УДК 004.239.056(075) ББК 32.973.202-018.2 С30 Рецензенты: В. Ф. Макаров—доктор технических наук, профессор, членкорреспондент РАЕН, Академия Управления М ВД РФ. А. М. Лихачѐв — доктор технических наук, профессор, Военный университет связи
Сёмкин С.Н., Беляков Э.В., Гребенев С.В., Козачок В.И. С30 Основы организационного обеспечения информационной безопасности объектов информатизации: Учебное пособие. — М.: Гелиос АРВ, 2005. —192 с. ISBN 5-85438-042-0 В учебном пособии рассматриваются организацио нные основы обеспечения информационной безопасности объектов информатизации, объединяющие принципы системного подхо да к решению этой проблемы, архитектурного построения и проектирования систем защиты информации, организации работ в этом направлении. Достаточное внимание уделяется вопросам моделирования систем и процессов защиты информации. Теоретические посылки излагаю тся в ракурсе практической реализации рассматриваемых вопросов на реальных объектах. Учебное пособие составлено в соответствии с учебной программой дисциплин «Организационно-правовое обеспечение информационной безопасности» и «Организационное обеспечение информационной безопасности». Для сту дентов, аспирантов и преподавателей вузов, а также специалистов в области защиты информации. ББК 32.973.202-018.2 © Сѐмкин С. Н., Беляков Э. В., Гребенев С. В , Козачок В. И., 2005 ISBN 5 -8S438-042-0 © Оформление. Издательство «Гелиос АРВ 2005
Содержание: Введение Глава 1. Современная постановка проблемы защиты информации 1.1. История развития проблемы защиты информации 1.2. Современная постановка проблемы защиты информации. Понятие «информационная безопасность» Глава 2. Информация как объект защиты 2.1. Понятия «информация», ее «источники и носители». Виды представления информации 2.2. Классификация и со держание возможных угроз информации 2.3. Возможные пу ти получения конфиденциальной информации Глава 3. Задачи, мето ды и средства обеспечения информационной безопасности 3.1. Цели и задачи обеспечения информационной безопасности 3.2. Стратегии защиты информации 3.3. Способы и средства защиты информации 3.4. Технические средства защиты 3.4.1. Средства поиска закладных устройств 3.4.2. Средства нейтрализации ТКУИ 3.4.3. Технические средства иденти фикации и установления подлинности 3.4.4. Геометрия руки 3.4.5. Почерк 3.4.6. Дактилоскопия 3.4.7. Рисунок сетчатки глаза 3.4.8. Радужная оболочка глаза 3.4.9. Характеристики речи 3.4.10. Инфракрасная карта лица 3.4.11. Технические средства контроля НСД к кабельным сетям 3.4.12. Технические средства маскировки информации 3.4.13. Программные средства защиты Глава 4. Ар хитектура систем защиты информации 4.1. Требования к ар хитектуре СЗ И 4.2. Основы ар хитектурного построения СЗИ 4.3. Служба защиты информации
Глава 5. Организация и обеспечение работ по защите информации 5.1. Общее со держание организации и обеспечения работ по защите информации 5.2. Организационно-правовое и документальное обеспечение работ по ЗИ 5.3. Защита информации в экстремальных ситуациях Глава 6. Мо дели систем и процессов защиты информации 6.1. Мо делирование систем и процессов защиты информации 6.2. Оценка безопасности информации на объектах ее обработки Глава 7. Проектирование систем защиты информации 7.1. Последовательность и общее содержание проектирования индивидуальных систем защиты информации 7.2. Определение требований к защите информации 7.3. Выбор задач и средств защиты информации Приложение По тенциально возможные средства решения задач по защите информации Литература
Введение В настоящее время во всем мире резко повысилось внимание к проблеме информационной безопасности. Это обусловлено процессами стремительного расширения потоков информации, пронизывающих все сферы жизни общества. К значительной части информации в этих потоках предъявляю тся требования по обеспечению определенной степени конфиденциальности. Особенно актуальны э ти требования для информационно -телекоммуникационных систем специально го назначения (ИТКС), поскольку они предназначены, как правило, для передачи ин формации, составляю щей государственную тайну. Отличи тельной особенностью объектов информатизации (ОИ) является комплексное использование на них информационных и телекоммуникационных техно логий, что вызывает необ хо ди мость применения более широкого спектра механизмов защиты информации, чем на объектах ЭВТ. Вместе с тем анализ су ществующей литературы в области защиты информации, описывающей в основном механизмы обеспечения компьютер ной безопасности, позволяет сделать выво д о явной недоста точности теоретической проработки этой проблемы для объек тов информатизации. Вместе с развитием способов и методов преобразования и передачи информации постоянно развиваются и методы обеспечения ее безопасности. Современный этап развития этой проблемы характеризуется перехо дом от традиционного ее представления как проблемы защиты информации к более ши рокому пониманию — проблеме информационной безопасности (ИБ), заключающейся в комплексном ее решении по двум основным направлениям. К первому направлению можно отнести защиту государ ственной тайны и конфиденциальных сведений, обеспечиваю щую главным образом невозможность несанкционированного доступа к ним. При этом под конфиденциальными сведениями понимаются сведения ограниченного доступа общественного характера (коммерческая тайна, партийная тайна и т. д.), а также личная конфиденциальная информация (персональные дан ные, интеллектуальная собственность и т. д.). Ко второму направлению относится защита о т информации, которая в последнее время приобретает международный масштаб и стратегический характер. При э том выделяю т три основ ных направления защиты от так называемого информационного оружия (воздействия):
на технические системы и средства; общество; психику человека. В соответствии с этим по дхо дом уточнены и дополнены множества угроз информации, функции и классы задач по за щите информации. Среди всей совокупности средств и методов обеспечения информационной безопасности организационные средства сто ят на особом месте, так как играют о дну из наиболее важных ролей в создании и функционировании надежной системы за щиты информации. Это обусловливается тем, ч то, по мнению специалистов, возможности несанкционированного использо вания конфиденциальных сведений в значительной мере зависят не от технических аспектов защиты, а о т злоумышленных, небрежных и халатных действий пользователей и персонала объекта обработки информации (ОИ). Влияния э тих аспектов практически невозможно избежать с помощью технических и программных средств. Для э того необхо димо организационное обеспечение ИБ—регламентация деятельности по обработке и защите конфиденциальной информации и взаимоотношений обслуживающего персонала на нормативно правовой основе таким образом, что разглашение, у течка и несанкцио нированный доступ к информации становятся невозможными или существенно затрудняю тся за счет проведения организационных мероприятий. В предлагаемом учебном пособии раскрываются направления обеспечения ИБ, основные принципы проектирования и построения систем защиты информации и организации работ по обеспечению ИБ на объектах информатизации, основы моделирования систем и процессов защиты информации. В нем рассматриваю тся следующие вопросы: история возникновения и развития проблемы защиты информации и современная ее постановка, характеризуемая как проблема информационной безопасности (гл. 1); анализ информации как объекта защиты, возможных угроз ее безопасности и вероятных пу тей по лучения злоумышленниками (гл. 2); анализ функций, задач и стратегий защиты информации с рассмотрением существующих средств такой защиты (гл. 3); принципы ар хитектурного построения систем защиты информации на объектах информатизации (гл. 4); основы организации работ по обеспечению информационной
безопасности на объектах информатизации (гл. 5); основы моделирования систем и процессов защиты информации (гл. 6); принципы проектирования систем защиты информации (гл. 7) Материалы учебного пособия были в течение длительного времени апробированы в учебном процессе Академии Спец связи России, научных конференциях и публикациях различно го уровня.
