Анализ угроз и разработка предложений по обеспечению безопасности российской федерации в области развития отечественной индустрии инфор

Министерство образования  и науки Российской Федерации

Федеральное государственное  бюджетное образовательное учреждение высшего профессионального образования 

ПЕНЗЕНСКИЙ ГОСУДАРСТВЕННЫЙ  УНИВЕРСИТЕТ

Кафедра «Информационная безопасность систем и технологий»

УДК 004.056  

ОТЧЕТ

О КУРСОВОЙ РАБОТЕ

по дисциплине «Основы  информационной безопасности»

Анализ особенностей обеспечения информационной безопасности

Российской Федерации  в различных сферах общественной жизни

по теме:

АНАЛИЗ УГРОЗ И РАЗРАБОТКА ПРЕДЛОЖЕНИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ РАЗВИТИЯ ОТЕЧЕСТВЕННОЙ ИНДУСТРИИ ИНФОРМАЦИИ, ВКЛЮЧАЯ ИНДУСТРИЮ СРЕДСТВ ИНФОРМАТИЗАЦИИ , ТЕЛЕКОММУНИКАЦИИ И СВЯЗИ , ОБЕСПЕЧЕНИЯ ПОТРЕБНОСТЕЙ ВНУТРЕННЕГО РЫНКА В ЕЕ ПРОДУКЦИИ  И ВЫХОДУ  ЭТОЙ ПРОДУКЦИИ  НА МИРОВОЙ РЫНОК, А ТАКЖЕ  ОБЕСПЕЧЕНИЯ НАКОПЛЕНИЯ, СОХРАННОСТИ И ЭФФЕКТИВНОГО ИСПОЛЬЗОВАНИЯ  ОТЕЧЕСТВЕННЫХ ИНФОРМАЦИОННЫХ РЕСУРСОВ

Руководитель работы

 ассистент кафедры  ИБСТ                                                              А. Ю. Щербакова

Выполнил

студент группы 11ПТ1                                                                    Д. А. Коробов

Пенза 2013

РЕФЕРАТ

Отчёт 34 с.,  16 табл., 1 рис., 2 источника.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, ИСТОЧНИК УГРОЗЫ, НАПАДЕНИЕ, УГРОЗА,  УЯЗВИМОСТЬ

Объектом  исследования являются угрозы информационной безопасности Российской Федерации  в области развития отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечения потребностей внутреннего рынка в ее продукции и выходу  этой продукции на мировой рынок, а также обеспечения накопления, сохранности и эффективного использования отечественных информационных ресурсов.

Цель  работы – закрепление и углубление знаний по основам информационной безопасности, выработка практических навыков деятельности специалиста по защите информации, связанных с оценкой защищенности проектируемых и действующих информационных систем на современном научно-техническом уровне в соответствии с требованиями действующих международных и национальных стандартов, овладение современными методами и средствами разработки и оценки моделей и политик безопасности.

Методом проведения работы является анализ угроз информационной безопасности Российской Федерации  на основании  документа: «Доктрина информационной безопасности Российской Федерации».

В результате работы углублены и  закреплены знания по  основам информационной безопасности, были идентифицированы угрозы, источники угроз, объекты обеспечения и меры обеспечения ИБ РФ, были разработаны матрицы отношений элементов модели ИБ РФ, была произведена оценка рисков реализации угроз ИБ РФ, было разработано полное описание угроз на основе модели ГОСТ Р ИСО/МЭК 15408.

ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ

В настоящем отчете применяются следующие обозначения и сокращения:

РФ – Российская Федерация

ИБ — информационная безопасность

ВВЕДЕНИЕ

Данная курсовая работа была выполнена  на основе «Доктрины информационной безопасности Российской Федерации», которая представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения ИБ РФ. Роль информационной сферы в жизни общества растет с каждым годом. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Она оказывает влияние на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации.  Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности в различных областях, и в ходе технического прогресса эта зависимость будет возрастать.

Поэтому необходимо выявить все  возможные угрозы информационной безопасности Российской Федерации, их источники, а  также их последствия для предотвращения нанесения непоправимого ущерба различным объектам Российской Федерации.

В данной курсовой работе проводится анализ угроз информационной безопасности  на основании Доктрины информационной безопасности Российской Федерации и составляется полное описание угроз на основе модели ГОСТ Р ИСО/МЭК 15408.

