авторефераты диссертаций БЕСПЛАТНАЯ БИБЛИОТЕКА РОССИИ

КОНФЕРЕНЦИИ, КНИГИ, ПОСОБИЯ, НАУЧНЫЕ ИЗДАНИЯ

<< ГЛАВНАЯ
АГРОИНЖЕНЕРИЯ
АСТРОНОМИЯ
БЕЗОПАСНОСТЬ
БИОЛОГИЯ
ЗЕМЛЯ
ИНФОРМАТИКА
ИСКУССТВОВЕДЕНИЕ
ИСТОРИЯ
КУЛЬТУРОЛОГИЯ
МАШИНОСТРОЕНИЕ
МЕДИЦИНА
МЕТАЛЛУРГИЯ
МЕХАНИКА
ПЕДАГОГИКА
ПОЛИТИКА
ПРИБОРОСТРОЕНИЕ
ПРОДОВОЛЬСТВИЕ
ПСИХОЛОГИЯ
РАДИОТЕХНИКА
СЕЛЬСКОЕ ХОЗЯЙСТВО
СОЦИОЛОГИЯ
СТРОИТЕЛЬСТВО
ТЕХНИЧЕСКИЕ НАУКИ
ТРАНСПОРТ
ФАРМАЦЕВТИКА
ФИЗИКА
ФИЗИОЛОГИЯ
ФИЛОЛОГИЯ
ФИЛОСОФИЯ
ХИМИЯ
ЭКОНОМИКА
ЭЛЕКТРОТЕХНИКА
ЭНЕРГЕТИКА
ЮРИСПРУДЕНЦИЯ
ЯЗЫКОЗНАНИЕ
РАЗНОЕ
КОНТАКТЫ


Pages:     | 1 | 2 ||

«НОВИНКИ НАУЧНОЙ ЛИТЕРАТУРЫ (выбор редакции) Вышла в свет монография «Высокие технологии в США: Опыт министерства обороны и ...»

-- [ Страница 3 ] --

зарубежного. Это легко можно объяснить нали - подавляющее большинство уязвимостей чием сертифицированных систем менеджмента было выявлено только в случае предоставления информационной безопасности (СМИБ) на зару исходных кодов;

бежных предприятиях.

Рис. 4. Продукты с открытым кодом тоже содержат уязвимости Опыт выявления уязвимостей в зарубежных программных продуктах системах) аудит безопасности ПО «добровольно - большинство уязвимостей зафиксировано на принудительный».

уровне прикладных приложений (а не средств за щиты информации);

При сертификации критических систем в обя - количество найденных уязвимостей, не иден- зательном порядке проводится тестирование на тифицированных как преднамеренные, зависит проникновение (включая аудит безопасности от существующей в организации системы менед- кода). При сертификации средств защиты вве жмента информационной безопасности (жизнен- дено обязательное тестирование на проникно ного цикла безопасного производства программ). вение, а также проведена трансформация мето Состояние проблемы в зарубежных странах дологии испытаний от показателей «качества»

Так как наличие программных уязвимостей к показателям «безопасности». В последнем является основой реализации современных ки- случае, можно отметить консолидацию евро бератак, то интересно познакомиться с зарубеж- пейских стран по изменению процедуры серти ным опытом в области кибербезопасности. Так, фикационных испытаний. Например, сертифика например, США в настоящее время активизиру- ция в Франции – CSPN, которая заметно проще ется внимание к активным методам информа- в вопросах оценки доверия, но отличительной ционного противоборства. Можно отметить ряд особенностью которой является обязательное тенденций: тестирование на проникновение [12].

1. В области ИБ в США очевиден упор на выяв Заключение ление и эксплуатацию уязвимостей. АНБ в насто ящее время демонстрирует привлечение «хакер- Можно выделить стратегические задачи, каса ских» технологий», например, ведет несколько ющиеся снижения угроз, связанных с наличием десятков крупномасштабных проектов, включая уязвимостей в импортном ПО:

создание датацентров АНБ, центров обучения по - повышение контроля защищенности систем, кибербезопасности, привлечение хакеров на ра- путем внедрения технологий анализа защищён боту в АНБ [5-7]. ности, в первую очередь, тестирования на про 2. США традиционно ведет политику «черных никновение;

списков» для зарубежных разработчиков ПО. В - повышение контроля безопасности про настоящее время в США озабочены противодей- граммной продукции, путем внедрения техноло ствием китайским технологиям в военном секто- гий аудита безопасности кода;

ре [8]. В стране имеется демонстративная система - разработка технологий функционирования поставщиков в DoD. систем в условиях наличия угроз, связанных с ис 3. Программное обеспечение в государствен- пользованием недоверенной программной про ных структурах подлежит в обязательном поряд- дукции.

ке проверкам исходного кода, по результатам Решение указанных задач затрагивает вопросы которого предусмотрено внедрение методов совершенствования нормативно-правовой базы, противодействия недоверенному ПО [9-11]. В аккредитации и обучения, развития информаци ряде других сфер (например, во всех платежных онно-технического обеспечения испытаний и др.

Литература 1. Марков А.С., Цирлов В.Л. Сертификация программ: мифы и реальность // Открытые систе мы. СУБД. 2011. № 6. С. 26-29.

2. Марков А.С., Цирлов В.Л., Барабанов А.В. Методы оценки несоответствия средств защиты инфор мации. М.: Радио и связь, 2012. 192 с.

3. Марков А.С., Фадин А.А. Статический сигнатурный анализ безопасности программ // Программная инженерия и информационная безопасность. 2013. №1(1). С.50-56.

4. Барабанов А.В., Марков А.С., Фадин А.А. Сертификация программ без исходных текстов // Откры тые системы. СУБД. 2011. № 4. С. 38-41.

5. Department of Defense Fiscal Year (FY) 2014 President’s Budget Submission. US Department of the Army, 2013. 679 p.

Организационно-технические меры 6. Department of Defense Fiscal Year (FY) 2014 President’s Budget Submission. DARPA. 2013. 318 p.

7. Cowley S. NSA wants to hire hackers // CNN Money. 2012/07/27, pp 1-1.

8. Investigative Report on the U.S. National Security Issues Posed by Chinese Telecommunications Companies Huawei and ZTE, U.S. House of Representatives, 2012 60 p.

9. Improvements in assurance of computer software procured by the Department of Defense // National Defense Authorization Act for Fiscal Year 2013. Sec. 933. P.253, 254.

10. FIPS PUB 200. Minimum Security Requirements for Federal Information and Information Systems. NIST 2006. 17 p.

11. NIST Special Publication 800-53. Security and Privacy Controls for Federal Information Systems and Organizations. 2013. Revision 4. P. 457.

12. First level security certification for information technologies (CSPN) // ANSSI-CSPN-CER-P.01.1EN. 2011. 11 p.

References 1. Markov A.S., Tsirlov V.L. Sertifikatsiya programm: mify i realnost, (Certification programs: myths and reality), Otkrytyye sistemy. SUBD, 2011, No 6, pp. 26-29.

2. Markov A.S., Tsirlov V.L., Barabanov A.V. Metody otsenki nesootvetstviya sredstv zashchity informatsii, Moscow, Radio i Svyaz, 2012, pp. 1-192.

3. Markov A.S., Fadin A.A. Staticheskiy signaturnyy analiz bezopasnosti program, (Static signature-based security analysis program), Programmnaya inzheneriya i informatsionnaya bezopasnost, 2013, No 1(1), pp. 50-56.

4. Barabanov A.V., Markov A.S., Fadin A.A. Sertifikatsiya programm bez iskhodnykh tekstov, (Certification programs without source), Otkrytyye sistemy. SUBD, 2011, No 4, pp. 38-41.

5. Department of Defense Fiscal Year (FY) 2014 President’s Budget Submission. US Department of the Army, 2013. 679 p.

6. Department of Defense Fiscal Year (FY) 2014 President’s Budget Submission. DARPA. 2013. 318 p.

7. Cowley S. NSA wants to hire hackers // CNN Money. 2012/07/27, pp 1-1.

8. Investigative Report on the U.S. National Security Issues Posed by Chinese Telecommunications Companies Huawei and ZTE, U.S. House of Representatives, 2012 60 p.

9. Improvements in assurance of computer software procured by the Department of Defense // National Defense Authorization Act for Fiscal Year 2013. Sec. 933. P.253, 254.

10. FIPS PUB 200. Minimum Security Requirements for Federal Information and Information Systems. NIST 2006. 17 p.

11. NIST Special Publication 800-53. Security and Privacy Controls for Federal Information Systems and Organizations. 2013. Revision 4. P. 457.

12. First level security certification for information technologies (CSPN) // ANSSI-CSPN-CER-P.01.1EN. 2011. 11 p.

ЛИЦЕНЗИРОВАНИЕ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ Шахалов Игорь Юрьевич В статье проводится анализ и сравнение лицензионных требований для получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации, которые были до февраля 2012 года и на сегодняшний день. Автор объясняет особенности подготовки заявочного комплекта документов и указывает на ряд особенностей, которые на первый взгляд, не видны соискателю лицензии.

Ключевые слова: лицензирование, техническая защита конфиденциальной информации, ФСТЭК России, ТЗКИ LICENSING IN INFORMATION SECURITY Igor Shahalov The new requirements for obtaining the FSTEC Russia license for confidential information technical security are analyzed.

The features of preparation and pitfalls of application documents are explained.

