Carnegie Mellon University 1998.

68. NetCraft Web Server Survey and Netcraft SSL Survey. Archive // Internet: http://www.netcraft.co.uk.

69. State and Federal E-Government the United States, 2001, Darrell M. West. Brown University Providence. Rhode Island 02912-1977, United States. // Internet: http://www.InsidePolitics.org.

70. T. Dierks, C. Allen The TLS Protocol Version 1.0, RFC 2246, January 1999.

71. The National Strategy to Secure Cyberspace, USA, February 2003, c. 9 // Internet: http://www.whitehouse.gov/pcipb/.

72. МОДЕЛЬ ВЕРОЯТНЫХ УГРОЗ СИСТЕМАМ ЗАЩИТЫ ИНФОРМАЦИИ1. САЙТОВ ОРАГОВ ВЛАСТИ

73. Модель вероятных угроз СЗИ сайтов это абстрактное (формализованное или неформализованное) описание всех возможных угроз СЗИ сайтов.

74. В целях построения Модели угроз необходимо провести анализ следующего взаимодействия: источник угрозы — фактор (действие, в результате которого будет реализована угроза) — угроза — объект защиты (его уязвимости) — последствия (риски).

75. Перечень основных видов источники угроз информационной безопасности.1. ТЕХНОГЕННЫЕ ИСТОЧНИКИ

76. Внешние стихийные источники: пожары; землетрясения; наводнения; ураганы; магнитные бури; различные непредвиденные обстоятельства; необъяснимые явления; другие форс-мажорные обстоятельства.1. АНТРОПОГЕННЫЕ ИСТОЧНИКИ

77. Внешние антропогенные источники: криминальные структуры; потенциальные преступники и хакеры; недобросовестные партнеры; технический персонал поставщиков телематических услуг; представители контролирующих организаций, аварийных служб, силовых структур.

78. Внутренние антропогенные источники: основной персонал; представители службы защиты информации; вспомогательный персонал; технический персонал.

79. В приводимых ниже таблицах 13-20 рассматриваются некоторые виды источников угроз.