<<
>>

3.2. Определение, классификация, формализованное описание подходов к выявлению источников угроз системам защиты информации сайтов органов власти Российской Федерации

Информационная безопасность становится важнейшей проблемой, определяющей темпы и будущее развитие информационного сообщества на платформе Интернет, как технического средства, обеспечивающего эффективный обмен и использование электронной информации для открытого («прозрачного») информирования населения о деятельности органов власти.

Однако рекламируемая иностранными государствами «прозрачность» сайтов органов власти РФ в связи с возможным вступлением России в ВТО является отчасти навязываемой стратегией в целях легкого получения стратегически важной для России информации об её экономической и иной государственной деятельности [25].

Ввиду сложности реальной и объективной оценки защищенности сайтов в пределах данной работы были использованы отдельные, наиболее представительные показатели защищенности сайтов органов власти СЗФО и проведен сравнительный анализ их защищенности с сайтами других хозяйствующих субъектов и уровнем защищенности сайтов и показателей иностранных государств.

Посредством интернет-технологий управляются многие бизнес-процессы, используется удаленное управление путём современных Интренет- коммуникаций и иных средств связи. Обеспечение функционирования удаленных сетевых магазинов посредством Интернет-коммерции, Интернет-банкинга [71], [34], а также деятельность правительственных структур в области всемирной паутины заставляют говорить о том, что Интернет становится критической информационной технологией, от работоспособности которой зависит национальная безопасность страны и стабильность экономической системы.

Состояние информационной безопасности в Интернете является одним из важных факторов, определяющих развитие электронного правительства, кото- рые рассматриваются как базовые составляющие информационного общества, переход к которому наблюдается в настоящее время в развитых странах. Следовательно, оцениваемый в работе уровень защищенности сайтов, характеризующий степень распространения безопасных информационных технологий на сайтах в Интернете, связан с показателями, отражающими продвижение стран мира к информационному обществу.

Решение вопросов относительно анализа и оценки защищенности сайтов сети Интернет позволяет говорить о стабильности и безопасности его функционирования [47]. Хосты в Интернете имеют средства защиты, в противном случае это привело бы к организационному и функциональному разрушению сетевой инфраструктуры. Также нельзя говорить об абсолютной защищенности, ввиду того, что Интернет представляет собой область, доступную для подключения всех желающих практически без ограничений. Не имея единого регламентирующего центра, Интернет контролируется некоторыми организациями, которые обеспечивают выполнение отдельных функций по контролю и наблюдению за сетью. В то же время частные и закрытые сети, как правило, включают в себя регламентированные механизмы контроля и управления [17].

Кроме того, в программном обеспечении сетевых платформ, в протоколах передачи данных априори существует большое количество уязвимостей, и не представляется вероятным, чтобы они могли быть ликвидированы в ближайшем будущем. Поэтому выходом из проблемы оценки защищенности может стать некий приемлемый уровень безопасности. Уровень в контексте оценки безопасности в Интернете может рассматриваться как приемлемый для пользователей, компаний, использующих Интернет-коммерцию, а также государственных организаций, обеспечивающих коммуникацию с контактной аудиторий посредством Интернет-технологий.

Основные подходы, принятые в пределах данной работы включают следующее:

1.

«Прозрачность» и «открытость» органов власти, которые необходимы для развития общества на базе их информатизации.

Информатизация сайтов органов власти без необходимого и достаточного обоснованного уровня их защищенности пагубна и наносит вред и ущерб России в целом и всех входящих в неё структур, в частности, СЗФО. '

Абсолютная защищенность недостижима, необоснованно требует огромных ресурсов и не нужна. Необходим конкурентоспособный, в сравнении с защищенностью других сайтов, уровень защищенности.

Работа по выявлению угроз СЗИ сайтов органов власти проводилась на базе исследования СЗИ сайтов органов власти СЗФО [32], по запросу Управления ФСТЭК России по СЗФО от 30 января 2007 №1/101. В связи со спецификой задачи предварительно была проведена классификация и формализованное описание подходов к выявлению источников угроз СЗИ сайтов органов власти. - На основании разработанных подходов были сформулированы принципы выявления источников угроз СЗИ сайтов органов власти.

Принципы выявления источников угроз СЗИ сайтов органов власти должны отвечать следующим требованиям:

В принципах выявления источников угроз СЗИ сайтов органов власти должны декларироваться научно-технические методы построения моделей, оценки актуального и объективного состояния эффективности СЗИ.

Принципы выявления источников угроз СЗИ сайтов органов власти должны обеспечивать следующие характеристики используемых методов: объективность, достоверность, точность результатов. Объективность исследования достигается использованием автоматизированных методов проведения исследования с использованием инструментальных средств, снижающих вероятность случайной ошибки. Точность и достоверность полученных результатов оценивается (по возможности) применением аппарата математической статистики и поддерживается инструментальными средствами.