Keywords: licensing, confidential information technical security, FSTEC Russia Актуальность. С принятием этих нормативно-правовых актов Любое государство не просто имеет право, но кардинально изменился подход к лицензирова и обязано (если хочет остаться независимым госу- нию деятельности в области информационной дарством) обеспечить безопасность информации, безопасности – вместо одного вида деятельности влияющей на утрату интересов или безопасность появился целый ряд видов работ и услуг, для за государства [2,3]. нятия которыми требуется лицензия. Сами лицен Для этого необходимо разработать и внедрить зии стали бессрочными, правда, при этом ужесто систему защиты информации ограниченного рас- чились условия, необходимые для проведения пространения на государственном уровне. Важ- проверок лицензиатов.

ной частью такой системы является процесс вы- Существенно изменился и набор лицензион дачи специального разрешения на осуществле- ных требований к соискателю лицензии. Стало, ние деятельности по защите информации, то есть с одной стороны, проще, а с другой сложнее – лицензирование [1,5-8]. При этом, как правило, су- теперь соискателю лицензии или лицензиату ществует разграничение на защиту информации, (при продлении лицензии) надо научиться пра составляющей гостайну и информации, носящей вильно выбрать необходимый для осуществле конфиденциальный характер. В настоящей статье ния деятельности набор видов работ и услуг, а, будут рассмотрены вопросы лицензирования де- следовательно, от этого зависит и объем подго ятельности по технической защите конфиденци- товительных мероприятий по выполнению ли альной информации (ТЗКИ). цензионных требований.

В Российской Федерации перечень лицензируе- Среди 49 видов деятельности, указанных в мых видов деятельности установлен федеральным 99-ФЗ, есть несколько, относящихся к вопро законом от 4 мая 2011 года N 99-ФЗ «О лицензиро- сам защиты конфиденциальной информации, вании отдельных видов деятельности». Он пришел в том числе есть и такой вид деятельности, как на смену действующему ранее одноименному фе- «деятельность по технической защите конфи деральному закону N 128-ФЗ от 8 августа 2001 года. денциальной информации» (ТКЗИ). Конкретно Постановления правительства, регламентирую- этот вид деятельности интересен тем, что он щие выполнение 99-ФЗ в области защиты инфор- наиболее распространен в современных ус мации были приняты в первой половине 2012 года. ловиях. Защита персональных данных [8], ком Оценка соответствия и лицензирование Таблица Виды работ и услуг № Вид работ и услуг Уточнение и разделение п/п 1 а) контроль защищенности конфиденциальной информации от утечки по средствах и системах информатизации;

техническим каналам в: технических средствах (системах), не обрабатывающих кон фиденциальную информацию, но размещенных в помещениях, где она обрабатывается;

помещениях со средствами (системами), подлежащими за щите;

помещениях, предназначенных для ведения конфиденциаль ных переговоров (далее - защищаемые помещения);

2 б) контроль защищенности конфиденциальной информации от несанкциониро- Отсутствуют ванного доступа и ее модификации в средствах и системах информатизации;

3 в) сертификационные испытания на соответствие требованиям по безопасно- Отсутствуют сти информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных техни ческих средств обработки информации, технических средств контроля эффек тивности мер защиты информации, прог раммных (программно-технических) средств защиты информации, защищенных программных (программно-тех нических) средств обработки информации, программных (программно-техни ческих) средств контроля защищенности информации);

4 г) аттестационные испытания и аттестация на соответствие требованиям по средств и систем информатизации;

защите информации: помещений со средствами (системами) информатизации, подлежащими защите;

защищаемых помещений;

5 д) проектирование в защищенном исполнении: средств и систем информатизации;

помещений со средствами (системами) информатизации, подлежащими защите;

защищаемых помещений;

6 е) установка, монтаж, испытания, ремонт средств защиты информации технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации мерческой тайны и других «служебных» тайн1 зии на ТЗКИ во ФСТЭК России подразумевает подразумевают под собой, в первую очередь, только рассмотрение представленного соис техническую защиту информации. Положение кателем комплекта документов. Выезд сотруд о лицензировании деятельности по ТЗКИ было ников ФСТЭК России к соискателю в 79-ПП не введено в действие постановлением Прави- предусмотрен.

тельства Российской Федерации N 79 от 3 фев- Актуальность данной статьи в этом и заклю раля 2012 года. чается – автор постарался показать, что именно Сотни предприятий и организаций, получив- изменилось с момента получения предыдущей ших лицензии на деятельность по ТЗКИ раньше, лицензии, до февраля 2012 года и как правильно до вступления в силу указанных выше 99-ФЗ и подготовиться и оформить заявочный комплект 79-ПП, в настоящее время встают перед пробле- на лицензию по ТЗКИ сейчас.

мой продления и переоформления лицензий на Сравнение лицензионных требований.

ТЗКИ. Проблемой потому, что в силу изменив шихся лицензионных требований, надо очень Процесс регулирования процедуры лицен внимательно отнестись к формированию за- зирования в области технической защиты кон явочного комплекта. В первую очередь потому, фиденциальной информации, как было сказано что специфика рассмотрения и выдачи лицен- выше, значительно изменился с выходом Поста новления Правительства № 79 от 3 февраля года взамен Постановления Правительства № 1 Согласно [2], в российском законодательстве всего на- от 15 августа 2006 года.

считывается около 50 различных тайн Лицензирование деятельности по технической защите...

Таблица Сравнение лицензионных требований по ТЗКИ ПП № 504 от 15.08.2006 г ПП № 79 от 03.02.2012 г.

а) наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих выс- а) наличие у соискателя лицензии:

шее профессиональное образование в области технической защиты информации - юридического лица - специалистов, находящихся в штате соискателя ли либо высшее или среднее профессиональное (техническое) образование и прошед ших переподготовку или повышение квалификации по вопросам технической защи- цензии, имеющих высшее профессиональное образование в области тех нической защиты информации либо высшее техническое или среднее про ты информации;

фессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации - индивидуального предпринимателя - высшего профессионального образо вания в области технической защиты информации либо высшего технического или среднего профессионального (технического) образования при условии прохождения им переподготовки или повышения квалификации по вопросам технической защиты информации;

б) наличие у соискателя лицензии (лицензиата) помещений для осуществления ли- б) наличие помещений для осуществления лицензируемого вида деятельно цензируемой деятельности, соответствующих техническим нормам и требованиям сти, соответствующих установленным законодательством Российской Федера по технической защите информации, установленным нормативными правовыми ции техническим нормам и требованиям по технической защите информации актами Российской Федерации, и принадлежащих ему на праве собственности или на и принадлежащих соискателю лицензии на праве собственности или на ином ином законном основании;

законном основании;

г) наличие на праве собственности или на ином законном основании средств контроля защищенности информации от несанкционированного доступа, сер тифицированных по требованиям безопасности информации, в соответствии с перечнем, утверждаемым Федеральной службой по техническому и экспорт ному контролю (при выполнении работ и (или) оказании услуг, предусмо тренных подпунктами «б», «в» и «г» пункта 4 настоящего Положения);

г) использование автоматизированных систем, обрабатывающих конфиденциальную д) наличие автоматизированных систем, предназначенных для обработки кон информацию, а также средств защиты такой информации, прошедших процедуру фиденциальной информации, а также средств защиты такой информации, оценки соответствия (аттестованных и (или) сертифицированных по требованиям прошедших процедуру оценки соответствия (аттестованных и (или) сертифи безопасности информации) в соответствии с законодательством Российской Федера- цированных по требованиям безопасности информации) в соответствии с за ции;

конодательством Российской Федерации;

д) использование предназначенных для осуществления лицензируемой деятельно- е) наличие предназначенных для осуществления лицензируемого вида дея сти программ для электронно-вычислительных машин и баз данных на основании тельности программ для электронно-вычислительных машин и баз данных, договора с их правообладателем;

принадлежащих соискателю лицензии на праве собственности или на ином за конном основании;

е) наличие нормативных правовых актов, нормативно-методических и методиче- ж) наличие технической документации, национальных стандартов и мето ских документов по вопросам технической защиты информации в соответствии с дических документов, необходимых для выполнения работ и (или) оказания перечнем, установленным Федеральной службой по техническому и экспортному услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с ут контролю;

верждаемым Федеральной службой по техническому и экспортному контролю перечнем и принадлежащих соискателю лицензии на праве собственности или на ином законном основании;

з) наличие системы производственного контроля в соответствии с установлен Отсутствует ными стандартами (при выполнении работ, указанных в подпункте «в» пункта 4 настоящего Положения);

Основное отличие нового «Положения…» от Теперь, например, невозможно неподготов предыдущего - это разделение одного вида дея- ленному лицензиату проводить аттестацию объ тельности на шесть отдельных видов работ и ус- ектов информатизации (чем зачастую раньше луг (табл. 1). грешили лицензиаты) или сертификационные Данное разделение значительно облегчило, испытания. При этом у соискателя появилась воз во-первых, бремя выбора как соискателям лицен- можность уйти от больших финансовых затрат, зий и, во-вторых, так и самому регулирующему неизбежных ранее при покупке контрольно-из органу организацию деятельности лицензиатов. мерительной аппаратуры. Достаточно просто ис Оценка соответствия и лицензирование ключить из заявленных видов работ и услуг те ра- Существенно изменились требования по нали боты и услуги, которые подразумевают проведе- чию производственного, испытательного и кон ние работ с помощью дорогостоящих аппаратно- трольно-измерительного оборудования. В новом программных комплексов по поиску технических «Положении…» (79-ПП) данный вид требований поделен на пункты «в» и «г», что связано с разде каналов утечки информации, оставляя только возможность осуществления своей деятельности лением вида деятельности по технической защи в области защиты информации от несанкциони- те конфиденциальной информации на несколько рованного доступа. видов работ и услуг, как уже было сказано выше.