Глава 1. Современная постановка проблемы защиты информации 1.1. История развития проблемы защиты информации Анализ процесса развития средств и методов защиты инфор мации позволяет разделить его на три относительно самостоятельных периода. В основе такого деления лежит эво люция ви дов носителей информации. Первый период определяется началом создания осмыслен ных и самостоятельных средств и методов защиты информации и связан с появлением возможности фиксации информационных сообщений на твер дых носителях, то есть с изобретением письменности. Вместе с неоспоримым преимуществом сохранения и перемещения данных возникла проблема обеспечения сохранения в тайне существующей уже отдельно от источника конфиденциальной информации. Поэтому практически о дновременно с рождением письменности возникли такие методы защиты информации, как шифрование и скрытие. По утверждению ряда специалистов, криптография по воз расту — ровесник египетских пирамид. В документах древних цивилизаций — Индии, Египта, Месопотамии — есть сведения о системах и способах составления шифрованных писем. В древних религиозных книгах Индии указывается, что сам Будда знал несколько десятков способов письма, среди которых присутствовали шифры перестановки (по современной классификации). В знаменитом учебнике Ватсьяны об искусстве любви («Камасутра») среди 64 искусств, которыми должна владеть женщина, на 45-м месте упоминается тайнопись в виде шифра простой замены. Один из самых старых шифрованных тестов из Месопота мии (XX в. до н. э.) представляет собой глиняную таб личку, содержащую рецепт изготовления глазури в гончарном производстве, в котором игнорировались неко торые гласные и со гласные и употреб лялись числа вместо имен. Второй период (примерно с середины XIX в.) характеризуется появлением технических средств обработки информации и возможностью со хранения и передачи сообщений с помощью таких носителей, как э лектрические сигналы и электромагнитные поля (например, телефон, телеграф, радио). Возникли про блемы защиты от так называемых технических каналов у течки (побочных излучений, наводок и др.). Появились способы шифрования сообщений в реальном масштабе времени (в процессе передачи по телефонным и
телеграфным каналам связи) и т. д. Кроме того, это период активного развития технических средств разведки, многократно увеличиваю щих возможности ведения промышленного и государственного шпионажа. Огромные, все возрастающие убытки предприятий и фирм способство вали научно-техническому прогрессу в создании новых и совер шенствовании старых средств и методов защиты информации. Наиболее интенсивное развитие этих методов прихо дится на период массовой информатизации общества ( третий период). Поэтому история наиболее интенсивного развития проблемы защиты информации связана с внедрением автоматизирован ных систем обработки информации и измеряется периодом в более чем 40 лет. В 60-х гг. на Западе стало появляться боль шое количество открытых публикаций по различным аспектам защиты информации. Такое внимание к этой проблеме в первую очередь было вызвано все возрастающими финансовыми потерями фирм и государственны х организаций от преступле ний в компьютерной сфере. В ежегодном докладе ФБР было сказано, что за 1997 г. от противоправной деятельности иностранных спецслужб американские владельцы интеллектуальной собственности понесли ущерб, превышающий 300 млр д. до лларов. Выво ды западных экспер тов показываю т, ч то утечка 20% коммерческой информации в шестидесяти случаях из ста приво дит к банкротству фирмы. Все большие финансовые потери приносят вирусные атаки на компьютерные сети. Так, запущенный через э лектронную почту Интернет в мае 2000 г. вирус «I love you» вывел из строя свыше 5 млн компьютеров и нанес ущерб свыше 10 млр д долларов. В нашей стране давно и небезуспешно стали также зани маться проблемами защиты информации. И не зря советская криптографическая школа до сих пор считается лучшей в мире. Однако чрезмерная закрытость всех работ по защите информа ции, сконцентрированных главным образом в отдельных сило вых ведомствах, в силу отсу тствия регу лярной системы подго товки профессионалов в этой области и возможности широкого обмена опытом привела к неко торому отставанию в о тдельных направлениях информационной безопасности, особенно в обес печении безопасности компьютерной. Тем не менее к концу 80-х гг. бурный рост интереса к рассматриваемым проблемам возник и в нашей стране. В данное время есть все основания у тверждать, что в России сложилась о течественная школа за щиты информации. Ее отличительной особенностью является то, что в ней наряду с решением сугубо прикладных проблем за щиты
большое внимание уделяется форм ированию развитого научнометодологического базиса, создаю щего объективные предпосылки для решения всей совокупности соответствующих задач на регулярной основе. Естественно, ч то за истекшее после возникновения пробле мы защиты информации время существенно изменилось как представление о ее сущности, так и мето дологические подхо ды к решению. Указанные изменения происхо дили постепенно и непрерывно, поэтому всякая периодизация этого процесса в значительной мере будет носить искусственной характер. Тем не менее весь период активных работ по рассматриваемой проблеме в зависимости от подхо дов к ее решению довольно четко делится на три этапа. Начальный этап защиты (60-е — начало 70-х гг.) характеризовался тем, что под защитой информации понималось предупреждение несанкционированного ее по лучения лицами, не имеющими на то полномочий. Для этого использовались формальные (то есть функционирующие без участия человека) средства. Наиболее распространенными в автоматизированных системах обработки данных (АСОД) были проверки по паролю прав на доступ к ЭВТ и разграничение доступа к массивам дан ных. Э ти механизмы обеспечивали определенный уровень за щиты, однако проблему в целом не решали, поскольку для опытных злоумышленников не составляло большого труда най ти пути их преодоления. Для объектов обработки конфиден циальной информации задачи по ее защите решались в основном с помощью установления так называемого режима секретности, определяю щего строгий пропускной режим и жесткие правила ведения секретно го документооборота. Этап развития (70-е — начало 80-х гг.) о тличается интенсивными поисками, разработкой и реализацией способов и средств защиты и определяется следующими характеристи ками: постепенным осознанием необходимости комплексирования целей защиты. Первым итогом на этом пути стало совместное решение задач обеспечения целостности информации и предупреждения несанкционированного ее получения; расширением арсенала используемых средств защиты, причем как по их ко личеству, так и по их разнообразию. Повсе местное распространение получило комплексное применение технических, программных и организационных средств и мето дов. Широко стала практиковаться защита информации путем криптографического ее преобразования;
целенаправленным объединением всех применяемых средств защиты в функциональные самостоятельные системы. Например, только для решения задачи опознавания лиц, имеющих право пользования конфиденциальной информацией, разрабатывались методы и средства, основанные на следую щих признаках: традиционные пароли, но по усложненным процедурам; голос человека, обладаю щий индивидуальными характеристиками; отпечатки пальцев; геометрия руки, причем доказано, ч то по длине четырех пальцев руки человека можно опознать с высокой степенью на дежности; рисунок сетчатки глаза; личная подпись человека, причем идентифицируемыми характеристиками служат графика написания букв, динамика подписи и давление пишущего инструмента; фотография человека. Однако механическое нарастание количества средств защи ты и принимаемых мер привело в конечном итоге к проблеме эффективности системы защиты информации, учитывающей соотношение затраченных на ее создание средств к вероятным потерям от возможной утечки защищаемой информации. Для проведения такой оценки необ ходимо применять основные по ложения теории оценки сложных систем. Кроме того, к концу второго периода математически было доказано, ч то обеспечить по лную безопасность информации в системах ее обработки невозможно. Максимально приблизиться к этому уровню можно, лишь используя системный по дхо д к решению проблемы. Другими словами, успешное решение проблемы комплексной защи ты информации требует не только научно обоснованных кон цепций комплексной защиты, но и хорошего инструментария в виде методов и средств решения соответствующих задач. Разработка же такого инструментария, в свою очередь, может осуществляться то лько на основе достаточно развитых научно -методо логических основ защиты информации. Таким образом, характерной особенностью третьего, современного этапа (с середины 80-х гг, по настоящее время) комплексной защиты являю тся попытки аналитико-синтетической обработки данных всего имеющегося опыта теоретических исследований и практического решения задач защиты и формирования на э той основе научно-методологического базиса защиты информации. Основно й задачей третьего этапа является перевод процесса защиты информации на строго научную основу.
