Курсовая с практикой на тему Совершенствование системы информационной безопасности в гос управлении (на примере республики Крым)

Содержание:

ВВЕДЕНИЕ. 3

ГЛАВА1.
ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ГОСУДАРСТВЕННОГО УПРАВЛЕНИЯ.. 5

1.1 Информационная
безопасность как важнейший компонент национальной безопасности. 5

1.2 Понятие и
содержание информационного обеспечения безопасности органов государственного
управления. 10

1.3 Законодательство
и регулирование отрасли информационной безопасности в государственном
управлении. 22

ГЛАВА 2. ОЦЕНКА
ПОКАЗАТЕЛЕЙ СОСТОЯНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РЕСПУБЛИКЕ КРЫМ.. 28

2.1 Оценка состояния
и организация защиты от информационных угроз в органах государственного
управления в Республике Крым. 28

2.2 Анализ основных
проблем в системе информационной безопасности в структуре государственного
управления РК.. 40

ГЛАВА 3. ПЕРСПЕКТИВЫ РАЗВИТИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В ГОСУДАРСТВЕННОМ УПРАВЛЕНИИ.. 47

3.1 Использование технологии VPN для обеспечения передачи
данных. 47

3.2 Рекомендации по совершенствованию
информационно-аналитической деятельности по обеспечению информационной
безопасности в исполнительных органах власти. 49

ЗАКЛЮЧЕНИЕ. 53

СПИСОК ИСПОЛЬЗОВАННОЙ
ЛИТЕРАТУРЫ   56

Введение:

Общеизвестно, что введение компьютеров в различные
сферы деятельности человека привело к тому, что объемы хранимой в электронном
виде информации увеличились до объемов, которые трудно осознать. Эти процессы
были, вне всякого сомнения, оправданы, ведь в электронном виде информацию
хранить проще, большие объемы данных можно быстро копировать, переписывать,
передавать на большие расстояния. Однако есть в подключении компьютера к
глобальным сетям и отрицательные стороны – ведь при отсутствии должной степени
защиты ваша информация может пострадать от атак через сеть или Интернет.

Потеря коммерческой информации или ее раскрытие
злоумышленниками или конкурентами, скорее всего, приведет к убыткам на рынке.
Так, кража информации может понизить репутацию фирмы, а что касается подмены
информации, то она и вовсе может привести к разорению, не говоря уже о доверии
клиентов.

Но проблемы информационной безопасности ныне волнуют
не только предпринимателей. Каждый, кто хоть немного знаком с компьютером и
сетью интернет знает, насколько неприятно, когда твоя информация попадает в
чужие руки. И не важно, будь то письма электронной почты, которые вместо того
что бы отправляться одному адресату рассылают копии еще на несколько адресов,
или информация набираемая вами в текстовых редакторах. Потеря
конфиденциальности – серьезный психологический удар.

Интересно обратить внимание на следующую статистику,
отображающую то, какие же можно назвать первоочередные причины повреждения,
хищения или утраты информации:

— Вследствие неумышленных ошибок, сделанных самим
человеком – владельцев информации – 52 процента случаев;

— Вследствие умышленных действий – 10 процентов;

— Вследствие перегрева носителей и пожаров – 15
процентов;

— Вследствие повреждения водой, попавшей извне или
конденсата внутри – около 10 процентов случаев;

— Оставшиеся проценты – тем или иным образом связанные
с действиями злоумышленников в сети.

Все вышесказанное обуславливает актуальность темы
исследования.

Объект исследования – информационная безопасность.

Предмет исследования – информационная безопасность организаций
в сфере государственного управления.

Цель исследования – изучить особенности информационной
безопасности в сфере государственного управления.

Для достижения поставленной цели необходимо решение
следующих задач:

— рассмотреть информационную безопасность как
важнейший компонент национальной безопасности

— рассмотреть понятие и содержание информационного
обеспечения безопасности органов государственного управления — рассмотреть законодательство и регулирование отрасли
информационной безопасности в государственном управлении

— дать оценку состояния и организация защиты от
информационных угроз в органах государственного управления в Республике Крым

— провести анализ основных проблем в системе
информационной безопасности в структуре государственного управления РК

— рассмотреть возможности использование технологии VPN
для обеспечения передачи данных

— рассмотреть рекомендации по совершенствованию
информационно-аналитической деятельности по обеспечению информационной
безопасности в исполнительных органах власти

Структура работы представлена введением, тремя
главами, заключением и списком использованной литературы.

