Введение 3

Глава 1. Нормативно-правовая база в области защиты информации

1.1 Состояние нормативно-правовой базы 8

1.1.1 Закон "Об информации, информатизации и защите информации" 11

1.1.2 Закон "О государственной тайне" 21

1.1.3 "Перечень сведений конфиденциального характера" 23

1.1.4 Руководящий документ Гостехкомиссии России "Защита от несанкционированного доступа к информации" 25

1.1.5 ГОСТ 15408 "Стандартизация безопасности информационных технологий" 28

1.2 Ответственность за нарушения 38

Глава 2. Выявление недекларированных возможностей в программном обеспечении

2.1 Нормативно-методические требования Руководящего документа Гостехкомиссии "Защита от несанкционированного доступа к информации" 41

2.2 Обзор программных средств по выявлению недекларированных возможностей 49

2.3 Исследование возможностей использования инструментальных программных средств для выявления недекларированных возможностей 58

Глава 3. Разработка стенда и методики для проведения сертификационных испытаний программного обеспечения на отсутствие недекларированных возможностей 67

Заключение 88

Список источников и литературы 93

На сегодняшний день защита информации является не только проблемой государства. В связи с большим распространением персональных компьютеров, а так же очень большой популярностью всемирной сети Интернет, проблема защиты информации является актуальной и для рядовых пользователей. Многие из них не хотят, что бы какая-то их информация стала общедоступной. Естественно, что по украденной информации можно узнать многое о человеке, а это в свою очередь может отрицательно сказаться на его безопасности. Небольшой кусочек информации порой может рассказать довольно многое об его владельце или обладателе. Все это говорит о том, что личную информацию желательно защищать для того, что бы повысить безопасность своей личной жизни.

Недекларированные возможности в программном обеспечении – это одна из самых опасных сторон защиты информации. Здесь злоумышленник под видом нормального программного продукта (который, как правило, выполняет все свои задачи) внедряет пользователю такие возможности, которые позволят при определенных условиях уничтожить, блокировать, исказить или осуществить утечку информации. В последнем случае, как правило, пользователь даже и не догадывается о том, что произошла утечка информации.

Для защиты информации от утечки на сегодня существует масса различных средств. Сюда относятся: физическая защита помещения, в котором обрабатывается защищаемая информация; при работе с защищаемой информации в сети, можно использовать передачу зашифрованного трафика, межсетевые экраны; техническая защита помещений в которых обрабатывается защищаемая информация: генераторы шума различного типа, для защиты утечки информации по техническим каналам. Практически на все известные каналы утечки информации существует эффективная защита. Но, как показывает практика, система защиты информации должна охватывать все возможные на защищаемом объекте каналы утечки информации и только тогда ее можно считать эффективной.

Поскольку недекларированные возможности в программном обеспечении приводят к утечке, блокировке, искажению и утрате информации пользователя. Все эти действия являются нарушением существующего законодательства в области информации. Законодательное поле в этой области представлено в рассмотренных мною в дипломной работе законах приведенных ниже.

Данная тема на сегодня является достаточно актуальной в связи с тем, что наибольшая часть информации обрабатывается на компьютерах. Сейчас можно уже мало найти автономных рабочих мест, так как объединенные в локальную сеть компьютеры являются наиболее удобным средством для обработки информации. Очень часто локальная сеть имеет выход во всемирную сеть Интернет, а это является самым оптимальным для злоумышленника, что бы похищать информацию, либо давать какие-либо команды, находясь сколько угодно далеко от компьютера жертвы. Информация являющаяся конфиденциальной, а тем более имеющая гриф ГТ , охраняется законами Российской Федерации, которые в свою очередь предписывают обеспечение защиты данной информации в зависимости от грифа секретности соответствующими способами.

В рамках защиты подобного рода информации проводятся сертификационные испытания программного обеспечения на отсутствие недекларированных возможностей, по окончанию данных испытаний выдается сертификат Гостехкомиссии, который свидетельствует о не обнаружении незаявленных вредоносных способностях программы и дает ей право быть используемой на компьютере, на котором имеется конфиденциальная информация или информация с грифом ГТ.