К настоящему времени уже разработаны основы целостной теории защиты информации. Формирование этих основ может быть принято за начало третьего этапа в развитии защиты информации. Принципиально важным является то, ч то российские специалисты и ученые, по объективным причинам отстав в разработке некоторых специализированных методов и средств защиты (особенно в области компьютерной безопасности), на данном этапе внесли существенный вклад в развитие основ теории защиты информации, чему способствовал бурный рост интереса к этой проблеме в высшей школе. Доказательством это го может служить то т факт, что если в 1985 г. открылся первый (без учета вузов, относящихся к силовым ведомствам) факу ль тет защиты информации в Российском государственном гуманитарном университете (в то время Московском государственном историко-ар хивном институ те), то к настоящему времени уже более 60 вузов страны занимаются этой проблемой. Их совместные усилия заложили основы понимания теоретических подхо дов к решению проблемы защиты информации. Теория защиты информации определяется как система основных идей, относящихся к защите информации, дающая це лостное представление о сущности проблемы защиты, зако номерностях ее развития и существенных связях с другими отраслями знания, формирующаяся на основе опыта практи ческого решения задач защиты и определяющая основные ориентиры в направлении совершенствования практики защиты информации. Составными частями теории являю тся: — полные и систематизированные сведения о происхожде нии, сущности и со держании проблемы защиты; — систематизированные результаты анализа развития тео ретических исследований и разработок, а также опыта практи ческого решения задач защиты; — научно обоснованная постановка задачи защиты инфор мации в современных системах ее обработки, полно и адекват но учитывающая текущие и перспективные концепции построения систем и технологий обработки, потребности в защите ин формации и объективные предпосылки их у довлетворения; — общие стратегические установки на организацию защиты информации, учитывающие все многообразие потенциально возможных условий защиты; — методы, необ ходимые для адекватного и наиболее эф фективно го решения всех задач защиты и содержащие как общеметодологические подхо ды к решению, так и конкретные
прикладные мето ды решения; — методологическая и инструментальная база, содержащая необхо димые методы и инструментальные средства для решения любой совокупности задач защиты в рамках любой вы бранной стратегической установки; — научно обоснованные предложения по организации и обеспечению работ по защите информации; — научно обоснованный прогноз перспективных направле ний развития теории и практики защиты информации. Приведенный перечень составных частей свидетельствует о большом объеме и многоаспектности теории защиты. Кроме того, проблема защиты информации относится к числу сравнительно новых, причем по мере развития исследований, разрабо ток и практической их реализации появляются новые аспекты, поэтому защита информации представляется все более комплексной и масштабной проблемой. Открываю тся все новые аспекты теории защиты информации, формирующиеся на стыке с другими науками. Так, для проведения оценки влияния на безопас ность информации основного ее носителя — человека — необходимо владеть навыками психоло гического анализа личности. Существенное влияние на формирование методов исследо вания вопросов защиты информации оказывает также неорди нарность проблемы, наиболее значимым фактором которой является повышенное влияние на процессы защиты случайных, трудно предсказуемых событий, особенно тех из них, ко торые связаны со злоумышленными действиями людей. Те же мето ды, стройная структура которых сформирована в классической теории систем, разрабатывались применительно к потребностям создания, организации и обеспечения функционирования технических, то есть в основе своей формальных, систем. А декватность э тих мето дов для удовлетворения указанных по требностей доказана практикой многих десятилетий. Но попытки применения методов классической теории систем к системам того типа, к которым относятся и системы защиты информации, с такой же убедительностью доказали их недостаточность для решения аналогичных задач в данных системах. В силу ска занного в качестве актуальной возникла задача расширения комплекса мето дов классической теории систем за счет вклю чения в него таких методов, которые позволяю т адекватно моделировать процессы, существенно зависящие от воздействия труднопредсказуемых факторов. К настоящему времени названная задача в какой-то мере решена, причем наиболее подходящими для
указанных целей оказались методы нечетких множеств, лингвистических переменных (нестрогой математи ки), неформального оценивания, неформального поиска опти мальных решений. Другой характерной особенностью современного этапа развития проблемы защиты информации является более широкое ее представление, определяемое как проблема информационной безопасности (рис. 1.1). 1.2. Современная постановка проблемы защиты информации. Понятие « информационная безопасность» Анализ рассмотренных этапов развития проблемы защиты информации показывает, что господствовавшее до недавнего времени представление о защите информации как о предупреждении несанкционированного ее получения (со хр анении тайны) является чрезмерно узким. Более того, само понятие «тайна» до недавнего времени ассоциировалось преимущественно с госу дарственными секретами, в то время как в современных услови ях повсеместное распространение получают понятия промышленная, коммерческая, банковская, личная и другие тайны. В действующих законодательных актах Российской Федерации (РФ) встречаются понятия более чем 40 видов тайн. Таким образом, даже в рамках традиционного представления о защите ин формации ее содержание до лжно быть существенно расширено. Исхо дя из э того, в последнее время проблема защиты информации рассматривается как проблема информационной безопасности — неотъемлемой составной части национальной безопасности Российской Федерации. Это ясно определяется Концепцией национальной безопасности Российской Федера ции, утвержденной Указом Президента Российской Федерации от 17.12.1997 г. № 1300 (последняя редакция — январь 2000 г.) и Доктриной информационной безопасности РФ, принятой в сентябре 2000 г. З десь система национальных интересов Рос сии определяется совокупностью основных интересов лично сти, общества и государства.
Информационная безопасность Российской Федерации определяется в Доктрине как состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, использовании ее в интересах осуществления не запрещенной законом деятельности, физическо го, ду ховного и интеллектуального развития, а также в защите ин формации, обеспечивающей личную безопасность. Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, до стижении и поддержании общественного согласия. Интересы государства заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод граждан в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности; защиты информационных ресурсов государства о т несанкционированного доступа; обеспечения безопасности информационных и теле коммуникационных систем России. В Доктрине особо подчеркивается, что обеспечение информа ционной безопасности самым теснейшим образом связано не только с решением научно-технических задач, но и с вопросами правового регулирования отношений информатизации, развитием законодательной базы. Рассматривая направления сложившейся в России системы информационной безопасности, можно выделить два основных. К первому направлению можно отнести традиционно сложившуюся в нашем понимании «защиту государственной тай ны и конфиденциальных сведений, обеспечивающую главным образом невозможность несанкционированного доступа к э тим сведениям, в каком бы виде они ни были представлены». При э том под конфиденциальными сведениями понимаются госу дарственная тайна, конфиденциальные сведения общественно го характера (коммерческая тайна, пар тийная тайна и т. д.), а также личная конфиденциальная информация (персональные данные, интеллектуальная собственность и т. д.). Для обеспечения их защиты существует достаточно хорошо
развитая систе ма защиты информации. Составными частями ее являю тся: — подсистема обеспечения режима секретности, выпо л няющая функции разграничения допуска лиц к государствен ным секретам, определения порядка проведения секретных ра бот и обращения с секретными документами и изделиями, а также контроля за соблюдением этого порядка; — подсистема обеспечения криптографической защиты пе-редаваемых по телекоммуникационной системе конфиден циальных сведений и решения вопросов безопасности шифрованной связи; — подсистема противо действия техническим средствам разведки, обеспечивающая защиту конфиденциальной инфор мации от ее утечки по техническим каналам. Однако в последнее время проблема информационной безопасности рассматривается шире. Оказалось, ч то современные технические, технологические и организационные системы, а также лю ди, коллективы лю дей и общество в целом сильно подверже ны внешним информационным воздействиям, причем последствия негативного воздействия могут носить не просто тяже лый, а трагический характер. Проиллюстрируем сказанное несколькими примерами. Управление вооруженными силами и комплексами оружия (включая и ракетно -ядерное) в настоящее время практически полностью автоматизировано. Но, как известно, средства этой техники подвержены значительным внешним информационным воздействиям: например, программные закладки по ко манде извне могут привести систему управления в действие или вывести из строя. В печати было сообщение о том, что американцам удалось заразить вирусом компьютерные системы управления ПВО Ирака, ч то сыграло важную роль в исхо де операции «Буря в пустыне». Э ти мето ды ведения войны были усовершенствованы и использованы войсками НАТО при ве дении боевых действий в Югославии, Афганистане и Ираке (в 2003 г.). Так, испо льзование вооруженными силами США электромагнитной бомбы в Багдаде позволило вывести из строя значительную часть технических средств АСУ войсками Ирака. Для принятия важных государственных решений по управлению государством для президента и правительства создана и функционирует система сбора и анализа информации об эконо мической и политической ситуации в стране. Нетрудно пред ставить, к чему может привести искажение таких сведений пу тем внешнего навязывания ложной информации.