Заключение:

Согласно
Доктрине информационной безопасности РФ обеспечение информационной безопасности
Российской Федерации является ключевым фактором в обеспечении национальной
безопасности.

Информационная
безопасность — это не только защита информации от несанкционированного доступа.
Информационная безопасность — это в основном практика предотвращения
несанкционированного доступа, использования, раскрытия, нарушения, модификации,
проверки, записи или уничтожения информации. Информация может быть физической
или электронной. Таким образом, информационная безопасность охватывает
множество областей исследований, таких как криптография, мобильные вычисления,
кибернетическая экспертиза, социальные сети в Интернете и т.д.

В настоящее время многие
важнейшие интересы человека, общества и государства в значительной степени
определяются количественными и качественными характеристиками окружающей их
информационной сферы. Можно с полным основанием сказать, что информационная
безопасность — важнейший элемент национальной безопасности, проникший во все
другие виды безопасности.

Внедрение
ИТ в большинстве сфер деятельности государства, экономики и общества создает
множество возможностей для автоматизации процессов управления и повышения
эффективности и качества предоставляемых услуг. Одновременно внедрение
ИТ-решений в госсекторе подразумевает необходимость обеспечения безопасности
реализуемых услуг. По этой причине в учреждениях государственного управления внедряется
Система управления информационной безопасностью (СМИБ), цель которой —
обеспечить безопасность информационных ресурсов учреждения и обеспечить
бесперебойную реализацию миссии учреждения. СМИБ охватывает набор плановых и
организационных мероприятий и основана на управлении рисками информационных
угроз, которые могут иметь разрушительное влияние на функционирование
учреждения государственного управления. Таким образом, управление
информационной безопасностью в публичном управлении влияет на эффективность,
надежность и качество реализуемых публичных задач.

Gроанализировав
перечень угроз, был выявлен список наиболее вероятных и актуальных угроз для
безопасности информации органов государственного управления Республики Крым.
Можно сказать, что количество возможных угроз очень велико и разобщено, поэтому
своевременный процесс выявления возможных угроз представляется крайне
затруднительным. Такой обширный спектр возможных угроз и усложненный процесс
выявления может повлечь за собой существенный ущерб, в том числе экономический.

Методика
определения уровня защищенности и актуальности той или иной угрозы также
содержит определенные сложности. К одному показателю может подойти сразу
несколько значений, а может не подойти ни одного, что также создает сложности в
вычислениях. Актуальность угрозы также зависит от предпосылок, но неактуальные
угрозы также должны быть включены в список угроз, но с нулевым значением
вероятности, это предполагает произведение большого количества лишних расчетов
для угроз, не имеющих никаких предпосылок.

Также   вызывает сложности процесс определения показателя «опасность угрозы». Высокая,
средняя и низкая опасность определяется в соотношении масштаба последствий,
которые могут произойти при реализации той или иной угрозы. В соответствии с
действующей методикой определить значимость или незначительность негативных
последствий можно с помощью опроса экспертов. Анализ метода экспертной оценки,
в свою очередь, показал большое количество недостатков использования данного
метода. Данный метод отличается высоким уровнем субъективности оценки и
наличием человеческого фактора, который может стать причиной определения
степени опасности угрозы информационной безопасности, как низкой, с целью
сокращения списка актуальных угроз.

Действующая
методика привязана к субъектам персональных данных и к самим персональным
данным, что приводит к значительным сложностям в процессе разработки моделей
угроз для информационных систем без персональных данных.

В качестве основы построения системы
защиты информации при органах исполнительной власти были рассмотрены решения
VipNet.

Данный программный комплекс отвечает
всем предписаниям законодательства и может быть использован в различных сферах
жизни общества, а не только в федеральных органах исполнительной власти. Он
поможет не только сократить финансовые и временные затраты на передачу и
обработку документов, но и сделает данные процессы более простыми для освоения.
Программный комплекс является лишь первой ступенью, далее при усложнении
топологии сети, а также при компиляции различных сетей данный программный
комплекс будет развиваться.