В развитие указанной выше градации работ и Появилось два различных требования:

услуг несколько изменились и лицензионные тре- -  по «контролю защищенности конфиденци бования к соискателям лицензии. Сравнительный альной информации от утечки по техническим анализ лицензионных требований из обоих «По- каналам»;

ложений…» приведен в табл. 2. -  по «контролю защищенности конфиденци Следует отметить, что некоторые требования альной информации от несанкционированного остались практически без изменений, очевидно доступа и ее модификации в средствах и систе по той причине, что изначально были предельно мах информатизации».

просты и не позволяли двоякого толкования. В При этом если при выполнении первого требо первую очередь это касается требований к специ- вания необходимо соответствующее контрольно алистам (по их количеству и образованию), нали- измерительное оборудование (стоимостью более чию помещений для осуществления лицензируе- одного миллиона рублей), то при выполнении мого вида деятельности, легально приобретённо- второго достаточно только нескольких программ го программного обеспечения и аттестованных ных средств контроля защищенности информа по требованиям безопасности информации авто- ции, минимальный набор которых стоит не более матизированных систем. пятнадцати тысяч рублей.

Если рассматривать эти требования подроб- Выгода для обычного, рядового соискателя ли нее, то можно выделить ряд особенностей по их цензии, очевидна.

выполнению. Кроме того, появилось новое требование, за По поводу образования, например, надо чётко ключающееся в наличии системы производствен понимать, что у заявленного специалиста должно ного контроля в соответствии с действующими быть, если не профессиональное образование в стандартами в области качества. Это требование области технической защиты информации, то обя- обязательно для тех соискателей, которые соби зательно высшее или среднее профессиональное раются заниматься проектированием объектов (техническое) образование и переподготовка информатизации.

или повышение квалификации по вопросам тех Особенности подготовки заявочного ком нической защиты информации.

плекта.

Для выполнения требования по наличию помещений, в первую очередь необходимо об- Процесс лицензирования является доволь ратить внимание на фразу: «…принадлежащих но трудоемким в связи с необходимостью сбо соискателю лицензии на праве собственности ра большого числа документов для формиро или на ином законном основании», так как имен- вания заявочного комплекта, составляющие но недочёты в оформлении договоров аренды которого чётко определены в «Положении…».

помещений являются наиболее частыми при- Связано это с тем, что, как уже было сказано в чинами отказов в выдачи лицензии. Повторная начале настоящей статьи, ФСТЭК Росси прово подача заявления возможна только после устра- дит проверку только присланных с заявлением нения замечаний. документов без проведения выездной провер Легальность приобретения программного обе- ки соискателя.

спечения подтверждается копиями лицензий на него и соответствующими бухгалтерскими доку- Как правильно подготовить заявочный ком ментами. плект?

Что касается аттестации автоматизированных Первой составляющей является наличие в систем – здесь не надо придумывать ничего лиш- штате специалистов, удовлетворяющих лицензи него, надо просто чётко следовать требованиям онным требованиям. Так как в этом требовании нормативно-методических документов ФСТЭК применено множественное число, ФСТЭК Рос России. сии требует наличие не менее двух специали Лицензирование деятельности по технической защите...

стов. Организация должна подтвердить наличие и в случае с защищаемым помещением, должна у них высшего технического или профильного быть привлечена организация, имеющая не толь образования, факт трудоустройства на штатную ко разрешение (лицензию) на право проводить должность в компании соискателя, а также факт такие работы, но и грамотных специалистов, кото повышения квалификации или переподготовки, рые проведут установку и настройку средств за если с момента получения высшего образования щиты и разработают организационно-распоряди прошло более пяти лет. Программы повышения тельные документы, которые будут необходимы квалификации или переподготовки должны быть для организации режима обработки конфиденци согласованы с регулятором. Перечень учебных альной информации.

центров, в которых проводится обучение, указан Для осуществления лицензируемых видов де на сайте ФСТЭК России. ятельности необходимо наличие у соискателя на Следующим шагом является сбор документов, законном основании лицензионного программ подтверждающих наличие помещений для осу- ного обеспечения. В перечень программного обе ществления лицензируемого вида деятельности. спечения (в зависимости от заявляемых видов Здесь следует выделить два важных момента. работ и услуг) входят: операционные системы, Во-первых, как уже упоминалось, помещения средства разработки документов, программы ан должны быть у соискателя на законном основа- тивирусной защиты, базы данных и др.

нии, это подразумевает подтверждение права Осуществление лицензируемых видов дея собственности, прямой аренды или субаренды тельности регламентируется нормативно-тех соискателем с предоставлением документов, нической документацией, включающей нацио описывающих расположение и состав заявляе- нальные стандарты, методические и технические мых помещений. Во-вторых, помещения должны документы, которые должны принадлежать соис соответствовать техническим нормам и требо- кателю на законном основании. Соискатель дол ваниям по технической защите информации, что жен изучить перечень на сайте ФСТЭК России и указывает на необходимость проведения атте- приобрести указанные нормативные документы.

стации на соответствие требованиям по безопас- Большая часть технических документов является ности информации выбранных помещений. Важ- открытой, но часть имеет гриф «для служебного но работы по аттестации провести с привлече- пользования» и подлежит приобретению уста нием организации, имеющей лицензию на право новленным порядком.

оказания таких услуг. Заключительным лицензионным требовани Следующее требование заключается в предо- ем является наличие системы производственно ставлении документов, подтверждающих наличие го контроля или системы менеджмента качества, на законном основании у соискателя контроль- включающей заявляемые области деятельности но-измерительного, производственного и ис- [4]. Подтверждением наличие системы произ пытательного оборудования для осуществления водственного контроля является наличие серти выбранных пунктов лицензии. Все оборудование фиката соответствия национальным стандартам должно иметь действующие сертификаты соот- (при наличии) и/или предоставление внутрен ветствия ФСТЭК России и свидетельства о повер- них документов по обеспечению качества вы ке или калибровке в зависимости от назначения полнения работ по заявленным видам работ и (при необходимости). услуг (Руководство по качеству, рабочие проце Для подтверждения такого вида деятельно- дуры и т.п.).

сти, как контроль защищенности конфиденци- При оформлении документов необходимо альной информации от несанкционированного учесть требования по подтверждению верности доступа, необходимо представить в лицензи- представленных копий документов (Копии до рующий орган документы, подтверждающие на- кументов должны быть прошиты, с указанием на личие на законном основании средств контроля последней странице общего количества листов защищенности, имеющих действующие сертифи- (не страниц), указанием «копия верна», названия каты ФСТЭК России. Перечень сертифицирован- должности 1-го лица предприятия и его фамилии, ных средств защиты информации представлен имени и отчества, подтверждающего верность на сайте ФСТЭК России. копии, его личной подписи и даты, скрепленной Далее требуется провести работы по аттеста- печатью предприятия. Документы также могут ции автоматизированной системы для обработки быть заверены нотариально (но не обязательно).

конфиденциальной информации, если у соискате- Неправильно оформленные документы рассмо ля такой системы не было ранее. Важно, что, как трению не подлежат.

Оценка соответствия и лицензирование Заключение На этом пути соискателя лицензии подстере гает масса «подводных камней», которые надо В современных условиях, для получения знать, учитывать и готовить комплект документов лицензии ФСТЭК России на деятельность по так, чтобы эти «подводные камни» не стали пре технической защите конфиденциальной ин- пятствием для получения лицензии.

формации необходимо очень тщательно под- У соискателя есть выбор – либо самому идти тер готовить документы, которые должны быть нистым путём проб и ошибок, либо обратиться к орга приложены к заявлению – так называемый «за- низациям, которые специализируются на консалтин явочный комплект». ге по подготовке соискателей к получению лицензий.

Литература 1. Белгородцева Н.Г., Певцова Е.А. Об особенностях правового регулирования в области защиты ин формации персонального характера // Современное право. 2011. № 2. С. 76-77.

2. Волчинская Е.К. Роль государства в обеспечении информационной безопасности // Информацион ное право. -2008. -№ 4. С. 9-16.

3. Козориз Н.Л. О предмете правового регулирования информационной безопасности // Информаци онное право. 2013. № 4. С. 8-10.

4. Дорофеев А.В., Шахалов И.Ю. Основы управления информационной безопасностью современной организации // Правовая информатика. 2013. №3. C.4-14.

5. Рыжов Р.С. Правовое регулирование отношений, связанных с информационными технологиями и защитой информации // Административное и муниципальное право. 2011. № 9. С. 64-68.

6. Федосин А.С. О лицензировании деятельности в сфере защиты информации. Юридическая наука и практика // Вестник Нижегородской академии МВД России. 2011. № 3. С. 215-218.

7. Шапошников В.И. Некоторые проблемы правового регулирования отношений по лицензированию в области защиты информации // Актуальные проблемы российского права. 2007. № 2. С. 77-81.

8. Шахалов И.Ю. Лицензия как продукт осознанной необходимости // Защита информации. Инсайд.

2010. №2. С. 53-55.

References 1. Belgorodtseva N.G., Pevtsova E.A. Ob osobennostyakh pravovogo regulirovaniya v oblasti zashchity informatsii personal’nogo kharaktera (The peculiarities of legal regulation in the field of the personal data security), Sovremennoe pravo, 2011, No. 2, pp. 76-77.

2. Volchinskaya E.K. Rol’ gosudarstva v obespechenii informatsionnoi bezopasnosti (The state’s role in providing information security), Informatsionnoe pravo, 2008, No. 4, pp. 9-16.

3. Kozoriz N.L. O predmete pravovogo regulirovaniya informatsionnoi bezopasnosti (Subject of legal regulation of information security), Informatsionnoe pravo, 2013, No. 4, pp. 8-10.

4. Dorofeev A.V., Shakhalov I.Yu. Osnovy upravleniya informatsionnoi bezopasnost’yu sovremennoi organizatsii (The basics of information security management in a modern organizations), Pravovaya informatika, 2013, No. 3, pp. 4-14.