Общеизвестно, ч то целенаправленной подтасовкой фактов и умелым методическим преподнесением их средствами массо вой информации можно сформировать достаточно устойчивое общественное мнение требуемого содержания. Теоретически доказано, а практикой многократно подтверждено, что психика и мышление человека насто лько подвержены внешним информационным воздействиям, ч то при надлежащем организован ном влиянии можно запрограммировать его поведение. Более того, в последнее время веду тся разработки методов и средств компьютерного проникновения в подсознание человека, чтобы оказывать на него глубокое воздействие. Примером сказанного может служить факт массового нарушения психики японских детей после просмотра по телевиде нию компьютерного мультсериала в 1997 г. Другим примером является не так давно широко обсуждаемый опыт американских специалистов, передававших по местному телевидению через 25-й кадр, не воспринимаемый глазом человека, но влияю щий на его психику, рекламу продукции компании «Кока-колы». Резу льтат был ошеломляющий. Реализация этой про дукции резко возросла. Возможности влияния электромагнитных, акустических и других полей на психику человека заложены в действие так на зываемого психотронного оружия. Созданию подобных устройств уделяют огромное внимание ведущие страны мира. Демонстрация действия такой техники проводилась в 1998 г. в учебном центре Сухопу тных войск США (Форт-По лк, штат Луизиана). Современная наука предлагает очень широкий спектр способов управления поведением, мыслями и чувствами человека (или группы лю дей). Самый простой — аудиовизуальное раздражение. Очень слабые нижнепороговые раздражите ли не воспринимаются сознанием, глубоко внедряясь в подсознание. Они незаметно ориентируют мышление и поведение человека в заданном направлении. Удобнее всего внедряться через слу ховой и зрительный каналы. Например, на приятную для объекта мелодию посредством микшера накладывается повторяющийся словесный текст рабочего внушения, замедлен ный в 10-15 раз. Транслируемые таким образом слова воспринимаются как глу хой вой и после наложения становятся совершенно незаметными. Таким способом удобнее всего внушать гражданам информацию посредством радио. При видеостимуляции (воздействии через зрительные каналы) в запись видеофильма, например, вклинивают очень короткие (0,04 с) врезки картино к внушаемого текста или образа, повторяемые каждые 5
с. Техника изготовления кассеты несложная, набор видеооборудования минимален. Тепловые или механические воздействия упругих колеба ний свыше 100 Гц (ультразвук) как таковые человек ощутить не в состоянии. Между тем колебания влияют на мыслительные структуры и нервную систему, вызывая го ловную боль, голо вокружение, расстройство зрения и дыхания, конвульсии, вплоть до отключения сознания. Приборы для таких воздействий несложные. Специальное медицинское оборудование и подго товленный персонал требуются лишь в том случае, если необ ходимо осуществить «прокалывание» избранных участков мозга хорошо сфокусированным ультразвуком для необратимого изъятия из памяти неже лательных воспоминаний. Инфразвук — это, наоборот, очень низкие частоты, ниже 16 Гц. Инфразвук малой интенсивности (примерно 120 дБ) вы зывает тошноту, звон в ушах, у худшение зрения, безо тчетный страх. Звук средней интенсивности (до 130 дБ) расстраивает ор ганы пищеварения и мозг, порождая паралич, а ино гда слепо ту. Воздействие же инфразвука интенсивностью 130 дБ и выше может вызвать остановку сердца. Еще более современная методика — испо льзование сверхвысокочастотного излучения. По д воздействием СВЧ-излуче-ния возникаю т нарушения восприятия реальности, усталость, тошнота, головная боль. СВЧ-излучение позволяет по лностью стерилизовать инстинктивную сферу, вызывает повреждения сер дца, мозга и центральной нервной системы. СВЧ-излучения внедряю т информацию прямо в мозг, в их по лях заметно ускоряется любая психообработка подсознания. В качестве антен ных передатчиков таких волн можно использовать телефонные провода, трубы, телевизор. Приведенные примеры показываю т, ч то остроактуальной является проблема не только защиты информации, но и защиты от информации, которая в последнее время приобретает международный масштаб и стратегический характер. Разви тие стратегических вооружений идет такими темпами, что вооруженное решение мировых проблем становится невоз можным. Вместо понятия «вооруженная борьба» все более прочно входят в обихо д понятия «информационная война» и «информационное оружие». При этом выделяют три ос новных направления информационного воздействия этого оружия: на технические системы и средства, общественное сознание и психику человека. Естественной является попытка ведущих стран реализовать свое информационное превосходство в той или иной сфере про тивостояния
государств путем установления глобального ин формационного контроля над мировым сообществом и навязать свои правила жизни. Указанные обстоятельства привели к ново му типу межгосударственного противостояния, получившего на звание «информационная война» и обладающего всеми сокру шительными признаками известных до сих пор типов войн. Факт по дго товки информационной войны не скрывается от мировой общественности США и другими ведущими индустриальными державами, что само является э лементом инфор мационного противостояния. За последние 15 лет расхо ды на приобретение средств информационной борьбы увеличились в США в четыре раза и ныне занимают первое место среди всех программ вооружений Соединенных Штатов. Вот одно из ее определений, взятое из проекта Устава МО США : «Информационная война — действия, предпри нимаемые для достижения информационного превосходства в интересах национальной военной стратегии, осуществляе мые путем влияния на информацию и информационные системы противника при одновременной защите собственной информации своих информационных систем». Таким образом, информационная безопасность определяется способностью государства, общества, личности: — обеспечивать с определенной вероятностью достаточ ные и защищенные информационные ресурсы и информационные потоки для поддержания своей жизнедеятельности и жизнеспособности, устойчивого функционирования и развития; — противостоять информационным опасностям и угрозам, негативным информационным воздействиям на индивидуальное и общественное сознание и психику лю дей, а также на компью терные сети и другие технические источники информации; — вырабатывать личностные и групповые навыки и уме ния безопасного поведения; — поддерживать постоянную готовность к адекватным мерам в информационном противоборстве, кем бы оно ни было навязано.
Глава 2. Информация как объект защиты 2.1. Понятия «информация», ее « источники и носители». В иды представления информации Составной частью любой области науки, в том числе развивающихся теоретических основ комплексной защиты информа ции, являю тся определенные понятия. Естественно, что о дним из основных понятий в э той предметной области является «ин формация», которая может быть о тнесена к абстрактным кате гориям и первичным понятиям, а по форме проявления является материальноэнергетической категорией. Существует множество определений понятия «информа ция»: от наиболее общего, философского (информация есть о тражение материального мира), до наиболее узкого, практиче ского (информация есть все сведения, являющиеся объектом хранения, передачи и преобразования). До середины 20-х гг. XX в. под информацией действительно понимались «сообщения и сведения», передаваемые лю дьми устным, письменным или иным способом. С середины XX в. информация превращается в общенаучное понятие, включаю щее обмен сведениями между лю дьми, человеком и автоматом, автоматом и автоматом; обмен сигналами в живо тном и растительном мире; передачу признаков от клетки к клетке, от организма к организму (генетическая информация). Это одно из ос новных понятий кибернетики. В связи с развитием средств связи и телекоммуникаций, вы числительной техники и их использованием для обработки и передачи информации возникла необходимость измерять ее ко личественные характеристики. К. Шенноном и У. Уивером были предложены вероятностные методы для определения ко личества передаваемой информации. Появилось понятие «энтропия информации» как мера ее неопределенности. Н. Винер предложил «информационное видение» кибернетики считать наукой об управлении в живых организмах и технических системах. По д информацией стали понимать уже не просто сведения, а только те из них, ко торые являю тся новыми и по лезными для принятия решения, обеспечивающего дости жение цели управления. Уже много лет развивается семантическая теория информации, которая изучает смысл, содержащийся в сведениях, их по лезность и ценность для по требителя.
С точки зрения процесса защиты информации нам важно представлять э то понятие в более материалистической плос кости, позволяющей направлять действия по обеспечению безопасности на конкретный объект. Поэтому остановимся на следующем определении. Информация — э то сведения о предметах, объектах, явлени ях, процессах (независимо от формы их представления), о тобра жаемые в сознании человека или на каком -либо носителе для последующего восприятия их человеком. Использование этого термина обычно предполагает возникновение материально-энергетическо го сигнала, воспринимаемого сенсорно или на приборном уровне. Существование тако го сигнала предполагает наличие носителя информации. При организации защиты засекреченной информации постоянно обращается внимание на необхо димость защиты носителей секретной и конфиденциальной информации, а так как такая информация неотрывна от них, она не может существовать по мимо носителя. И только получая доступ к носителю , злоумышленник может добыть интересующую (и защищаемую собственником) информацию. При этом носитель информации становится источником ее для э того злоумышленника. Очевидно, что по д понятием «источник» понимается ка кой-то объект, обладающий определенной информацией, к которой получили доступ одноразово или многократно интере сующиеся ею лица. Источник связан с каким-то получателем (субъектом), имеющим ту или иную возможность доступа к информации. Источник в этой паре выступает как бы пассивной стороной, а получатель-субъект — активной. Простейшая на первый взгляд операция превращения носителя информации в ее источник, ко торую мы сами проделыва ем ежедневно сотни и тысячи раз, при добывании защищаемой информации приобретает особый смысл. Носитель секретной и конфиденциальной информации находится под постоянной защитой, доступ к нему строго регламентируется. Поэ тому и доступ к такой информации соперником может быть получен только вопреки воле ее собственника. Такой незаконный, не санкционированный доступ всегда связан с риском провала операции. Если вдуматься, то основная цель защиты информа ции в конечном счете сводится к тому, чтобы не позволить со пернику получить доступ к о храняемому носителю инфор мации. Однако в деятельности по защите информации постоянно возникаю т ситуации, когда на носители информации не «повесишь замок», не закроешь их в сейф, особенно в процессе их использования, а также когда ими являю тся лю ди, различного рода излучения,
служащие «продуктом» деятельности техни ческих систем, каналов связи, излучением слаботочных приборов и т. д. Поэтому все эти носители являю тся потенциальными источниками информации (рис. 2.1). К ним-то и стремится получить доступ соперник, прокладывающий пу ти к интересующей его информации.
Рис 2.1. Преобразование носителя информации в источник Таким образом, с точки зрения обеспечения информационной безопасности под понятием «носитель» необ ходимо по нимать какой-то объект, обладаю щий определенной инфор мацией, которую можно получить (получать) о дноразово или многократно интересующимися ею лицами. Носитель связан с каким -то получателем (субъектом), имеющим ту или иную возможность доступа к информации. Тогда под носителем конфиденциальной информации будем понимать объект, обладающий определенными охраняемыми сведениями, представляющими интерес для злоумышленников. Рассматривая информацию с точки зрения отображения ее на каких-то или в какихто материальных (физических) объектах, ко торые дли тельное время могут со хранять ее в относительно неизменном виде или переносить из одного места в другое, носителей защи щаемой информации можно классифицировать следующим образом: — материально-вещественные носители (документы, кни ги, изделия, вещества и материалы); — излучения и поля (э лектромагнитные, тепловые, радиационные и другие излучения, гидроакустические, сейсмиче ские и другие поля); — человек. Нами информация должна рассматриваться по д углом зре ния задач и проблем информатизации, то есть, с одной сторо ны, как информационный ресурс общества, необходимый для
информационного обеспечения общественной деятельности и повседневной жизни лю дей, а с другой — как специфическое сырье, подлежащее добыванию и переработке по специфическим технологиям. Для то го чтобы в процессе деятельности информация эффективно выполняла свою роль, необ хо димо уметь оценивать значимость ее для эффективности соответствующей деятельности, имея в виду при э том, что в условиях информационного общества она является объектом и продуктом труда. Прокомментируем это простой схемой (рис. 2.2).