Фрагмент текста работы:

ГЛАВА1. ТЕОРЕТИЧЕСКИЕ
ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ГОСУДАРСТВЕННОГО УПРАВЛЕНИЯ 1.1 Информационная
безопасность как важнейший компонент национальной безопасности Информационная безопасность — это не только защита
информации от несанкционированного доступа. Информационная безопасность — это в
основном практика предотвращения несанкционированного доступа, использования,
раскрытия, нарушения, модификации, проверки, записи или уничтожения информации.
Информация может быть физической или электронной. Таким образом, информационная
безопасность охватывает множество областей исследований, таких как
криптография, мобильные вычисления, кибернетическая экспертиза, социальные сети
в Интернете и т.д.

Согласно Доктрине информационной безопасности РФ
обеспечение информационной безопасности Российской Федерации является ключевым
фактором в обеспечении национальной безопасности. При этом одним из ведущих
направлений является совершенствование подготовки кадров и развитие образования
в области информационной безопасности [7]. Существующая система  образования в данной области ориентирована в
основном на подготовку специалистов, чья профессиональная деятельность будет
непосредственно связана с защитой информации. Для всех остальных категорий
специалистов, чьи профессиональные  или
личные интересы будут в той или иной мере связаны с информацией и ИКТ, система
обучения в области ИБ находится в стадии развития. Это усложняет решение
вопросов обеспечения защиты информации, требующих компетентности  каждого пользователя [13].

Из вышесказанного вытекает несоответствие значимости
ИБ в современном информационном обществе и уровня изучения ее основ в
процессе  обучения специалистов, чья
профессиональная деятельность не будет связана с защитой информации, но будет
требовать наличия знаний в данной области.

В Доктрине информационной безопасности Российской
Федерации под информационной безопасностью подразумевается состояние
защищенности национальных интересов в информационной сфере, определяемых
совокупностью сбалансированных интересов личности, общества и государства [7].

В учебной литературе обычно внимание «сосредоточено на
хранении, обработке и передаче информации вне зависимости от того, на каком
языке (русском или каком-либо ином) она закодирована, кто или что является ее
источником и какое психологическое воздействие она оказывает на людей» [2]. При
этом термин информационная безопасность понимается как в англоязычной
литературе: «защищенность информации и поддерживающей инфраструктуры от
случайных или преднамеренных воздействий естественного или искусственного
характера, которые могут нанести неприемлемый ущерб субъектам информационных
отношений, в том числе владельцам и пользователям информации и поддерживающей
инфраструктуры». Это определение берется как основное в учебных пособиях
Галатенко В. А. [2], Башлы П. Н. [1] и др.

А.Д. Урсул определяет информационную безопасность как
состояние защищенности основных сфер жизнедеятельности по отношению к опасным
информационным воздействиям [13].

Прохоров С. А. дает следующее определение:
безопасность информации – это состояние защищенности информации от различных
угроз [10].

А. А. Малюк рассматривает информационную безопасность
как такое состояние рассматриваемой системы, при котором она, с одной стороны,
способна противостоять дестабилизирующему воздействию внешних и внутренних
информационных угроз, а с другой – ее функционирование не создает информационных
угроз для элементов самой системы и внешней среды [8].

Е. Б. Белов и В. П. Лось определяют информационную
безопасность как способность государства, общества, личности: обеспечивать с
достаточной вероятностью достаточные и защищенные информационные ресурсы и
информационные потоки для поддержания своей жизнедеятельности и
жизнеспособности, устойчивого функционирования и развития; противостоять
информационным опасностям и угрозам, негативным информационным воздействиям на
индивидуальное и общественное сознание и психику людей, а также на компьютерные
сети и другие технические источники информации; вырабатывать личностные и
групповые навыки и умения безопасного поведения; поддерживать постоянную
готовность к адекватным мерам в информационном противоборстве, кем бы оно ни
было навязано [9].

Анализируя приведенные выше определения, можно прийти
к выводу, что словосочетание «информационная безопасность» в разных контекстах
имеет различный смысл. В связи с этим в процессе обучения может возникнуть
необходимость формулировать каждый раз новое понятие информационной
безопасности в зависимости изучаемого раздела учебного курса. Но подобное
решение не подходит для непрофильных специальностей, у которых на
изучение всей дисциплины отводится не более семестра. Более справедливо будет
вывести одно общее определение, объединяющее всю многогранность понятия ИБ [32].