5. Ryzhov R.S. Pravovoe regulirovanie otnoshenii, svyazannykh s informatsionnymi tekhnologiyami i zashchitoi informatsii (Legal regulation of relations connected with information technology and information security), Administrativnoe i munitsipal’noe pravo, 2011, No. 9, pp. 64-68.

6. Fedosin A.S. O litsenzirovanii deyatel’nosti v sfere zashchity informatsii. Yuridicheskaya nauka i praktika:

(About licensing of activities in the field of information security. Legal Science and Practice), Vestnik Nizhegorodskoi akademii MVD Rossii, 2011, No. 3, pp. 215-218.

7. Shaposhnikov V.I. Nekotorye problemy pravovogo regulirovaniya otnoshenii po litsenzirovaniyu v oblasti zashchity informatsii (Some problems of legal licensing regulation in the field of information security), Aktual’nye problemy rossiiskogo prava, 2007, No. 2, pp. 77-81.

8. Shakhalov I.Yu. Litsenziya kak produkt osoznannoi neobkhodimosti (License as a product perceived need), Zashchita informatsii. Insaid, 2010, No. 2, pp. 53-55.

ЗАСЕКРЕЧИВАНИЕ РЕЧИ НА КАНАЛАХ СВЯЗИ СТАНДАРТА GSM Горшков Юрий Георгиевич, кандидат технических наук, доцент Глобальная Система Мобильной связи (GSM) является одной из наиболее распространенных в мире.

Стандарт GSM защищен криптографическим алгоритмом A5. В то же время, используемые в сотовых сетях второго поколения 2G алгоритмы A5/1 и A5/2 не обеспечивают достаточный уровень безопас ности, что приводит к необходимости применения дополнительных средств шифрования.

В работе рассмотрен алгоритм шифрования A5/1 стандарта GSM, представлена классификация аппаратуры засекречивания речевой информации, приводятся основные характеристики устройств криптографической защиты телефонных переговоров на каналах сотовой связи, предложено решение, позволяющее объективно оценивать качество вокодеров, применяемых в телефонных шифраторах.

Ключевые слова: засекречивание речи, GSM, вокодер.

SPEECH SCRAMBLING IN GSM COMMUNICATION CHANNELS Yuri Gorshkov, Ph.D., Associate Professor The paper reviews A5/1 cryptographic algorithm of the GSM standard, presents the classification of voice data scrambling equipment, lists the basic features of devices for cryptographic protection of telephone conversations in cellular network channels, and proposes the solution which enables to objectively estimate the quality of vocoders used in telephone scramblers.

Keywords: voice scrambling, GSM, vocoder.

GSM (Global System for Mobile Communications) (KASUMI) [2]. Разработан группой SAGE (Security стандарт цифровой мобильной сотовой связи с Algorithms Group of Experts), которая является ча разделением каналов по времени (TDMA) и часто- стью Европейского Института по Стандартизации те (FDMA). Разработан под эгидой  Европейского в области Телекоммуникаций (ETSI).

института стандартизации электросвязи (ETSI)  в Первая открытая работа по криптоанализу конце 80-х годов. Безопасность стандарта обеспе- А5/2 отмечена в 1999 году [3].

чивают алгоритмы: А3 – аутентификации;

А8 – ге- Публикации по оценке стойкости А5/1 появля нерации криптоключа и A5 – шифрования оциф- ются в печати с 1994 года [4];

рованной речи для обеспечения конфиденциаль- к наиболее известным работам в этой области ности переговоров между абонентом и базовой следует отнести публикации [5 – 7].

станцией [1]. Мобильные станции (телефоны) А5/1 – поточный алгоритм шифрования. В нем снабжены смарт-картой с реализацией алгорит мов A3 и A8, а в самом телефоне имеется ASIC-чип псевдослучайная последовательность реализу с алгоритмом A5. В состав базовых станций входят ется на основе трех регистров сдвига с линейной центры аутентификации, также использующие ал- обратной связью [6, 7]. Длина регистров 19, 22 и горитмы A3, A8 и A5. бита соответственно. Сдвигами управляет функ В сетях связи стандарта GSM второго поколе- ция большинства (также известная как majority:

m(a1, a2, a3) = a1a2 V a2a3 V a1a3), в каждом ре ния 2G используются две основные разновидно сти A5: A5/1 – используется странами Северной гистре есть контрольный бит: восьмой в первом Америки и Европы;

A5/2 – экспортный вариант регистре (обозначим a1), десятый во втором для остальных стран. (обозначим a2) и в третьем (обозначим a3).

Безопасность передаваемой информации в со- Биты нумеруются справа налево. При очередном товых сетях третьего поколения 3G обеспечивает такте сдвигаются состояния только тех регистров, алгоритм A5/3. В основе A5/3 – алгоритм Касуми у которых значения контрольных бит совпадают Техническая защита информации со значением функции m. Функция управления дискретного типа (вокодеры с шифраторами).

сдвигом и m(a1, a2, a3) связаны соотношением: Классификация аппаратуры засекречивания представлена на рис. 2 [8, 9].

c(x) = (a1 m, a2 m, a3 m). Известны два основных метода засекречива ния речевого сигнала (Р.С.). Они разделяются по Последние биты регистров суммируются по способу передачи по каналу связи: аналоговое модулю два. Результат сложения становится но- засекречивание и дискретизация или выделе вым битом гаммы. Гамма накладывается на откры- ние параметров Р.С., представленных в циф тый текст, вследствие чего получается шифртекст. ровом виде, с последующим шифрованием. (В На одном ключе генерируется 114 бит гаммы. первом случае в канале связи – сигнал с фраг Линейные функции обратной связи удобно ментами Р.С., во втором – сигнал с выхода моде представлять с помощью полиномов, сопоставляя ма, использующего один из стандартных видов каждому биту регистра соответствующую степень модуляции;

скорости передачи 2400, 4800, переменной x. В шифре A5/1 функции обратной или 9600 бит/сек).

связи задаются следующими полиномами: Аппаратура засекречивания аналогового типа относится к средствам криптографической защи x 19 + x 18 + x 17 + x 14 + 1 для R1, ты. Под криптографической защитой или засекре x 22 + x 21 + 1 для R2, чиванием понимается изменение характеристик x 23 + x 22 + x 21 + x 8 + 1 для R3. речевого сигнала (Р.С.),таким образом, чтобы сиг нал, переданный в канал связи, обладал свойства ми неразборчивости и занимал такую же полосу Например, в первом регистре суммируются частот спектра, что и исходный открытый сигнал.

биты с номерами 18, 17, 16 и 13. Результат стано- Аппаратура засекречивания дискретного вится новым значением крайнего правого бита типа включает вокодер, шифратор и модем.

(pис. 1).

Средства криптографической защиты те лефонных переговоров на каналах сотовой связи.

В зарубежных телефонных шифраторах стан дарта GSM применяются алгоритмы шифрования AES, RSA, Twofish, Triple DES.  AES (Advanced Encryption Standard)  - симме тричный алгоритм блочного шифрования (размер блока 128 бит, ключ 128/192/256 бит), принят в ка честве стандарта  шифрования  правительством США.

RSA (Rivest, Shamir, Adleman) - криптографиче ский алгоритм с открытым ключом.

Twofish  - симметричный алгоритм блочного Рис. 1. Структура регистров сдвига А5/1 шифрования с размером блока 128 бит и длиной ключа до 256 бит.  Triple DES  (3DES)  - симметричный  блочный На pис. 1 символами a1, a2, a3 отмечены кон трольные биты, а темным цветом выделены биты, шифр.

от которых существенно зависят функции обрат- В отечественной аппаратуре засекречивания ной связи. телефонии применяется алгоритм Классификация аппаратуры засекречива- ГОСТ 28147-89 – стандарт  симметричного ния телефонных переговоров. шифрования.

При ведении телефонных переговоров по каналам сети общего пользования (ТфОП) за- Система распределения ключей в сетях за щиту всего трафика (прохождения сигнала от секреченной телефонной связи реализуется с абонента до абонента) обеспечивают специ- использованием протокола Диффи-Хеллма альные устройства засекречивания речевой на  (Diffie-Hellman,  DH)  -  криптографический про информации аналогового типа (иногда имену- токол, позволяющий двум и более абонентам емые маскираторами или «скремблерами») и получить общий секретный ключ, используя неза Засекречивание речи на каналах связи стандарта GSM 2, 4 – D 32 Рис. 2. Классификация аппаратуры засекречивания телефонных переговоров щищенный от перехвата канал связи. Полученный данные отечественных телефонных шифрато ключ используется для засекречивания перегово- ров стандарта GSM (http://www.bnti.ru/index.

ров с помощью алгоритмов симметричного шиф- asp?tbl=03.07.01). К одной из последних разрабо рования. ток относится «Устройство криптографической На сайте «Бюро Научно-Технической Инфор- защиты переговоров в сетях сотовой связи «Аппа мации «Техника для  спецслужб» представлены ратура 605» (рис. 3).

Техническая защита информации Маскираторы телефонных переговоров. К маскираторам телефонии стандарта GSM (аппара тура аналогового типа) следует отнести:

1. Устройство «ALT-COTA» («Орешек-GSM»).

Внешний вид устройства представлен на рис. 5.

Рис. 5.

Рис. 3. Внешний вид устройства криптогра фической защиты «Аппаратура 605»

2. Устройство маскирования телефонных сооб щений (УМТС) в каналах GSM связи «Резеда» (рис. 6).