Рис. 2.2. Формирование информационных ресурсов ООИ для решения задач Имеющаяся на объекте информация И1 (преобразующаяся в процессе ее обработки в другой вид И2) и ИЗ используется объектом для решения какой -либо задачи. Очевидно, ч то для полной оценки используемой информации важно знать, во -первых, в каком виде она представлена и, во-вторых, в какой степени она позво лит решить указанную задачу. Например, одними из задач действующей в рамках информационно-телекоммуникационной системы специального назначения (ИТКС СН) информационно-аналитической подсистемы являю тся оперативный сбор, обработка и передача в центральные органы государственной власти сведений о различных направлениях развития регионов. Для вы полнения этой задачи важно знать в требуемый момент времени, насколько полна и адекватна имеющаяся информация, а также в каком виде она представлена (бумажном или электронном — последнее существенно сократит время доставки). Таким образом, для оценки информации необходимы пока затели дву х видов:
1) характеризующие информацию как объект труда в про цессе информационного обеспечения решаемых задач; 2) характеризующие информацию как обеспечивающий ресурс в процессе решения различных задач. Показатели первого вида должны характеризовать информацию как объект труда, над ко торым осуществляю тся некоторые процедуры в процессе переработки ее с целью информационного обеспечения решаемых задач. Для ОИ эти показатели имеют большое значение по двум причинам, определяющим основные виды характеристик данного вида показателей. 1. В рассматриваемых системах информационные сообщения прохо дят множество этапов обработки: пр едставление информации в символьном виде (различными формами электрических сигналов), преобразование сигналов (аналоговых в дискретную форму), шифрование данных и все обратные пре образования. Следовательно, в качестве основной характерис тики информации может выступать способ ее преобразования. 2. На всех участках технологических маршрутов обработки имеются потенциальные возможности для проявления большо го количества дестабилизирующих факторов, которые могут оказать негативное воздействие на информацию. Поэтому важной характеристикой до лжна быть степень защищенности и нформации от воздействия дестабилизирующих факторов. Показатели второго вида носят прагматический характер, их содержание определяется ролью, значимостью, важностью информации в процессе решения задач, а также ко личеством и содержанием информации, имеющейся в момент решения со ответствующей задачи. Причем здесь важно не просто количество сведений в абсолю тном выражении, а достаточность (пол нота) их для информационного обеспечения решаемых задач и адекватность, то есть соответствие текущему состоянию тех объектов или процессов, к которым относится оцениваемая ин формация. Кроме того, важное значение имеет чистота информации, то есть отсутствие среди необхо димых сведений ненуж ных данных или шумов. Наконец, для эффективности решения задач немаловажное значение имеет форма представления ин формации с точки зрения удобства восприятия и использова ния ее в процессе решения задач. Таким образом, ко второму виду показателей можно отнести следующие. 1. Важность информации. Это обобщенный показатель, характеризующий значимость информации с точки зрения тех за дач, для решения ко торых она испо льзуется. При э том необ ходимо определять
как важность самих задач для обеспечиваемой деятельности, так и степень важности информации для эффективно го решения соответствующей задачи. Такой подхо д использует, например, академик И. А. Лазарев [3], определяющий, ч то одной из составляющих понятия «информационная безопасность» является достижение требуемого качества информации для решения важнейших задач обеспечения безопасности государства, личности, общества. Для количественной оценки важности информации исполь зуют два критерия: уровень потерь в случае нежелательных из менений информации в процессе обработки под воздействием дестабилизирующих факторов и уровень затрат на восстанов ление нарушенной информации. Тогда коэффициент важности информации К ВИ можно представить в следующем виде:
КВИ = f (РПИ, РСВ)
(2.1.)
где РПИ — величина по терь при нарушении качества инфор мации; РСВ — величина стоимости восстановления ее качества. Для информации, обрабатываемой и передаваемой в систе ме правительственной связи, существуют следующие катего рии важности: особой важности, совершенно секретно, секретно, конфиденциально, — характеризуемые размером ущерба для страны. 2. Полно та информации. Это показатель, характеризующий меру достаточности информации для решения соответствующих задач. Полно та информации оценивается относительно вполне определенной задачи или группы задач. Поэтом у, чтобы иметь возможность определять показатель по лноты информации, необхо димо для каждой задачи или группы задач заблаговременно составить перечень сведений, ко торые необ ходимы для их решения. Для представления таких сведений удобно восполь зоваться та к называемыми объектнохарактеристическими таблицами (ОХТ), каждая из ко торых есть дву хмерная матрица с приведенным в строках перечнем наименований объектов, процессов или явлений, входящих в круг интересов соответствующей задачи, а в столбцах — наименование их характерис тик (параметров), значения которых необ ходимы для решения задачи. Совокупность всех таблиц, необ ходимых для обеспече ния решения всех задач, может быть названа информационным кадастром объекта. Коэффициент полноты информации в некоторой ОХТ может быть выражен в следующем виде:
(2.2.) где d — элемент, нахо дящийся в f-й строке иу-м сто лбце; т — число строк ОХТ; п — число столбцов. 3. Адекватность информации. Под адекватностью информации понимается степень соответствия действительному состоянию тех реалий, которые отображает оцениваемая информация. В общем случае адекватность определяется двумя параметрами: объективностью генерирования информации о предмете, процессе или явлении и продолжительностью интервала времени между моментом генерирования информации и текущим моментом, то есть до момента оценивания ее адекватности. Для оценки адекватности по второму параметру вполне подхо дящим является известный в теории информации так назы ваемый закон старения информации (рис. 2.3). Рассматриваемый показатель широко применяется в криптографии при оценке стойкости шифрования передаваемой информации. Например, аппаратура шифрования является аппа ратурой гарантированной стойкости, если период времени до расшифрования противником перехваченного сообщения составляет такую величину, что к этому моменту значимость информации в результате ее старения близка к нулю, то есть б ли зок к нулю и коэффициент адекватности. 4. Релевантность информации. Релевантность есть такой показатель информации, который харак теризует соответствие
Рис. 2.3. Общий вид закона старения и нформации
ее потребностям решаемой задачи. Для ко личественного выра жения данного по казателя обычно используют так называемый коэффициент релевантности (К р ), определяющий отношение объема релевантной информации (Кри) к общему объему анализируемой информации (Р" и). Трудности практическо го исполь зования данного коэффициента сопряжены с количественным выражением объема информации. Существует множество по дхо дов в определении понятия «количество информации». Например, в сфере документооборота под этим понимается ко личество обрабатываемых до ку ментов. В сфере информационной обработки сигналов это по нятие связано с понятием «энтропия». 5. Толерантность информации. Это показатель, характеризующий удобство восприятия и использования информации в процессе решения задачи. Данное понятие является очень ши роким, в значительной мере неопределенным и субъективным. Так, для системы телефонной связи оно может характеризовать разборчивость речевых сообщений, передаваемых по каналам связи. Показатели первого и второго видов нахо дятся в неразрыв ной связи. Так, с точки зрения обеспечения информационной безопасности объекта уровень важности информации определяет и требуемую степень ее защиты. Проведение оценки качества информации по рассмотренным показателям позволяет проанализировать ее по тенциаль ную ценность и исхо дя из этого определить необ хо димые меры защиты, то есть сделать информацию защищаемой. 2.2. Классификация и содержание возможных угроз информации Вернемся к рассмотренному выше понятию «информационная безопасность» (ИБ) как состояние защищенности потребностей личности, общества и государства в информации, при котором обеспечиваются их существование и прогрессивное развитие независимо от наличия внутренних и внешних информационных угроз. Тогда с позиции обеспечения ИБ можно определить, что под информационной угрозой понимается воздействие дестабили зирующих факторов на состояние информированности, под вергающее опасности жизненно важные интересы личности, общества и государства. В законе РФ « О безопасности» дано определение угрозы безопасности как совокупности условий, факторов, создаю щих
опасность жизненно важным интересам личности, общества и государства. Под угрозой информации в системах ее обработки понимается возможность возникновения на каком -либо этапе жизнедеятельности системы такого явления или события, следствием которого могут быть нежелательные воздействия на информацию. К настоящему времени известно большое количество разноплановых угроз различного происхождения, таящих в себе различную опасность для информации. Для системного представления их у добно классифицировать по виду, воз можным источникам, предпосылкам появления и характеру проявления. 1. В иды угроз Определив понятие «угроза государству, обществу и лич ности» в широком смысле, рассмотрим его относительно непосредственного воздействия на конфиденциальную информацию, обрабатываемую на каком-либо объекте (кабинете, предприятии, фирме). Анализируя возможные пути воздей ствия на информацию, представляемую как совокупность п информационных элементов, связанных между собой логическими связями (рис. 2 4), можно выделить основные нару шения: — физической целостности (унич тожение, разрушение элементов); — логической целостности (разрушение логических связей); — содержания (изменение бло ков информации, внешнее навязывание ложной информации); — конфиденциальности (разрушение защиты, уменьшение степени защищенности информации), — прав собственности на информацию (несанкционирован ное копирование, использование).
