ЗАКЛЮЧЕНИЕ
В данной работе проведен анализ эффективности СЗИ сайтов органов власти СЗФО. Методика исследования существенно отличается от распространенных методик, используемых в настоящее время, законностью используемых методов анализа.
Примененные методы исследования, разработанные, обобщенные и усовершенствованные в работе, находятся в рамках российского законодательства, т.к. не приводят к вторжению/нарушению работы сетей и отдельных ЭВМ. Все действия, выполненные в процессе анализа, не выходят за рамки действующего законодательства. Целью методов является поиск таких изъянов или недостатков в защите сайтов, которые позволяют «нарушителям» преодолеть СЗИ сайтов или получить критически важную информацию для последующего вторжения.Основные результаты и выводы, полученные в диссертации состоят в следующем:
разработана методика определения угроз, отличительной особенностью которой является совершенствование эффективных условий в структуре СЗИ сайтов органов власти. Главная цель методики состоит в создании методологической основы для реализации основных принципов государственной политики в области обеспечения ИБ;
создана модель угроз СЗИ сайтов органов власти, отличающаяся введением механизма саморазвития, суть которого в интеграции в ней таких блоков как источники угроз, определение целей угроз, способы реализации возможных угроз, оценка возможного ущерба от реализации угрозы;
сформулированы причины несоответствия применяемых методов защиты информации необходимой эффективности в сравнении с зарубежными аналогами и аналогами иных областей применения; выявлены причины этого несоответствия;
предложены научно обоснованные рекомендации, которые по сравнению с существующими, позволяют повысить эффективность традиционных и вновь разрабатываемых СЗИ сайтов органов власти;
разработаны инструментальные средства анализа эффективности СЗИ сайтов органов власти (ИМК «Навигатор сканирования» и ИМК «Сканирование угроз»);
проведена оценка более 1600 сайтов правительств федерального уровня и уровня штатов Америки, выявлены различия между правительствами обоих уровней на основе показателей, характеризующих степень того, как сайты правительств соответствуют потребностям граждан в доступе к необходимой им информации.
Оценка показала, что разные штаты Америки достаточно сильно различаются по общим характеристикам электронизации деятельности своих правительств;обобщены результаты исследования характеристик безопасности сайтов правительств федерального уровня и уровня штатов Америки, показавшие, что значительное продвижение в области информационного обеспечения и предоставления услуг происходило на фоне нерешенных проблем в области обеспечения секретности, безопасности, соблюдения и развития демократических принципов и развития интерактивиости;
проведён анализ различий использования ИТ в разных ветвях власти федерального правительства США, который выявил разную степень предоставления тех или иных возможностей ИТ между тремя ветвями власти - исполнительной, законодательной и судебной;
оценена роль таких важнейших элементов в области развития национальных экономик, как глобализация и прозрачность, для обеспечения эффективной ИБ. Проведенные оценки позволили придти к выводу о том, что тенденции роста влияния технологического фактора, информационных и коммуникационных технологии, стали доминирующим двигателем процесса глобализации;
предложена и обоснована рекомендация о необходимости скорейшего принятия Федерального Конституционного закона РФ «О безопасности РФ».
Конституционный закон должен привести в единую систему положения- нормативных правовых, актов и других федеральных документов в области обеспечения безопасности, а также устранить пробелы, повторы и противоречия, установить должную корреляцию между ними. - - По результатам исследования сформулированы следующие рекомендации, предназначенные для повышения эффективность систем защиты информации сайтов органов власти:
применение защищенных технологий для обеспечения безопасности информационного обмена между сайтом и компьютером пользователя; всестороннее' тестирование безопасности сайта профессиональной консалтинговой компанией, специализирующейся на предоставлении услуг вида «тестирование на проникновение»; использование двухфакторной аутентификации; при этом, как показало исследование, лучшая современная практика включает использование специального программно/аппаратного ключа - USB-токена, элемента touch-memory или ключевой дискеты;
адаптация международных стандартов в области информационной безопасности для российских участников информационных отношений;
идентификация информации, циркулирующей' в органе власти по следующим критериям: является ли информация ограниченного доступа или является открытой общедоступной информацией;
все применяемые методы и средства защиты необходимо реализовывать в соответствии с требованиями Руководящего документа Гостехкомиссии России.
Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.для предотвращения угроз от внешнего нарушителя целесообразно применять организационно-технические мероприятия по обслуживанию,линий связи, систему криптографической защиты, коды-аутентификации, имитационную защиту данных, электронную цифровую подпись, протокол двусторонней криптографической аутентификации, систему НСД, Fire Wall между элементами на сетевом уровне, систему разовых паролей для доступа к ресурсам (на прикладном уровне), уникальный криптографический сеанс (на сеансовом уровне).
в целях предотвращения опубликования на сайте органа власти информации ограниченного доступа, необходимо в обязательном порядке предварительно направлять её на экспертизу в Экспертную комиссию или Постоянно действующую техническую комиссию (ПДТК) органа власти.