1 Идентификация угроз, источников угроз, уязвимостей, объектов обеспечения и мер обеспечения информационной безопасности в области развития отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечения потребностей внутреннего  рынка в ее продукции  и выходу этой продукции  на мировой рынок, а также обеспечения накопления, сохранности  и эффективного  использования отечественных информационных ресурсов

Под информационной безопасностью  Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества. На основе национальных интересов Российской Федерации в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности.  Составляющей национальных интересов Российской Федерации являются интересы в сфере развития современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечения потребностей внутреннего рынка ее продукцией и выхода этой продукции на мировой рынок, а также обеспечения накопления, сохранности и эффективного использования отечественных информационных ресурсов. В современных условиях только на этой основе можно решать проблемы создания наукоемких технологий, технологического перевооружения промышленности, приумножения достижений отечественной науки и техники. Россия должна занять достойное место среди мировых лидеров микроэлектронной и компьютерной промышленности.

Для достижения этого требуется:

• развивать и совершенствовать инфраструктуру единого информационного пространства Российской Федерации;
• развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов;
• развивать производство в Российской Федерации конкурентоспособных средств и систем информатизации, телекоммуникации и связи, расширять участие России в международной кооперации производителей этих средств и систем;
• обеспечить государственную поддержку отечественных фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи.

Развитие отечественной индустрии  информации напрямую зависит от средств  информатизации, средств телекоммуникаций и связи, от продвижения отечественной  продукции на рынке (в том числе  и на мировом рынке), а так же от сохранности и эффективного использования отечественных информационных ресурсов .

На основании этого выявлены объекты обеспечения информационной безопасности в области развития отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечения потребностей внутреннего  рынка в ее продукции  и выходу этой продукции  на мировой рынок, а также обеспечения накопления, сохранности  и эффективного  использования отечественных информационных ресурсов, представленные в таблице 1.

Таблица 1 —  Множество  объектов обеспечения ИБ в области развития отечественной индустрии информации

Угрозы в области развития отечественной  индустрии информации, включая индустрию  средств информатизации, телекоммуникации и связи, обеспечения потребностей внутреннего  рынка в ее продукции  и выходу этой продукции  на мировой рынок, а также обеспечения накопления, сохранности  и эффективного  использования отечественных информационных ресурсов в доктрине информационной безопасности Российской Федерации определены как:

• противодействие доступу Российской Федерации к новейшим информационным технологиям, взаимовыгодному и равноправному участию российских производителей в мировом разделении труда в индустрии информационных услуг, средств информатизации, телекоммуникации и связи, информационных продуктов, а также создание условий для усиления технологической зависимости России в области современных информационных технологий;
• закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам;
• вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи;
• увеличение оттока за рубеж специалистов и правообладателей интеллектуальной собственности.

Согласно закону РФ «О безопасности»  угроза безопасности - это совокупность условий и факторов, создающих  опасность жизненно важным интересам  личности, общества и государства. В ГОСТ Р ИСО/МЭК 13335-1 угрозой называется потенциальная причина инцидента, который может нанести ущерб системе или организации. В соответствии с этими определениями выделены угрозы в области развития отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечения потребностей внутреннего  рынка в ее продукции  и выходу этой продукции  на мировой рынок, а также обеспечения накопления, сохранности  и эффективного  использования отечественных информационных ресурсов, представленные в таблице 2.

Таблица 2 — Множество угроз  ИБ в области развития отечественной индустрии информации

В доктрине информационной безопасности Российской Федерации выделены следующие  источники угроз, которые подразделяются на внешние и внутренние.

К внешним источникам относятся:

• обострение международной конкуренции за обладание информационными технологиями и ресурсами;
• увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;
• деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;
• разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.
• деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере;
• стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;

К внутренним источникам относятся:

• критическое состояние отечественных отраслей промышленности;
• недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;
• отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.
• недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации по формированию и реализации единой государственной политики в области обеспечения информационной безопасности Российской Федерации;
• недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;
• неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России;
• недостаточное финансирование мероприятий по обеспечению информационной безопасности Российской Федерации;
• недостаточная экономическая  мощь государства;
• снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;

На основании Доктрины ИБ РФ можно  выделить следующие объекты обеспечения ИБ РФ в области развития отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечения потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечения накопления, сохранности и эффективного использования отечественных информационных ресурсов.

Для выявленных  угроз выделены  их возможные источники, представленные в таблице 3

Таблица 3 —Источники угроз в области  развития отечественной индустрии информации

На основании Доктрины ИБ РФ можно  выделить следующие нападения в  области развития отечественной  индустрии информации, включая индустрию  средств информатизации, телекоммуникации и связи, обеспечения потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечения накопления, сохранности и эффективного использования отечественных информационных ресурсов.

Нападения представлены в таблице 4.

Таблица 4 —Методы нападений в  области развития отечественной индустрии информации

Уязвимость – это слабость одного или нескольких активов, которая  может быть использована одной или несколькими угрозами. На основании Доктрины ИБ РФ можно выделить уязвимости.