Рис 2.4. Возможные пути воздействия на и нформацию
С учетом э того для таких объектов систем угроза информа ционной безопасности представляет реальные или по тенциально возможные действия или условия, приво дящие к овладению конфиденциальной информацией, хищению, искажению , изме нению, уничтожению ее и сведений о самой системе, а также к прямым материальным убыткам. Обобщая рассмотренные угрозы, можно выделить три наиболее выраженные для систем обработки информации: 1) подверженность физическому искажению или уничто жению; 2) возможность несанкционированной (случайной или зло умышленной) модификации; 3) опасность несанкционированного (случайного или преднамеренного) получения информации лицами, для которых она не предназначалась. Кроме того, с точки зрения анализа процесса обработки информации выделяю т такую угрозу, как блокирование доступа к обрабатываемой информации. 2. Характер происхождения угроз Угрозы безопасности информации в современных системах ее обработки определяю тся умышленными (преднамеренные угрозы) и естественными (непреднамеренные угрозы) разрушающими и искажающими воздействиями внешней среды, надежностью функционирования средств обработки инфор мации, а также преднамеренным корыстным воздействием несанкционированных пользователей, целями ко торых являются хищение, уничтожение, разрушение, несанкционированная модификация и использование обрабатываемой информации. При этом под умышленными, или преднамеренными, понимаются такие угрозы, которые обусловливаются злоумышленными действиям и лю дей. Случайными, или естественными, являю тся угрозы, не зави сящие от воли лю дей. В настоящее время принята следующая классификация угроз сохранности (целостности) информации (рис. 2.5).
Рис 2.5. Классификация угроз целостности информации 3. Источники угроз Под источником угроз понимается непосредственный испо лнитель угрозы с точки зрения ее негативного воздействия на ин формацию. Источники можно разделить на следующие группы: — люди; — технические устройства; — модели, алгоритмы, программы; — технологические схемы обработки; — внешняя среда 4. Предпосылки появления угроз Существуют следующие предпосылки, или причины, появ ления угроз: — объективные (количественная или качественная недостаточность э лементов системы) — не связанные непосредственно с деятельнос тью лю дей и вызываю щие случайные по характеру происхождения угрозы; — субъективные — непосредственно связанные с деятель ностью человека и вызываю щие как преднамеренные (деятель ность разведок иностранных государств, промышленный шпи онаж, деятельность уголовных элементов и недобросовестных со трудников), так и непреднамеренные (пло хое психофизио логическое состояние, недостаточная подготовка, низкий уровень знаний) угрозы информации. Взаимодействие угроз можно представить на рис. 2.6.
Рис. 2.6. Взаимодействие параметров угроз информации Перечисленные разновидности предпосылок интерпретиру ются следующим образом: — количественная недостаточность — физическая не хватка одного или неско льких элементов системы обработки, вызывающая нарушения технологического процесса обработки или перегрузку имеющихся элементов; — качественная недостаточность — несовершенство конструкции (организации) э лементов системы, в силу чего может появляться возможность случайного или преднамеренного не гативного воздействия на обрабатываемую или хранимую ин формацию; — деятельность разведорганов иностранных государств — специально организуемая деятельность государственных органов разведки, профессионально ориентированных на добыва ние необхо димой информации всеми доступными способами и средст вами; — промышленный шпионаж: — негласная деятельность отечественных и зарубежных промышленных организаций (фирм), направленная на по лучение незаконным путем кон фиденциальной
информации, используемой для достижения промышленных, коммерческих, по литических и ли по дрывных целей; — злоумышленные действия уголовных элементов — хищение информации, средств ее обработки или компьютерных программ в целях наживы или их разрушение в интересах конкурентов; — пло хое психофизиологическое состояние — постоянное или временное психофизиологическое состояние сотру дников, приводящее при определенных нестандар тных внешних воз действиях к увеличению ошибок и сбоев в обслуживании сис тем обработки информации или непосредственно к разглаше нию конфиденциальной информации; — недостаточная качественная подготовка сотрудников — уровень теоретической и практической подготов ки персонала к выполнению задач по защите информации, недостаточная степень которого может привести к нарушению процесса функционирования системы защиты ин формации. В современной литературе и нормативно-правовых актах в области информационной безопасности можно встретить та кую классификацию угроз информации, которая делит их на вну тренние и внешние. Одной из наибо лее принципиальных особенностей пробле мы защиты информации является формирование полного множества угроз информации, потенциально возможных на объек те ее обработки. В самом деле, даже о дна неучтенная угроза может в значительной мере снизить эффективность защиты. 2.3. Возможные пути получения конфиденциально й информации Анализ рассмотренных видов угроз позволяет сгруппиро вать их по двум основным областям: 1) угрозы нарушения физической и логической целостно сти, а также содержания информации (несанкционированная модификация). Их можно объединить в причины нарушения целостности информации (ПНЦИ); 2) угрозы, следствием которых может быть получение за щищаемой информации (хищение или копирование) лицами, не имеющими на это полномочий, — в каналы несанкционированного получения информации (КНПИ). Рассмотрим относительно полное множество КНПИ, сформированное на основе такого показателя, как степень взаимо действия злоумышленника с элементами объекта обработки и самой
информацией. В соответствии с этим показателем КНПИ делятся на следующие классы (рис. 2.7): 1) от источника информации при несанкционированном доступе (НСД) к нему; 2) со средств обработки информации при НСД к ним; 3) от источника информации без НСД к нему; 4) со средств обработки информации без НСД к ним.
Рис. 2.7. Классификация КНПИ К первому классу КНПИ относя тся [8]: 1) хищение носителей информации; 2) копирование информации с носителей (материально вещественных, магнитных и т. д.); 3) подслушивание разговоров (в том числе аудиозапись); 4) установка закладных устройств в помещение и съем информации с их помощью; 5) выведывание информации обслуживающего персонала на объекте; 6) фотографирование или видеосъемка носителей информации внутри помещения. Ко второму классу КНПИ о тносятся: 1) снятие информации с устройств электронной памяти; 2) установка закладных устройств в СОИ; 3) вво д программных продуктов, позволяющих злоумышленнику получать информацию; 4) копирование информации с технических устройств отобра жения (фото графирование с мониторов и др.). Третий класс КНПИ составляю т: 1) получение информации по акустическим каналам (в системах
вентиляции, теплоснабжения, а также с помощью направленных микрофонов); 2) получение информации по виброакустическим кана лам (с использованием акустических датчиков, лазерных устройств); 3) использование технических средств оптической разведки (биноклей, по дзорных труб и т. д.); 4) использование технических средств оптико -электронной разведки (внешних телекамер, приборов ночного видения и т. д.); 5) осмотр отходов и мусора; 6) выведывание информации у обслуживающего персонала за пределами объекта; 7) изучение выхо дящей за пределы объекта о ткрытой ин формации (публикаций, рекламных проспектов и т. д.). К четвертому классу относятся следующие КНПИ: 1) электромагнитные излучения СОИ (ПЭМ И, паразитная генерация усилительных каскадов, паразитная модуляция высокочастотных генераторов низкочасто тным сигналом, содер жащим конфиденциальную информацию); 2) электромагнитные излучения линий связи; 3) подключения к линиям связи; 4) снятие наводок электрических сигналов с линий связи; 5) снятие наводок с системы питания; 6) снятие наводок с системы заземления; 7) снятие наводок с системы теплоснабжения; 8) использование высокочастотного навязывания; 9) снятие с линий, выхо дящих за пределы объекта, сигна лов, образованных на технических средствах за счет акусто -э лектрических преобразований; 10) снятие излучений оптоволо конных линий связи; 11) подключение к базам данных и ПЭВМ по компьютер ным сетям. Под действием рассмотренных выше угроз может произойти утечка защищаемой информации, то есть несанкциониро ванное, неправомерное завладение соперником данной инфор мацией и возможность использования ее в своих, в ущерб интересам собственника (владельца) информации, целях. При этом образуется канал у течки информации, под которым понимается физический путь от источника конфиденциаль ной информации к злоумышленнику. Для его возникновения необ хо димы определенные пространственные, энергетические и временные условия, а также соответствующие
средства восприятия и фиксации информации на стороне злоумышленника. С учетом всех возможных путей утечки информации рас смотрим модель канала ее утечки (рис. 2.8), ко торую формально можно представить следующим выражением:
ЕОС = {I, C, Z, S, N, R},
(2.3.)