Во время Первой мировой войны многоуровневая система
классификации была разработана с учетом секретности информации. С началом
Второй мировой войны было проведено формальное согласование системы
классификации. Алан Тьюринг был тем, кто успешно расшифровал Enigma Machine,
которую немцы использовали для шифрования данных о войне.

Программы информационной безопасности строятся вокруг
трех целей, широко известных как CIA — конфиденциальность, целостность,
доступность.

Конфиденциальность — означает, что информация не
раскрывается неуполномоченным лицам, организациям и процессам. Например, если
мы говорим, что у меня есть пароль для моей учетной записи Gmail, но кто-то
видел, когда я выполнял вход в учетную запись Gmail. В этом случае мой пароль
был скомпрометирован, а конфиденциальность была нарушена.

Целостность — означает сохранение точности и полноты
данных. Это означает, что данные нельзя редактировать несанкционированным
образом.

Доступность — означает, что информация должна быть
доступна при необходимости. Например, если нужно получить доступ к информации о
конкретном сотруднике, чтобы проверить, не превысил ли сотрудник количество
отпусков, в этом случае требуется сотрудничество различных групп организации,
таких как сетевые операции, операции по разработке, реагирование на инциденты и
управление политиками / изменениями.

Атака отказа в обслуживании — один из факторов,
который может затруднить доступность информации [17].

Кроме того, существует еще один принцип, регулирующий
программы информационной безопасности. Это не отказ от авторства.

Отсутствие отказа от авторства — означает, что одна
сторона не может отрицать получение сообщения или транзакции, а другая сторона
не может отказать в отправке сообщения или транзакции. Например, в криптографии
достаточно показать, что сообщение соответствует цифровой подписи, подписанной
частным ключом отправителя, и что отправитель мог отправить сообщение, и никто
другой не мог изменить его при передаче. Целостность и подлинность данных
являются предварительными условиями для предотвращения отказа от авторства.

Аутентичность — означает проверку того, что
пользователи являются тем, кем они являются, и что каждый ввод, поступающий в
пункт назначения, поступает из надежного источника. При соблюдении этого
принципа гарантируется правильное и подлинное сообщение, полученное из
надежного источника посредством действительной передачи. Например, если взять
приведенный выше пример, отправитель отправляет сообщение вместе с цифровой
подписью, которая была сгенерирована с использованием хеш-значения сообщения и
закрытого ключа. Теперь на стороне получателя эта цифровая подпись дешифруется
с использованием открытого ключа, генерирующего хеш-значение, и сообщение снова
хэшируется для генерации хеш-значения. Если 2 значения совпадают, то это
называется действительной передачей с подлинным или мы говорим подлинное
сообщение, полученное на стороне получателя [15].

Подотчетность — означает, что должна существовать
возможность отслеживать действия объекта уникально для этого объекта. Например,
как мы обсуждали в разделе «Целостность», не каждому сотруднику должно быть
разрешено вносить изменения в данные других сотрудников. Для этого в
организации есть отдельный отдел, который отвечает за внесение таких изменений,
и когда они получат запрос на изменение, то это письмо должно быть подписано
вышестоящим органом, например, директором колледжа и лицом, которому назначено
это изменение. действительно изменяются после проверки его биометрических
показателей, таким образом, метка времени с данными пользователя (вносящего
изменения) записывается. Таким образом, мы можем сказать, что если изменение
пойдет таким образом, то можно будет отслеживать действия однозначно для
объекта.

В основе информационной безопасности лежит обеспечение
информации, что означает действие по поддержанию информации, гарантируя, что
информация никоим образом не будет скомпрометирована при возникновении
критических проблем. Эти проблемы не ограничиваются стихийными бедствиями,
неисправностями компьютеров / серверов и т.д.

Таким образом, в последние годы область информационной
безопасности значительно выросла и эволюционировала. Он предлагает множество
областей для специализации, включая защиту сетей и смежной инфраструктуры,
защиту приложений и баз данных, тестирование безопасности, аудит информационных
систем, планирование непрерывности бизнеса и т.д.