Решение задачи разработки и научного обоснования анализа эффективности СЗИ сайтов органов власти РФ, определена как одна из приоритетных исследовательских задач в [12], [39], [26].

Эффективность СЗИ сайта определяется наличием:

реализованных механизмов идентификации и аутентификации пользователей для доступа к определенным страницам сайта;

протоколов SSL или TLS для защиты протокола HTTP.

СЗИ сайта, которая поддерживает один из анализируемых механизмов защиты, считается эффективной.

Анализ эффективности СЗИ сайтов органов власти осуществляется в 3

этапа.

Этап 1. Формулирование основных принципов. Проектирование системы сбора информации, необходимой для мониторинга.

Этап 2. Формирование области исследования. Обоснование инструментальных средств.

Этап 3. Сбор информации. Анализ результатов.

Первый этап анализа включает формулирование принципов исследования, исходя из конкретики поставленных задач и специфики исследуемой области.

На втором этапе проводится разработка инструментально-моделирующих комплексов, речь о которых пойдёт в 4 главе.

На третьем этапе осуществляется анализ результатов сканирования, формулирование выводов, проводятся корректировочные действия для дальнейшего исследования. Постановка задачи прогнозирования осуществляется после набора экспериментальных статистических данных исследований с использованием аппарата экстраполяции (линейной, экспоненциальной и гиперболической), которые отражают разные ожидаемые темпы роста уровня защищенности сайтов органов власти СЗФО.

' Данные этапы по сути являются реализацией «Цикла Деминга», «Цикл Шухарта», «PDCA цикла» или «PDSA цикла» - представленного в виде колеса PDCA (Plan-Do-Check-Act: Планируй-Сделай-Проверь-Действуй) процессного подхода в линейке стандартов информационной безопасности [76], [77].

<< | >>
Источник: Проценко Евгений Александрович. Модель и метод анализа эффективности систем защиты информации сайтов органов власти Российской Федерации: Диссертация на соискание учёной степени кандидата технических наук, Санкт-Петербург, 2008. 2008

Еще по теме 3.2. Определение, классификация, формализованное описание подходов к выявлению источников угроз системам защиты информации сайтов органов власти Российской Федерации:

  1. Введение МЕТОДОЛОГИЧЕСКИЙ ПОДХОД К ИССЛЕДОВАНИЮ ПОЛИТИКО-ПРАВОВОЙ СИСТЕМЫ ДРЕВНЕЙ РУСИ Древнерусское
  2. МЕТОДОЛОГИЧЕСКИЙ ПОДХОД К ИССЛЕДОВАНИЮ ПОЛИТИКО-ПРАВОВОЙ СИСТЕМЫ ДРЕВНЕЙ РУСИ
  3. Глава 1ИННОВАЦИОННАЯ СИСТЕМА: СУЩНОСТЬ, ОПРЕДЕЛЕНИЕ,КЛАССИФИКАЦИЯ
  4. Целью исследования является…
  5. 2.2. Безопасные информационные технологии и системы в деятельности органов власти Российской Федерации
  6. Практическое исследование современного состояния ИБ в органах власти предполагает проведение работ в областях определения, классификации и формализованного описания источников угроз СЗИ сайтов органов власти, определения методики построения модели угроз СЗИ сайтов органов власти, построения модели угроз СЗИ органов власти.
  7. 3.2. Определение, классификация, формализованное описание подходов к выявлению источников угроз системам защиты информации сайтов органов власти Российской Федерации
  8. В данной главе приведено описание разработанных ИМК для анализа эффективности СЗИ сайтов органов власти в соответствии с методикой, разработанной в главе 3.
  9. В данной главе представлены результаты исследования среди сайтов органов власти СЗФО, проведенного согласно методике, изложенной в третьей главе, и с помощью описанных в четвёртой главе ИМК. Полученные результаты позволили произвести анализ эффективности СЗИ сайтов органов власти СЗФО на момент исследования.
  10. ЗАКЛЮЧЕНИЕ
  11. 6. СПЕЦИАЛИЗАЦИЯ И УНИФИКАЦИЯ РОССИЙСКОГО ЗАКОНОДА-ТЕЛЬСТВА КАК ОСНОВНЫЕ ТЕНДЕНЦИИ ЕГО РАЗВИТИЯ
  12. 3.2 ПРЕДСТАВИТЕЛЬНАЯ ВЛАСТЬ
  13. § 7. Активная политика занятости в Российской Федерации и определение ее эффективности
  14. 7.1 Инвестиции: определение, классификация, экономическая сущность
  15. Глава 18. Конституционные акты Российской Федерации и Республики Башкортостан о правовом статусе республики
  16. 10.1 Понятие и классификация избирательных споров в Российской Федерации
  17. Список литературы
  18. Бюджетная классификация доходов и расходов.
  19. Бюджетная классификация Российской Федерации