где I — множество источников конфиденциальной информации; С — множество объектов системы обработки информации (СОИ);
Рис. 2.8. Модель канала утечки информации Z = {Za, Zn , ZOT} — множество механизмов защиты техни ческого и организационно-технического типа; S= {о, а, е, т) — среда распространения сигналов, включающая оптическую, акустическую, электромагнитную и материально-вещественную составляю щие; N = {Nc, NH} — множество шумовых сигна лов естественного и искусственно го происхождения; R — оптимальный приемник перехвата. В э той модели информация / как неко торый знаковый ал фавит преобразуется объектами системы обработки (СОИ) р азличной природы (человеческого, человекомашинного и технического типа) в сигналы и сообщения {С., С , С}. При рас пространении эти сигналы подвергаю тся ослаблению и блокиро ванию системой защиты, а также
воздействию шумов искусственного и естественно го происхождения. Сведения, полученные при обработке информации объектами типа «человек» и «чело век—техника», представляю т собой знания, образы, действия, поведение и т. д. Несанкционированное их распространение ограничивается выполнением организационно -технических мероприятий по обеспечению безопасности информации. В зависимости от испо льзуемых соперником сил и средств для получения несанкционированного доступа к носителям защищаемой информации различают каналы агентурные, техни ческие, легальные. Агентурные каналы утечки информации — это использова ние противником тайных агентов для получения несанкциони рованного доступа к носителям защищаемой информации. В случае использования агентами технических средств развед ки (направленных микрофонов, закладных устройств, миниатюрных видеокамер и др.) говорят о ведении агентурно-техни-ческой разведки. Технические каналы утечки информации — совокупность технических средств разведки, демаскирующих признаков объекта защиты и сигналов, несущих информацию об этих при знака х. Эти каналы образуются без участия человека в процессе обработки информации техническими средствами, а по этому являются одними из наиболее опасных и требуют отдельного рассмотрения. Легальные каналы утечки информации — это использование соперником открытых источников информации (литерату ры, периодических изданий и т. п.), обратный инжиниринг, вы ведывание под благовидным предлогом информации у лиц, располагающих интересующей соперника информацией, и дру гих возможностей. В основу классификации ПНЦИ положен показатель, характеризующий степень участия в этом процессе человека. В соответствии с таким подхо дом ПНЦИ делятся на два вида (объективные и субъективные) и на следующие классы (рис. 2.9).
Рис 2 9 Классификация ПНЦИ
1.1. Субъективные преднамеренные. 1.1.1. Диверсия (организация пожаров, взрывов, поврежде ние электропитания и др.). 1.1.2. Непосредственные действия над носителем (хищение, подмена носителей, унич тожение информации). 1.1.3. Информационное воздействие (электромагнитное об лучение, ввод в компьютерные системы разрушающих про граммных средств, воздействие на психику личности психо тропным оружием). 1.2. Субъективные непреднамеренные. 1.2.1. Отказы обслуживаю щего персонала (гибель, длитель ный выход из строя). 1.2.2. Сбои лю дей (временный выход из строя). 1.2.3. Ошибки лю дей. 2.1. Объективные непреднамеренные. 2.1.1. Отказы (по лный выхо д из строя) аппаратуры, про грамм, систем питания и жизнеобеспечения. 2.1.2. Сбои (кратковременный выхо д из строя) аппаратуры, программ, систем питания и жизнеобеспечения. 2.1.3. Стихийные бедствия (наво днения, земле трясения, ураганы). 2.1.4. Несчастные случаи (пожары, взрывы, аварии). 2.1.5. Электромагнитная несовместимость. Для предотвращения возможной утечки конфиденциальной информации и нарушения ее целостности на объектах ее обработки разрабатывается и внедряется система защи ты информации. Система защиты информации — совокупность взаимосвязанных средств, методов и мероприятий, направленных на предотвращение уничтожения, искажения, несанкционированного получения конфиденциальных сведений, отображенных физическими полями, электромагнитными, световыми и звуковыми волнами или вещественно-материальными носите лями в виде сигналов, образов, символов, технических решений и процессов.
Глава 3. Задачи, методы и средства обеспечения информационной безопасности 3.1. Цели и зад ачи обеспечения информационной безопасности Формирование множества задач осуществляется на основе анализа объективных возможностей по реализации поставлен ных целей защиты. Такое их множество может состоять из ряда классов, включающих со держащие однородные в функциональном отношении задачи. Класс задач — однородное в функциональном отношении множество задач, обеспечивающих полную или частичную реализацию одной или неско льких целей. Учитывая, ч то основной целью обеспечения информационной безопасности является обеспечение защиты системы от обнаружения и от информационного воздействия, а также со держания ин формации, выделяю тся задачи соответствующих видов (рис. 3.1). ЦЕЛИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Обеспечение защиты Обеспечение защиты Обеспечение защиты системы от содержания информации системы от обнаружения информационного воздействия
КЛАССЫ ЗАДАЧ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 1.1 Скрытие 2.1. Введение избыточности 3.1. Защита от воздействия на 1.2 Дезинформация 2.2. Резервирование элементов технические средства 1.3. Легендирование 2.3. Регулирование доступа 3.2. Защита от воздействия на 2.4. Регулирование общество использования 3.3. Защита от воздействия на 2.5. Маскировка человека 2.6. Регистрация 2.7. Уничтожение 2 8 Сигнализация 2.9. Оценка 2.10 Реагирование
Рис. 3.1 Классификация задач обеспечения информационной безопасности Одними из первичных целей противника являются обнару жение объекта, обрабатывающего конфиденциальную информацию, и выявление сведений о его предназначении. Поэто му к первому виду
задач можно отнести задачи уменьшения сте пени распознавания объектов. К э тому виду о тносятся следую щие классы задач. Класс 1.1. Скрытие сведений о средствах, комплексах, объектах и системах обработки информации. Эти задачи могут подразделяться на технические и организационные. Организационные задачи по скрытию информации об объектах ориентированы на недопущение разглашения этих сведений сотрудниками и утечки их по агентурным каналам. Технические задачи направлены на устранение или ослаб ление технических демаскирующих признаков объектов защиты и технических каналов у течки сведений о них. При этом скрытие осуществляется уменьшением электромагнитной, временной, структурной и признаковой доступности, а также ослаблением адекватности между с труктурой, тополо гией и характером функционирования средств, комплексов, объектов, систем об работки информации и управления. Решение э той задачи представляет собой реализацию комплекса организационно-технических мероприятий и мер, обеспечивающих выполнение основного требования к средствам, комплексам и системам обработки информации — разведзащищенности, и направлено на достижение одной из главных целей — исключения или существенного затруднения техни ческой разведке поиска, определения местоположения, радио наблюдения источников радиоизлучения, классификации и идентификации объектов технической разведки по выявленным демаскирующим признакам. Решение задачи по снижению электромагнитной доступно сти затрудняет как энергетическое обнаружение, так и опреде ление координат района расположения источников радиоизлу чения, а также увеличивает время выявления демаскирующих признаков, уменьшает точность измерения параметров и сигна лов средств радиоизлучения. Снижение временной доступности радиоизлучающих средств предполагает сокращение времени их работы на излучение при передаче информации и увеличение длительности паузы между сеансами обработки информации. Для уменьшения структур ной и признаковой доступности средств, комплексов и систем обработки информации реализуются организационно -технические мероприятия, ослабляющие демаскирующие признаки и создаю щие так называемый «серый фон». Технические задачи скрытия должны решаться, например, для подвижных объектов (автомобилей), оборудованных радиосвязью. Класс 1.2. Дезинформация противника.