 Уязвимости представлены в таблице 5.

Таблица 5 —Уязвимости в области  развития отечественной индустрии информации

В Доктрине информационной безопасности Российской Федерации выделены задачи, которые нужно выполнить, чтобы  обеспечить информационную безопасность Российской Федерации.

Сложившееся положение дел в  области обеспечения информационной безопасности Российской Федерации  требует безотлагательного решения  таких задач, как:

• разработка основных направлений государственной политики в области обеспечения информационной безопасности Российской Федерации, а также мероприятий и механизмов, связанных с реализацией этой политики;
• развитие и совершенствование системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам;
• разработка федеральных целевых программ обеспечения информационной безопасности Российской Федерации;
• разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации, а также сертификации этих систем и средств;
• совершенствование нормативной правовой базы обеспечения информационной безопасности Российской Федерации, включая механизмы реализации прав граждан на получение информации и доступ к ней, формы и способы реализации правовых норм, касающихся взаимодействия государства со средствами массовой информации;
• установление ответственности должностных лиц федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, юридических лиц и граждан за соблюдение требований информационной безопасности;
• координация деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, предприятий, учреждений и организаций независимо от формы собственности в области обеспечения информационной безопасности Российской Федерации;
• развитие научно-практических основ обеспечения информационной безопасности Российской Федерации с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения информационного оружия;;
• разработка методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;
• обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность, и в первую очередь в области создания специализированной вычислительной техники для образцов вооружения и военной техники;
• разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, и прежде всего используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами;
• развитие и совершенствование государственной системы защиты информации и системы защиты государственной тайны;
• создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;
• расширение взаимодействия с международными и зарубежными органами и организациями при решении научно-технических и правовых вопросов обеспечения безопасности информации, передаваемой с помощью международных телекоммуникационных систем и систем связи;
• обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем;
• создание единой системы подготовки кадров в области информационной безопасности и информационных технологий.

В доктрине информационной безопасности Российской Федерации описаны общие  методы обеспечения информационной безопасности Российской Федерации:

Общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические. К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации. Наиболее важными направлениями этой деятельности являются:

• внесение изменений и дополнений в законодательство Российской Федерации, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности Российской Федерации, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодательными актами и законодательными актами субъектов Российской Федерации, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности Российской Федерации;
• законодательное разграничение полномочий в области обеспечения информационной безопасности Российской Федерации между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;
• разработка и принятие нормативных правовых актов Российской Федерации, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;
• сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
• совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;
• контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации;
• Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя:
• разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;
• уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России;
• законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;
• определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций;
• создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности.

Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:

• создание и совершенствование системы обеспечения информационной безопасности Российской Федерации;
• усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;
• совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

На основании Доктрины информационной безопасности выявлены меры и методы по обеспечению информационной безопасности, которые могут предотвратить появление угроз в области развития отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечения потребностей внутреннего  рынка в ее продукции  и выходу этой продукции  на мировой рынок, а также обеспечения накопления, сохранности  и эффективного  использования отечественных информационных ресурсов, представленные в таблице 6.

Таблица 6 — Меры по обеспечению  информационной безопасности Российской Федерации в области развития отечественной индустрии информации

Продолжение таблицы 6

2 Определение отношений элементов модели информационной безопасности в области развития отечественной индустрии информации

2.1 Определение отношений между угрозами и источниками угроз в области развития отечественной индустрии информации

На данном этапе работы необходимо экспертным методом установить отношения  между следующими видами элементов  :

• «источники угроз» - «угрозы», то есть установлено, какой источник какие угрозы инициирует;
• «угрозы» - «нападения», то есть установлено, какая угроза через какие нападения реализуется;
• «нападения» - «уязвимости», то есть, установлено какое нападение какие уязвимости использует;
• «уязвимости» - «объекты защиты», то есть установлено, какая уязвимость какому объекту принадлежит;
• «меры обеспечения ИБ» - «угрозы», то есть установлено, какие защитные меры какой угрозе противостоят.

Установлены связи угроз и источники угроз:

• угроза вытеснения отечественной продукции на отечественном и/или мировом рынке, в отдельных его секторах обусловлена влиянием зарубежных политических, экономических и информационных структур;
• угроза утечки, потери или нерационального использования информационных ресурсов обусловлена влиянием отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, а так же органами государственной власти РФ;
• угроза оттока высококвалифицированных специалистов за рубеж может быть осуществлена под влиянием иностранных государств.

Матрица отношений между угрозами и их источниками приведена в  таблице 7, связь между элементами в таблице отмечены «1», а ее отсутствие «0».

Таблица 7 — Матрица соотношений  «источники угроз» - «угрозы» в области  развития отечественной индустрии информации