В связи с изложенным, целью данной дипломной работы является анализ действующего нормативно-правового регулирования для обоснования необходимости сертификационных испытаний, анализ нормативно-правовой документации, использующейся для проведения данных сертификационных испытаний, а также разработать методику проведения данных испытаний. Исходя из поставленной цели дипломной работы следует решить следующие задачи:

1. рассмотреть нормативно-правовое регулирование с сфере использования информационных ресурсов в РФ;

2. рассмотреть нормативно-правовое регулирование в сфере проведения сертификационных испытаний;

3. оценить действенность и актуальность существующего нормативного регулирования, предписывающего проведение сертификационных испытаний и предъявляемых требований;

4. на основе полученных оценочных результатов разработать методику проведения сертификационных испытаний, учитывая выявленные недостатки.

Структура дипломной работы определена ее целями и задачами. Она включает в себя введение, три главы, заключение, список используемых источников и литературы.

Во введении обосновывается актуальность выбранной темы, определяется цель и задачи дипломной работы, излагается выбранная структура изложения материала, раскрывается содержание глав и приводится краткий обзор используемых источников и литературы.

В первой главе рассматривается нормативно-правовая база в области защиты информации, а именно то, что связано с нарушением прав пользователя программного обеспечения, имеющего недекларированные возможности. Подробно рассматриваются законы, руководящий документ, ГОСТ 15408, который в скором времени планирует заменить Руководящий документ Гостехкомиссии, а так же рассматривается ответственность, которая возникает при нарушениях подобного рода.

Во второй главе рассматривается проблема обнаружения недекларированных возможностей с помощью различных методов и средств, а так же обнаружение их в соответствии с Руководящим документом Гостехкомиссии. Ведется сравнение программных средств, так же данное сравнение отражено в виде таблицы. Проводится исследование для использования инструментальных средств для выявления недекларированных возможностей.

В третьей главе приводится разработанная методика с комментариями, основанная на Руководящем документе Гостехкомиссии. Данная методика была уже применена для сертификации программного продукта. Испытания были успешно завершены, а программный продукт получил сертификат Гостехкомиссии по третьему уровню. На данный уровень и подавалась заявка на сертификацию.

В заключении отражены общие итоги исследуемой темы. Отражены недостатки существующего Руководящего документа Гостехкомиссии.

При написании дипломной работы был использован ряд источников, в том числе:

1. Закон "О государственной тайне".

2. Уголовный кодекс Российской Федерации.

3. Федеральный закон "Об информации, информатизации и защите информации".

4. Указ Президента Российской Федерации "Об утверждении перечня сведений, отнесенных к государственной тайне".

5. Руководящий документ Гостехкомиссии России "Защита от несанкционированного доступа к информации".

6. ГОСТ 15408 "Стандартизация безопасности информационных технологий".

Полный список использованных источников и литературы приводится в конце работы.

Источники

1. Закон "О государственной тайне" (в ред. Федеральных законов от 06.10.1997 №131 – ФЗ, от 30.06.2003 №86 ФЗ, от 11.11.2003 № 153 – ФЗ изл., внесенными Постановлением Конституционного Суда РФ от 27.03.1996 №8-П, определениями Конституционного Суда РФ от 10.11.2002 №293-О, от 10.11.2002 № 314-О).

2. Закон РФ "Об авторском праве и смежных правах" (Закон РФ от 9 июля 1993 г. N 5351-I с изменениями от 19 июля 1995 г.)

3. Уголовный кодекс Российской Федерации. СЗ РФ. 1996.

4. Федеральный закон "Об информации, информатизации и защите информации" (от 25 января 19956 года, в ред. Федерального закона от 10.01.2003 №15-ФЗ).

5. Указ Президента Российской Федерации "Об подтверждении перечня сведений конфиденциального характера" (№188 от 6 марта 1997 года).

6. Указ Президента Российской Федерации "Об утверждении перечня сведений, отнесенных к государственной тайне" (в ред. Указов Президента РФ от 24.01.1998 №61, от 06.06.2001 №659, от 10.09.2001 №1114, от 29.05.2002 №518).

7. Руководящий документ Гостехкомиссии России "Защита от несанкционированного доступа к информации".

8. ГОСТ 15408 "Стандартизация безопасности информационных технологий".

9. "Программа и методика проведения сертификационных испытаний", ЗАО "НПП "БИТ", 2003.

Литература

10. "Анализ законотворчества в Российской Федерации в контексте права человека на информацию", Центр "Право и средства массовой информации", Выпуск 17 (http://www.medialaw.ru/publications/books/inf_right/1.html)

11. А. Щербаков "Разрушающие программные воздействия", 1993.

Примечаний нет.