В последние годы в нашей стране для защиты информации, содержащую коммерческую тайну потребителям предлагаются телефонные шифра торы с использованием криптографического ал горитма ГОСТ 28147-89: «SMP-Атлас», «Талисман GSM», «ФРАКТАЛ GSM», «Специализированный телефонный аппарат «GSM». Гарантированный уровень безопасности переговоров сотовой свя зи обеспечивается, также, отечественными раз работками: «Криптотелефон «STEALTHPHONE», «Двухпроцессорный крипто смарт телефон», «Крипто смарт телефон «Cancort», «Криптотеле- Рис. 6.

фон GSM «М-539».

Зарубежными компаниями криптографиче ские средства защиты телефонных переговоров На сайте http://www.skrembler.ru представле абонентам сотовой связи поставляются с 2000 ны характеристики одной из последних разрабо года. Одна из первых разработок – «Siemens ток «Скремблер «GUARD Bluetooth».

TopSec GSM», Rohde&SchwarzSIT GmbH. С уров нем создания современных зарубежных систем Оценка качества вокодеров, используемых засекреченной телефонии стандарта GSM можно в телефонных шифраторах.

ознакомиться на сайте http://www.securevoice- Современные зарубежные телефонные gsm.com. На рис. 4 представлен внешний вид шифраторы сотовой связи коммерческого при шифратора «Sectera Wireless GSM Phone», General менения включают, как правило, вокодеры с Dynamics (http://www.gdc4s.com). использованием алгоритма RPE-LTP[10, 11]. В некоторых отечественных разработках инфор мация о применяемых вокодерах отсутствует, либо заменяется рекламной, например: «уни кальный голосовой кодек с линейным предска занием». В то же время от качества вокодеров зависят такие важные характеристики как раз борчивость речи и узнаваемость диктора.

Специалистами кафедры «Информационная безопасность» МГТУ им. Н.Э. Баумана и ЗАО «НПО «Эшелон» создан исследовательский ком плекс высокоточного частотно-временного ана лиза речевого сигнала [12]. Программные сред ства комплекса за счет применения технологии Рис. 4. Внешний вид шифратора «Sectera Wireless многоуровневого вейвлет-анализа позволяют GSM Phone»

Засекречивание речи на каналах связи стандарта GSM C [] Рис. 7. Вейвлет-сонограмма слова [шесть] получать параметры не только гласных, но и со- ния 2G криптографические алгоритмы A5/1 и гласных звуков. Основой предлагаемой методи- A5/2 не обеспечивают достаточный уровень за ки определения качества вокодеров является щиты речевой информации.

сравнительный анализ вейвлет-сонограмм (ча- Применение дополнительных средств шиф стотно-временного представления «видимый рования с реализацией алгоритма ГОСТ 28147 звук») исходного и синтезированного сигналов. 89 обеспечивает гарантированный уровень Методика является объективной, ее примене- защиты всего телефонного трафика связи (от ние позволит повысить эффективность работы абонента до абонента). Объективная оценка ка слушателей-экспертов. На рис. 7 представлена чества вокодеров, применяемых в телефонных вейвлет-сонограмма слова [шесть]. шифраторах может быть осуществлена при их Заключение. тестировании с использованием технологии На каналах стандарта GSM второго поколе- многоуровневого вейвлет-анализа.

Литература 1. Ross Anderson, Mike Roe «A5 – The GSM Encryption Algorithm», 1994.

2. Universal Mobile Telecommunications System (UMTS);

Specification of the 3GPP confidentiality and integrity algorithms;

Document 2: Kasumi specification. ETSI (2007).

3. Wagner D. et al. The real-time cryptanalysis of A5/2 // Crypto’99 (Santa Barbara, August 15-19, 1999): Proc.

Berlin: Springer-erl., 1999. P. 12-21.

4. AndersonR. Subject: A5 // posting to Newsgroups: sci.crypt, alt.security, uk.telecom;

17 June 1994.

5. Golic J. Cryptanalysis of alleged A5 stream cipher // Adv. Cryptology. Workshop on the theory and application of cryptographic techniques EUROCRYP T’97 (Konstanz, May 11-15, 1997): Proc. Berlin:

Springer- Verl., 1997. P. 239-255. (Lect. Notes Comput. Sci.;

Vol. 1233).

6. BiryukovA., ShamirA., Wagner D. Real time cryptanalysis of A5/1 on a PC // Fast Software Encryption Workshop FSE’2000. (New York, April 10-12, 2000): Proc. Berlin: Springer-Verl., 2001. P. 1-18. (Lect. Notes Comput. Sci.;

Vol. 1978).

Техническая защита информации 7. Киселев C.А., Токарева Н.Н. О сокращении ключевого пространства шифра A5/1 и обратимости функции следующего состояния в поточном генераторе // Дискретный анализ и исследование опе раций. Март – апрель 2011. Том 18, № 2. C. 51-63.

8. Горшков Ю.Г. Анализ и засекречивание речевого сигнала: Учебное пособие. – М.: Издательство МГТУ им. Н.Э. Баумана, 2006. – 26 с.

9. Кравченко В.Б. Защита речевой информации в каналах связи // Специальная техника, № 4-5, 1999.

10. K.Hellwig, P.Vary, D. Massaloux, ectl. Speech Codec for the European Mobile Radio System. IEEE Global Communications Conference, 1989. Р. 1065-1069.

11. ETSI Speech processing functions General Description, GSM06.01-1999, Version 8.0.1. P. 22-53.

12. Горшков Ю.Г. Исследовательский комплекс частотно-временного анализа речевого сигнала с ис пользованием вейвлет-технологии // Вестник Московского государственного технического уни верситета им. Н.Э. Баумана. Серия: Приборостроение № 4, 2011. С. 78-87.

References 1. Ross Anderson, Mike Roe «A5 – The GSM Encryption Algorithm», 1994.

2. Universal Mobile Telecommunications System (UMTS);

Specification of the 3GPP confidentiality and integrity algorithms;

Document 2: Kasumi specification. ETSI (2007).

3. Wagner D. et al. The real-time cryptanalysis of A5/2 // Crypto’99 (Santa Barbara, August 15-19, 1999): Proc.

Berlin: Springer-erl., 1999. P. 12-21.

4. AndersonR. Subject: A5 // posting to Newsgroups: sci.crypt, alt.security, uk.telecom;

17 June 1994.

5. Golic J. Cryptanalysis of alleged A5 stream cipher // Adv. Cryptology. Workshop on the theory and application of cryptographic techniques EUROCRYPT’97 (Konstanz, May 11-15, 1997): Proc. Berlin:

Springer- Verl., 1997. P. 239-255. (Lect. Notes Comput. Sci.;

Vol. 1233).

6. BiryukovA., ShamirA., Wagner D. Real time cryptanalysis of A5/1 on a PC // Fast Software Encryption Workshop FSE’2000. (New York, April 10-12, 2000): Proc. Berlin: Springer-Verl., 2001. P. 1-18. (Lect. Notes Comput. Sci.;

Vol. 1978).

7. Kiselev C.A., Tokareva N.N. O sokrashchenii cliuchevogo prostranstva shifra A5/1 i obratimosti funktcii sleduiushchego sostoianiia v potochnom generatore // Diskretny`i` analiz i issledovanie operatcii`. Mart – aprel` 2011. Tom 18, № 2. C. 51-63.

8. Gorshkov Iu.G. Analiz i zasekrechivanie rechevogo signala: Uchebnoe posobie. – M.: Izdatel`stvo MGTU im. N.E`. Baumana, 2006. – 26 s.

9. Kravchenko V.B. Zashchita rechevoi` informatcii v kanalakh sviazi // Spetcial`naia tekhnika, № 4-5, 1999.

10. K.Hellwig, P.Vary, D. Massaloux, ectl. Speech Codec for the European Mobile Radio System. IEEE Global Communications Conference, 1989. Р. 1065-1069.

11. ETSI Speech processing functions General Description, GSM06.01-1999, Version 8.0.1. P. 22- 12. Gorshkov Iu.G. Issledovatel`skii` kompleks chastotno-vremennogo analiza rechevogo signala s ispol`zovaniem vei`vlet-tekhnologii // Vestneyk Moskovskogo gosudarstvennogo tekhnicheskogo universiteta im. N.E`. Baumana. Seriia: Priborostroenie № 4, 2011. S. 78-87.

СОСТОЯНИЕ И ПЕРСПЕКТИВЫ РАЗВИТИЯ ИНДУСТРИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ В 2014 Г.

Матвеев Валерий Александрович, доктор технических наук, профессор Цирлов Валентин Леонидович, кандидат технических наук Проведен анализ состояния рынка информационной безопасности в России. Рассмотрены тенден ции в области законодательства, стандартизации, технологий защиты информации.

Ключевые слова: информационная безопасность, защита информации STATE AND PROSPECTS OF DEVELOPMENT OF THE INDUSTRY OF INFORMATION SECURITY OF THE RUSSIAN FEDERATION IN Valeriy Matveev, Doctor of Technical Sciences, Professor Valentin Tsirlov, Ph.D.

The state of the information security market in Russia is analyzed.

The tendencies in the field of legislation, standards, technologies of information security are considered.

Keywords: information security, information protection, safety information Общие сведения ний в области технической защиты информа 2013 год не был революционным для ин- ции, эксперты аналитического центра МГТУ дустрии информационной безопасности Рос- им. Н.Э.Баумана [1] отмечают определенную сийской Федерации. Несмотря на весьма зна- стагнацию на рынке – которую, впрочем, можно чительные изменения нормативных требова- интерпретировать и как достижение состояния Рис. 1. Распределение услуг в области защиты персональных данных Индустрия информационной безопасности зрелости. В частности, снижение характерно- 1. Разработка нормативных документов, го для последних лет ажиотажного спроса на регламентирующих порядок построения си консалтинговые услуги в области защиты пер- стем защиты для информационных систем, сональных данных (рис. 1) незначительно ска- использующих облачные технологии, а также залось на общем объеме сделок. При этом воз- оценки соответствия таких систем требовани росла доля проектов, связанных с защитой го- ям безопасности информации. Данный вопрос сударственных информационных систем (ГИС) чрезвычайно актуален, однако отдельные тех – в том числе для заказчиков федерального нические и правовые его аспекты являются в уровня. настоящее время предметом дискуссии специ Тенденция роста совокупного оборота TOP алистов.

20 игроков рынка неизменно остается позитив- 2. Разработка руководящих документов, ос ной (рис. 2). нованных на инструментарии «Общих крите По нашим прогнозам, в 2014 г. вопросы за- риев», а также пакетов соответствующих про щиты ИСПДн и ГИС останутся определяющими филей защиты для более широкого спектра ти для всей отечественной индустрии. При этом пов средств защиты информации (DLP-системы, можно выделить ряд тенденций, которые оче- межсетевые экраны, средства доверенной за видным образом будут определять рынок ин- грузки и т.д.).

формационной безопасности в ближайшей 3. Формирование новых регламентов про перспективе [2,3]. ведения сертификационных и аттестационных 1. Тенденции в области законодательных испытаний. В частности, могут быть уточнены и нормативных требований особенности проведения инспекционного кон Основной очевидной тенденцией в кратко- троля программного обеспечения.

срочной перспективе является дальнейшая 4. Безусловно, продолжится работа по уточ проработка нормативных требований в части нению и конкретизации требований докумен технической защиты информации, в частности, тов, принятых в 2012-2013 гг. – в частности, по в развитие 17 и 21 приказов ФСТЭК России. Пла- конкретизации мер по защите информации.

2. Тенденции в области технических аспек нируемые изменения в нормативной базе, по тов построения систем защиты информации всей видимости, сведутся к следующему:

Рис. 2. Тенденции роста совокупного оборота основных игроков рынка информационной безопасности Состояние и перспективы развития...

Вопросы корректного построения систем Безусловно, наибольшую активность при защиты информации для информационных формировании отраслевых стандартов будут систем, использующих облачные технологии, проявлять кредитные и финансовые учрежде останется в 2014 г. наиболее острым и вряд ли ния – здесь целесообразно ожидать развития будет решен окончательно. Тем не менее, рост серии стандартов СТО БР ИББС.

популярности такого рода решений требует от Немаловажным является наличие в плане разработчиков добавления «облачного» функ- работ Технического комитета ТК-362 ряда за ционала ко всем основным классам продуктов дач по гармонизации и принятию стандартов – от антивирусных средств до DLP-систем. современных управленческих стандартов в При этом внедрение систем класса DLP (Data области информационной безопасности, в том Leakage Prevention – предотвращение утечки числе стандартов 27 серии.

данных) по-прежнему останутся одним из наи 4. Тенденции в области образования и по более массовых направлений деятельности вышения квалификации интеграторов в области информационной без опасности. Данного рода системы, с одной сто- По нашим прогнозам, существующий подъ роны, позволяют решить значительную часть ем интереса к информационной безопасности вопросов, связанных с выполнением формаль- со стороны крупнейших работодателей дол ных требований по защите персональных дан- жен стать катализатором к развитию как для ных, и являются, с другой стороны, эффектив- учреждений высшего профессионального об ным средством построения реальной защиты разования, так и для многочисленных учебных от угроз утечки конфиденциальной информа- центров, осуществляющих профессиональную ции. В настоящее время на рынке присутствует переподготовку. При этом прослеживаются порядка 10 работоспособных решений – как от- следующие тенденции:

ечественных, так и зарубежных;

при этом зару- 1. Для многих высших учебных заведений ха бежные продукты в большинстве случаев либо рактерен переход к формированию собствен завершили, либо проходят сертификационные ных образовательных стандартов, соответ испытания в системе ФСТЭК России. ствующая работа направлена на актуализацию На рынке антивирусных программных про- специальных дисциплин, приближение фор дуктов продолжится этап миграции в сторону мируемых профессиональных компетенций к интегрированных решений, включающих как потребностям рынка, повышение содержания традиционный антивирусный функционал, так практической составляющей в учебных планах.

и функции, характерные для систем обнару- 2. Курсы повышения квалификации и про жения и предотвращения вторжений (IDS/IPS фессиональной переподготовки в большинстве – Intrusion Detection/Prevention Systems) и даже случаев будут однозначно соответствовать ак для персональных межсетевых экранов. Как и в туальным потребностям рынка – так, например, случае с системами класса DLP, антивирусные по-прежнему будут пользоваться популярно решения зарубежных разработчиков актив- стью курсы, связанные с защитой персональ но проходят сертификацию в системе ФСТЭК ных данных.

России, причем целый ряд продуктов (произ- 3. Вполне жизнеспособной показала себя водства, например, компаний ESET, Symantec, модель эффективного взаимодействия класси TrendMicro, McAfee) уже успешно завершил ческих вузов и высокотехнологичных учебных данную сертификацию. центров при организации профессиональной Усложнение корпоративных систем обе- переподготовки специалистов.

Заключение спечения информационной безопасности при ведет к увеличению спроса на SIEM-системы В целом, 2014 год должен стать очень бла (ArcSight, «Комрад» и др.). В настоящее время гоприятным для индустрии информационных системы класса SIEM также активно проходят технологий в целом и для информационной сертификацию по требованиям безопасности- безопасности в частности. При сохранении бла информации. гоприятной макроэкономической обстановки 3. Тенденции в области национальных и можно прогнозировать рост оборота основных отраслевых стандартов игроков рынка до 30-40%.

Индустрия информационной безопасности Литература 1. Матвеев В.А., Медведев Н.В., Троицкий И.И., Цирлов В.Л. Состояние и перспективы развития индустрии информационной безопасности российской федерации в 2011 г. // Вестник Мо сковского государственного технического университета им. Н.Э. Баумана. Серия: Приборо строение. 2011. № SPEC. С. 3-6.

2. Сборник трудов IV Международной конференции «ИТ-Стандарт 2013», М.: МИРЭА, 2013. 492 с.

3. Безопасные информационные технологии / Сб. Трудов Четвертой всероссийской конферен ции / Под.ред. В.А.Матвеева. М.:НИИ РиЛТ МГТУ им.Н.Э.Баумана, 2013. 276 с.

References 1. Matveev V.A., Medvedev N.V., Troitckii` I.I., Tsirlov V.L. Sostoianie i perspektivy` razvitiia industrii informatcionnoi` bezopasnosti rossii`skoi` federatcii v 2011 g. // Vestnik Moskovskogo gosudarstvennogo tekhnicheskogo universiteta im. N.E`. Baumana. Seriia: Priborostroenie. 2011.

No SPEC. pp. 3-6.

2. Sbornik trudov IV Mezhdunarodnoi` konferentcii «IT-Standart 2013», M.: MIRE`A, 2013. 492 p.

3. Bezopasny`e informatcionny`e tekhnologii / Sb. Trudov Chetvertoi` vserossii`skoi` konferentcii / Pod.red. V.A.Matveeva. M.:NII RiLT MGTU im.N.E`.Baumana, 2013. 276 p.

CТАТУС CISSP: КАК ПОЛУЧИТЬ И НЕ ПОТЕРЯТЬ?

Дорофеев Александр Владимирович, CISSP, CISA Рассмотрены вопросы международной сертификации специалистов в области информационной безопасности. Представлено описание основных учебных разделов и сложности подготовки.

Ключевые слова: сертификация специалиста, обучение по информационной безопасности, серти фицированный профессионал по информационной безопасности STATUS CISSP: HOW TO GAIN AND NOT TO LOSE?

Alexander Dorofeev, CISSP, CISA The problems of international certification of specialists in the field of information security are considered. The description of the main education sections and complexity of training is presented.

Keywords: professional certification, information security training, CISSP • Аббревиатура CISSP (Certified Information безопасная разработка программного обе Systems Security Professional), которую можно спечения • криптография перевести как «сертифицированный специалист • разработка безопасных архитектур по информационной безопасности» появилась • обеспечение информационной безопасно в начале 90-х годов, благодаря ассоциации ISC2 (International Information Systems Security сти на операционном уровне • обеспечение непрерывности бизнеса и вос Certification Consortium). Сейчас данным стату сом уже обладают почти 90 000 человек в 146 становления после сбоев • законодательство, расследование инциден странах мира. Что же стоит за статусом CISSP?

Признают ли его в нашей стране? Как подгото- тов, выполнение требований • физическая безопасноcть виться к экзамену? Ответы на эти вопросы мы и дадим в первой статье цикла материалов, посвя- Кратко рассмотрим содержание доменoв щенных подготовке к экзамену. CISSP CBK, знание которых проверяется в ходе Получить статус CISSP может специалист, экзамена.

сдавший сертификационный экзамен и имею щий необходимый практический опыт в области Управление доступом.

информационных технологий и информацион- В данном разделе рассматриваются виды ной безопасности. управления доступом, а также способы аутен Экзамен представляет собой 6-ти часовой тификации: пароли, биометрия и др. Значи компьютерный тест на английском языке. Струк- тельное внимание уделено основным прин турно он состоит из набора кейсов и ассоции- ципам информационной безопасности, та рованных с ними вопросов. Вопросы касаются ким как: принцип «наименьших привилегий», тем, определенных в CISSP CBK ( Common Body of принцип «need-to-know» и принцип разделе Knowledge). ния полномочий.

Согласно CISSP CBK специалист по информа ционной безопасности должен обладать знания- Телекоммуникации и безопасность.


ми и опытом в следующих 10 областях: Это самый объемный раздел, который можно • управление доступом разделить на три логических блока: основные • телекоммуникации и сетевая безопасность концепции построения локальных и глобальных • управление информационной безопасно- сетей, технологии обеспечения безопасности в стью, риск-менеджмент сетях и сетевые атаки.

Сертификация специалистов процессы разработки и внедрения эффективных Специалист по информационной безопасно сти должен в первую очередь хорошо представ- политик и процедур, обучение персонала и аудит лять себе концепцию межсетевого взаимодей- информационной безопасности.

ствия: модель OSI, понимать термины «инкапсу ляция» и «деинкапсуляция», ориентироваться в Криптография модели TCP/IP. В раздел попали технологии LAN, Нельзя представить себе информационную а также рассматриваются такие компоненты сети безопасность без криптографии. От будущих как коммутаторы, маршрутизаторы, межсетевые CISSP’ов не требуется глубокого понимания ма экраны и другие. тематической теории, лежащей в основе алго Что касается технологий обеспечения без- ритмов шифрования, но нужно очень хорошо ориентироваться в базовых понятиях, названиях опасности, то в первую очередь будущие обла алгоритмов и их назначении. В домен включены датели статуса CISSP должны ориентироваться алгоритмы симметричного и асимметричного в технологиях построения виртуальных частных шифрования, алгоритмы хеширования, алгорит сетей (VPN), применении трансляции сетевых мы цифровые подписи, инфраструктура откры адресов (NAT) и сегментировании сетей. Также тых ключей (PKI). Дополнительно рассматрива важно понимать механизмы обеспечения без ются альтернативные методы сокрытия инфор опасности беспроводных сетей, и обеспечения мации (например, стеганография).

безопасности электронной почты.

Невозможно представить себе эксперта в об Безопасность разработки программного ласти информационной безопасности, который обеспечения бы не разбирался в технологиях организации Большинство проблем информационной без сетевых компьютерных атак, как минимум, в та опасности связаны с уязвимостями в программ ких как:

ном обеспечении, поэтому в CISSP CBK включен • атаки методом перебора паролей и подбо- домен по безопасной разработке ПО. Эксперт в ра по словарю;

области ИБ должен разбираться в таких вопро • атаки «отказ в обслуживании»;

сах, как жизненный цикл разработки программ • spoofing-атаки;

ного обеспечения (SDLC), модели разработки и • перехват трафика;

тестирования, угрозы, уязвимости и меры без • атаки «человек посередине»;

опасности в приложениях.

• спамерские атаки;

• социальная инженерия;

Архитектура безопасности Домен содержит такие фундаментальные во • фишинг-атаки;

просы, как фундаментальные концепции моде • атаки типа «Маскарад»;

лей безопасности, модели подсистем управле • перехват сессии;

ния доступом, стандарты и критерии безопасно • ARP-spoofing;

сти, принципы работы контрмер.

• DNS-атаки.

Безопасность операций Управление информационной безопасностью.

В данном домене рассматриваются вопросы Риск-менеджмент.

операционного управления информационной Специалист, обладающий статусом CISSP дол безопасностью: антивирусная защита, управле жен глубоко разбираться в вопросах управления ние патчами и уязвимостями, резервное копи информационной безопасностью.

рование и восстановление данных, выполнение Фактически для успешной сдачи экзамена законодательных требований, мониторинг ин необходимо разобраться в основных элементах формационной безопасности.

управления информационной безопасностью:

управление активами, количественные и каче- Обеспечение непрерывности бизнеса и вос ственные методики оценки рисков информа- становление после сбоев ционной безопасности, применение контролей Эксперт в области информационной безопас (мер безопасности) для минимизации рисков, ности должен хорошо разбираться в вопросах Cтатус CISSP: как получить и не потерять?

обеспечения непрерывности бизнеса и восста- Признание новления после сбоев, оценке влияния сбоев на Что касается признания статуса, то в США бизнес (BIA), тестировании планов и обучении данный статус официально признается таким ве персонала. домством, как Министерство Обороны. B России специалист по информационной безопасности Выполнение требований законодательства «обязан» обладать сертификатом CISSP, если он Выполнение требований законодательства хочет занимать руководящую позицию в области является важной составляющей обеспечения ин- ИБ или работать в консалтинговой или интегра формационной безопасности. В частности спе- ционной компании. Чтобы самостоятельно оце циалисты по ИБ должны хорошо ориентировать- нить востребованность данного статуса предла ся в требованиях законодательства в отношении гаю читателю просмотреть страницы «CISSP’ов» в следующих вопросов расследования компью- социальных сетях и убедиться, что в такой компа терных преступлений, защиты интеллектуальной нии профессионалов оказаться весьма почетно.

собственности и лицензирования.

Что нужно сделать, чтобы успешно Физическая безопасность сдать экзамен?

Без обеспечения эффективной физической На взгляд автора самым важным для успеш безопасности обеспечение информационной без- ной сдачи экзамена является владение техниче опасности невозможно, поэтому будущие облада- ским английским языком на уровне чтения без тели статуса CISSP должны хорошо разбираться в словаря. Если базовые навыки по владению язы угрозах физической безопасности, вопросах за- ком уже есть, то лучше всего начать подготовку щиты периметра, серверных помещений. с освоения английских терминов в области ин формационной безопасности. Хороший набор Формат экзамена глоссариев подготовлен и опубликован в сети Сам экзамен состоит из 250 вопросов и длится Интернет ассоциацией ISACA: http://www.isaca.

6 часов. Каждый вопрос предполагает 4 варианта org/Pages/Glossary.aspx ответа, из которых только один верный. Макси Для того, чтобы эффективно спланиро мальное количество баллов, которое можно по вать свою подготовку лучше сначала потре лучить равно 1000. Для сдачи экзамена необхо нироваться на различных банках вопросов, димо набрать не менее 700 баллов.

доступных в Интернет. Единственное, нужно В качестве примера можно привести следу помнить, что точно такие вопросы вы практи ющий вариант вопроса из распространяемого чески никогда не встретите на экзамене, так ассоциацией ISC2 информационного бюллетеня как все сдающие его обязуются не разглашать (CISSP candidate information bulletin):

материалы экзамена (да и объем экзамена не Какое из следующих описаний подходит для позволяет это сделать). Работа с вопросами определения атаки SYN flood?

позволит определить ваши слабые области, (A) Быстрая передача сообщений по протоколу требующие наибольшего внимания. Что каса Internet Relay Chat (IRC) ется времени подготовки, то лучше выделить (B) Создание большого количества полуоткры на нее, как минимум, три месяца. Сдать экза тых соединений мен CISSP студенческим способом - потратив (C) Отключение сервера DNS ночь на зубрежку и написание шпаргалок не (D) Чрезмерное линкование учетных записей получится. Объем знаний слишком большой, а пользователей и файлов списывание жестоко пресекается организато Правильный ответ: B рами экзамена.

Даже если тренировка на вопросах пока Требования к опыту зала, что ваш уровень довольно высок, очень Соискатель статуса CISSP должен обладать важно глубоко разобраться в такой теме, как летним опытом, как минимум, в двух из обозна управление информационной безопасностью.

ченных выше областей. При этом один год опыта Несмотря на то, что ряд доменов CISSP сугубо может быть засчитан, если y кандидата есть выс шее образование в области информационной технические, вопросы управления ИБ все чаще безопасности. и чаще доминируют в экзамене. Здесь лучше Сертификация специалистов поработать с такими первоисточниками прак- Дополнительно необходимо обзавестись тик управления ИБ, как стандарты серии ISO хорошим учебником. Можно пользоваться как 27000 (в особенности ISO 27001 и ISO 27002) и официальным руководством от ISC2, так и учеб соответствующие публикации американского никами от признанных профессионалов.

института стандартов (NIST). Таким образом, хороший английский, понима Подготовиться к экзамену позволяют и специ- ние вопросов управления ИБ, подготовительные ализированные курсы, но стоит понимать, что семинары и толковый учебник позволят эффек ни один курс не «загрузит» в голову специалиста тивно подготовиться к экзамену.

знания и опыт, которые приобретаются профес сионалами годами. Наиболее удобный формат Поддержание статуса сертифицированного подготовительных курсов - это разнесенные по специалиста времени семинары длительностью 1-2 часа, на После успешной сдачи экзамена и получения каждом из которых дается обзор одного из до- статуса CISSP специалист должен каждый год демон менов и рассматриваются наиболее «коварные» стрировать, что он поддерживает свой высокий про понятия и примерные вопросы. Современные фессиональный уровень: участвует в конференциях технологии проведения вебинаров позволяют и тренингах, читает профессиональную литературу, участвовать в таком обучении удаленно и в удоб- пишет технические статьи и т.п. В ассоциации ISC ное вечернее время. есть своеобразный прейскурант, сопоставляющий Все мы знаем, что готовиться веселее с кем- каждую из подобных активностей определенному нибудь и здесь помимо общения с одногруппни- числу баллов CPE (continuing professional education ками, подключающимися к вебинарам, лучше credits). Только регулярно набирая необходимый стать завсегдатаем специализированных фору- минимум баллов и оплачивая членские взносы про мов, на которых будущие обладатели статуса фессионал поддерживает действующий статус CISSP.

CISSP обсуждают вопросы для подготовки к экза- В следующей статье мы рассмотрим основ мену и обмениваются впечатлениями после сда- ные понятия, владение которыми позволит бы чи экзамена. стро погрузиться в предметную область.

Литература (References) 1. Steven Hernandez. Official (ISC)2 Guide to the CISSP CBK, Third Edition. - ISC2 Press, 2012. 968 p.

2. James M. Stewart, Mike Chapple, Darril Gibson. CISSP: Certified Information Systems Security Professional Study Guide, 6th Edition. - Sybex, 2012. 936 p.

3. Shon Harris, CISSP All-in-One Exam Guide, 6th Edition - McGrawHill, 2012. 1216 p.

4. Eric Conrad, Seth Misenar, Joshua Feldman. CISSP Study Guide, Second Edition - Syngress, 2012. 600 p.

Cведения об авторах Information about the authors Барабанов Александр Владимирович, CISSLP, директор департамента сертификации и тестирования д З ЗАО «НПО «Эшелон»

E E-mail: a.barabanov@npo-echelon.ru A Alex Barabanov, CISSLP, CIO of NPO Echelon E E-mail: a.barabanov@npo-echelon.com Бородакий Юрий Владимирович, академик РАН, Заслуженный деятель науки Российской Федерации, доктор технических наук, профессор, Генеральный директор ОАО «Концерн «Системпром»

E-mail: info@systemprom.ru Yuri Borodakiy, Member of the RAS, Honored Scientist of the Russian Federation, Doctor of Technical Sciences, Professor, CEO of Concern Systemprom E-mail: info@systemprom.ru Б Бутусов Игорь Викторович, начальник комплексного отдела ар х хитектур и систем информационной безопасности ОАО «Концерн « «Системпром»

E-mail: skm@vivos.ru E Igor Butusov., CIO of Concern Systemprom I E-mail: skm@vivos.ru Горшков Юрий Георгиевич, кандидат технических наук, доцент, Ла уреат Национальной премии России «Пурпурное сердце», началь Фото ник сектора НИИЦ БТ МГТУ им. Н.Э. Баумана отсутствует E-mail: ygorshkov@rambler.ru Yuri Gorshkov, Ph.D., Associate Professor, Laureate National Prize of Russia «Purple Heart», Head of Sector of Biometric Center BMSTU E-mail: ygorshkov@rambler.ru Добродеев Александр Юрьевич, кандидат технических наук, стар Д ший научный сотрудник, заместитель генерального директора по ш информационной безопасности ОАО «Концерн «Системпром»

и E-mail: skm@vivos.ru Alexander Dobrodeyev, Ph.D., Associate Professor, Deputy Director A General for Information Security of Concern Systemprom G E-mail: skm@vivos.ru E Сведения об авторах Дорофеев Александр Владимирович, CISSP, CISA, директор Учебного Д ц центра «Эшелон»

E-mail: mail@uc-echelon.ru E Alexander Dorofeev, CISSP, CISA, CEO of the EC Echelon A E E-mail: mail@uc-echelon.ru Жидков Игорь Васильевич, кандидат технических наук, доцент, заместитель начальника управления 3 ЦНИИ Министерства обороны Российской Федерации E-mail: нет Igor Zhidkov, Ph.D., Associate Professor, Deputy Head of Directorate of 3 CRI RDM З Зубарев Игорь Витальевич, кандидат технических наук, доцент, з заместитель начальника 3 ЦНИИ Минобороны России по научной р работе E E-mail: ivc@3cnii.ru I Igor Zubarev, Ph.D., Associate Professor, Deputy Chief for Research o CRI RDM of E E-mail: ivc@3cnii.ru Кадушкин Иван Викторович, начальник отдела 3 ЦНИИ Министерства обороны Российской Федерации E-mail: ivanvk79@mail.ru Ivan Kadushkin, Head of Department of 3 CRI RDM E-mail: ivanvk79@mail.ru Марков Алексей Сергеевич, кандидат технических наук, старший на М учный сотрудник, CISSP, генеральный директор ЗАО «НПО «Эшелон»

у E-mail: am@npo-echelon.ru E A Alexey Markov, Ph.D., Associate Professor, CISSP, CEO of NPO Echelon E-mail: am@npo-echelon.com E Informa on about the authors Матвеев Валерий Александрович, доктор технических наук, про М ф фессор, Заслуженный деятель науки РФ, Лауреат Государственных премий СССР, РФ в области науки и техники, Правительства Москвы, п руководитель НУК МГТУ им.Н.Э.Баумана р E-mail: v.a.matveev@bmstu.ru E Valeriy Matveev, Doctor of Technical Sciences, Professor, V Honored Scientist of Russia, Laureate of the State Prize of H the USSR, RF, Moscow Government, Head of the SEC BMSTU t E-mail: v.a.matveev@bmstu.ru E Фадин Андрей Анатольевич, CISSP, главный конструктор ЗАО «Эшелон Технологии»

E-mail: a.fadin@npo-echelon.ru Andrey Fadin, CISSP, Chief Designer of Echelon Technology E-mail: a.fadin@npo-echelon.com Цирлов Валентин Леонидович, кандидат технических наук, CISSP, Ц исполнительный директор ЗАО «НПО «Эшелон»

и E-mail: vz@npo-echelon.ru E Valentin Tsirlov, Ph.D., CISSP, Executive Director of NPO Echelon V E-mail: vz@npo-echelon.com E Чобанян Владимир Аршалуйсович, доктор технических наук, профессор, Заслуженный деятель науки и техники РФ, академик РАРАН E-mail: is@cnpo.ru Vladimir Chobanyan, Doctor of Technical Sciences, Professor, Honored Worker of Science and Technology of Russia, Member of the RAMAS E-mail: is@cnpo.ru Шахалов Игорь Юрьевич, заместитель генерального директора по Ш экспертизам ЗАО «НПО «Эшелон»

э E-mail: is@npo-echelon.ru E Igor Shahalov, Associate Professor, Deputy Director General for I examinations NPO Echelon e E-mail: is@npo-echelon.com E Требования, предъявляемые к рукописям, направляемым в редакцию 1. В структуру статьи должны входить: название статьи, УДК, полностью Ф.И.О. автора, его ученая степень и уче ное звание, аннотация статьи, ключевые слова. Аннотация объемом 200-400 печатных знаков должна содержать ха рактеристику основной темы исследования.

Название статьи, фамилии авторов и их ученые степени, аннота ция и ключевые слова должны быть сначала на русском, затем на английском языках. Далее следует текст статьи на русском или английском языках.

2. Автору статьи рекомендуется придерживаться следующей последовательности изложения материала: введе ние (краткое), цель исследования, материалы и методы исследования, результаты исследования и их обсуждение, выводы или заключение, список литературы. Статья должна содержать результаты самостоятельных исследований ав тора и обладать научной новизной.

Список литературы дается сначала на языке оригинала (русском или ином), а затем повторяется под заголовком References в виде транслитерации (не перевод) в латинском алфавите и с указанием в скобках перевода на англий ский язык. Англоязычные источники такими и остаются в транслитерированном списке.

3. К рукописи прикладываются отдельным файлом сведения об авторе на русском языке: Фамилия, Имя, Отче ство, место работы (без сокращений) или учебы, ученая степень и ученое звание, e-mail, цветная фотография автора (авторов), а также все эти сведения на английском языке. Эти сведения публикуются в каждом номере в разделе Све дения об авторах. Рекомендуется указывать телефон для связи (не публикуется).

4. К публикации принимаются научные статьи объемом не менее пяти и не более пятнадцати страниц (то есть не менее 10 000 и не более 30 000 символов, включая пробелы). Большие статьи (более 30 000 знаков) разбиваются на логические части.

5. Статья оформляется в виде отдельных файлов в форматах: *.doc, *.docx, *.txt, *.rtf. Рисунки, использованные в статье, прилагаются в виде отдельных файлов в формате *.jpg или *.tif с разрешением не менее 300 dpi для ори гинального размера в печатном издании. Цвет приветствуется. Имена файлов рисунков должны быть такими, какие они имеют в тексте. Математические выражения, имеющиеся в статье, представляются в формате редактора формул Microsoft Word.

6. Допускаются сокращения и условные обозначения, принятые в Международной системе единиц (сокращения мер, физических, химических и математических величин и терминов). Сокращения типа «т.к.» вместо «так как» и тому подобные не допускаются.

7. Цитируемая литература и источники приводятся в конце статьи по порядку упоминания в тексте (ГОСТ Р 7.0.5– 2008). Подстрочные ссылки на источники не допускаются, так как журнал верстается в профессиональных издатель ских программах и геометрические параметры статьи не будут соответствовать виду в текстовом редакторе. Ссылки даются в тексте строго в квадратных скобках, например: [16, с.5], [7, 25, 105].

8. Стиль статьи должен быть научным, ясным и лаконичным.

9. Редакция оставляет за собой право отбора статей. Рукопись может быть отправлена автору на доработку или отклонена как по формальным, так и по научным признакам. Критериями отбора являются соответствие профилю журнала, новизна, актуальность и обоснованность результатов. Не допускается направление в редакцию работ, кото рые опубликованы и/или приняты к печати в других изданиях.

Редакция не меняет стиль оформления по пожеланиям авторов и вправе без полного выполнения настоящих тре бований отказать в публикации.

10. Направление статьи в редакцию означает передачу неисключительных авторских прав на статью.

11. Статьи авторов без ученой степени направляются на одобрение рецензенту. Редакция оставляет за собой право дополнительно направить на внешнюю рецензию любую статью.

12. Редакция вправе запросить у автора письменное заключение на возможность печати данной статьи от пред ставляемой им организации, либо аналогичное письменное заявление от самого автора, если он выступает как само стоятельный автор. В заключении (заявлении) дается оценка возможности печати материала с учетом правовых и ре жимных аспектов.

13. При необходимости редакция консультирует и оказывает помощь авторам в выполнении формальных требо ваний к статьям, в частности по переводу на английский язык, в определении размера фотографий и их графической доработке.

14. За публикацию статей плата с авторов статей не взимается.



Pages:     | 1 | 2 ||
 





 
© 2013 www.libed.ru - «Бесплатная библиотека научно-практических конференций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.