К э тому классу относятся задачи, заключающиеся в распространении заведомо ложных сведений о тносительно истинного назначения каких-либо объектов и изделий, действительного состояния какой-либо области государственной деятельности, положения дел на предприятии и т. д. Дезинформация обычно проводится путем распространения ложной информации по различным каналам, имитацией или ис кажением признаков и свойств отдельных э лементов объектов защиты, создания ложных объектов, по внешнему виду или про явлениям похожих на интересующие соперника объекты, и др. Роль дезинформации подчеркивал А. Ф. Вивиани, специа лист в области контршпионажа: «На нас обрушивается, валится, извергается огромное количество информации. Она бывает фальшивой, но выглядит правдоподобно; бывает правдивой, а на самом деле хитроумно перекроена, дабы производить впе чатление фальшивой; бывает отчасти фальшивой и отчасти правдивой. Все зависит от выбранного способа так называемой дезинформации, цель которой — заставить вас верить, желать, думать, принимать решения в направлении, выго дном для тех, кому зачем -то нужно на нас воздействовать...». Техническая дезинформация на объекте защиты представля ет собой комплекс организационных мероприятий и техниче ских мер, направленных на введение в заблуждение технической разведки относительно истинных целей систем обработки информации, намерений органов управления. Частными задачами технической дезинформации являю тся: — искажение демаскирующих признаков реальных объектов и систем, соотве тствующих признакам ложных объектов; — создание (имитация) ложной обстановки, объектов, сис тем, комплексов путем воспроизведения демаскирующих при знаков реальных объектов, структур систем, ситуаций, дей ствий, функций и т. д.; — передача, обработка, хранение в системах обработки ложной информации. В общем виде эти задачи могут быть сгруппированы в частные задачи радиоимитации, радиодезинформации, демонстра тивных действий. Класс 1.3. Легендирование. Объединяет задачи по обеспечению получения злоумышлен ником искаженного представления о характере и предназначе нии объекта, когда наличие объекта и направленность работ на нем полностью не
скрывают, а маскируют действительное предназначение и характер мероприятий. На практике, учитывая чрезвычайно высокую степень раз вития современных средств ведения разведки, представляется особо сложным полное скрытие информации об объектах. Так современные средства фоторазведки позволяю т делать из космоса снимки объектов с разрешающей способностью в не сколько десятков сантиметров. Поэтому наряду с рассмотренным видом задач не мене( важными, а по содержанию более объемными, являю тся задачи по защите содержания обрабатываемой, хранимой и передаваемой информации. К э тому виду о тносятся следующие классы задач. Класс 2.1. Введение избыточности элементов системы. Под избыточностью понимается включение в состав эле ментов системы обработки информации дополнительных ком понентов, обеспечивающих реализацию заданного множества целей защиты, с учетом воздействий внешних и вну тренних де стабилизирующих факторов. Решение этой задачи включает реализацию комплекса организационных мероприятий, технических, программных и дру гих мер, обеспечивающих организационную, аппаратную, про граммноаппаратную, временную избыточности. Организационная избыточность осуществляется за счет вве дения дополнительной численности обслуживающего персо нала, его обучения, организации и обеспечения режима сохра нения государственной тайны и другой конфиденциальной информации, определения порядка передачи информации различной степени важности, выбора мест размещения средств и комплексов обработки информации и т. п. Аппаратурная избыточность осуществляется за счет введе ния дополнительных технических устройств, обеспечивающих защиту информации. Программно-аппаратная избыточность предполагает использование дополнительных программных, аппаратных и комбини рованных средств защиты в системе обработки информации. Информационная избыточность осуществляется за счет со здания дополнительных информационных массивов, банков данных. Временная избыточность предполагает выделение дополнительного времени для проведения обработки информации и др. Класс 2.2. Резервирование элементов системы. Резервирование, в отличие от задачи введения избыточно сти, предполагает не введение дополнительных элементов,
обеспечивающих защиту информации, а их исключение и пере вод в резерв на случай возникновения необхо димости обработки дополнительного массива информации, повышения статуса ее защищенности, возникновения непредвиденных ситуаций. Такое резервирование может быть « горячим» и «холо дным». При горячем резервировании элементы нахо дятся в рабочем состоянии и включаю тся в работу без проведения дополнитель ных операций по включению и по дго товке к работе, а при хо лодном элементы переводятся в рабочее состояние после дополнительных операций. Класс 2.3. Регулирование доступа к элементам системы и защищаемой информации. Регулирование доступа к средствам, комплексам и системам обработки информации (на территорию, в помещение, к тех ническим средствам, программам, базам данных и т. п.) предполагает реализацию идентификации, проверки по длинности и контроля доступа, регистрацию субъекта, учет носителей ин формации в системе ее обработки. Кроме того, к данному классу о тносятся задачи по установ лению и регулированию контролируемых зон вокруг технических средств обработки информации, за пределами которых становятся невозможными выделение и регистрация с помощью технических средств разведки сигналов, со держащих конфи денциальную информацию. Такие сигналы могут возникать, например, за счет появления вокруг функционирующих средств обработки информации побочных электромагнитных излучений (ПЭМ И) или наводок в проводах, выхо дящих за пределы контролируемой зоны. При этом установление размеров контролируемых зон вклю чает следующие этапы: — определение по лного множества возможных угроз утеч ки информации по техническим каналам; — проведение в соответствии с имеющимися методиками измерений параметров информационных сигналов, характери зующих ТКУИ; — расчет зон опасного сигнала, в ко торых возможно его вы деление из смеси с шумовым сигналом; — применение организационных и технических мер по защите и недопущению в контролируемую зону лиц, не имеющих на э то права. Регулирование размеров контролируемых зон произво дится в случае невозможности обеспечения требований к контроли руемой зоне организационными методами путем применения технических способов
защиты, снижаю щих возможности про тивника по выделению сигнала, содержащего конфиденциаль ные сведения. Класс 2.4. Регулирование использования элементов системы и защищаемой информации. Регулирование использования заключается в осуществле нии запрашиваемых процедур (операций) при условии предъ явления некоторых заранее обусловленных полномочий. Для решения данного класса задач относительно конфиденциальной информации могут осуществляться такие операции, как ее дробление и ранжирование. Дробление (расчленение) информации на части с таким усло вием, что знание какой-то одной ее части (например, одной операции по технологии производства како го-то продукта) не позво ляет восстановить всю картину, всю техно логию в целом. Дробление применяется достаточно широко при производ стве средств вооружения и военной техники, а также при про изводстве товаров народного потребления. Широко известно, наприм ер, как фирма, производящая напиток «Кока -ко ла», хра нит секрет концентрата «7х»: во всем мире его знают только три человека, и то лишь по частям. Они не имеют права одно временно выехать из своего офиса, ездить в одной машине, ле тать одним самолетом. Ранжирование включает, во-первых, деление засекречивае мой информации по степени секретности и, во -вторых, регла ментацию допуска и разграничение доступа к защищаемой ин формации: предоставление индивидуальных прав отдельным пользователям на доступ к необ ходимой им конкретной информации и на выполнение отдельных операций. Разграничение доступа к информации может осуществляться по тематическому признаку или по признаку секретности информации и определяется матрицей доступа. Примером данного класса задач являе тся допуск сотрудни ков к обслуживанию специальной техники только при наличии соответствующего разрешения. Класс 2.5. Маскировка информации. Маскировка информации заключается: — в скрытии факта наличия информации методами стеганографии; — в преобразовании данных, исключающем доступ посто ронних лиц к содержанию информации и обеспечивающем доступ разрешенным пользователям при предъявлении ими специального ключа преобразования. Решение этой задачи осу ществляется на основе криптографических, некриптографических и смежных с ними (ко довое
зашумление, ортогональные преобразования) преобразований. Класс 2.6. Регистрация сведений. Регистрация предполагает фиксацию всех сведений о фак тах, событиях, возникающих в процессе функционирования средств и систем обработки информации, относящихся к защи те информации, на основании которых осуществляется реше ние задач оценки состояния безопасности информации с целью повышения эффективности управления механизмами защиты. Данный вид задач может быть реализован как автоматизиро ванным, так и ручным способами. В первом случае примером могут служить специальные программные средства регистра ции попыток несанкционированного доступа в систему, несанкционированного использования ресурсов системы и др. Для реализации ручного способа на каждом объекте обработки информации, как правило, силами обслуживающего персонала ведется эксплуатационно техническая документация. Класс 2.7. Уничтожение информации. Решение задачи по уничтожению информации представля ется как процедура своевременного полного или частичного вывода из системы обработки элементов информации, компонентов системы, не представляю щих практической, историче ской, научной ценности, а также если их дальнейшее нахо жде ние в системе обработки снижает безопасность информации. Необ ходимо отметить, ч то для различных классов информа ционно-телекоммуникационных систем уничтожение инфор мации имеет определенную специфику. Так, для систем авто матизированной обработки информации типичной процедурой является уничтожение остаточной информации в элементах оперативного запоминающего устройства, отдельных магнитных носителях, программных модулях, контрольных распечатках, выданных документах после решения соответствующей задачи по обработке информации. Для крипто графических систем такой задачей может быть своевременное уничтожение носителей ключевой информации для шифрования данных в целях повышения криптостойкости (способности аппаратуры шифрования противостоять вскры тию секрета шифра). Одной из разновидностей унич тожения информации являет ся так называемое аварийное уничтожение, осуществляемое при явной угрозе злоумышленного доступа к информации по вышенной важности. Класс 2.8. Обеспечение сигнализации.
Решение задачи обеспечения сигнализации состоит в реали зации процедуры сбора, генерирования, передачи, отображения и хранения сигналов о состоянии механизмов защиты с целью обеспечения регулярного управления ими, а таю к^ объектами и процессами обработки информации. Этот класс задач обеспечивает обратную связь в системе управления, чем достигается обеспечение активности системы защиты. В основном такие задачи решаются с помощью технических средств сигнализации. Однако для оценки обслуживающего персонала СЗИ и по льзователей ООИ могут быть использованы специаль ные методы, связанные с психофизиологическим тестировани ем, аналитическим анализом и т. д. Класс 2.9. Оценка системы защиты информации. Этот класс объединяет широкий круг задач, связанных с оценкой эффективности функционирования механизмов об работки и защиты информации на основе сравнения уровня безопасности информации, достигаемого применением выбранных механизмов, с требуемым уровнем. При этом контроль эффективности может включать проверку соответствия эле ментов системы заданному их составу, работоспособности элементов системы, правильности функционирования элементов системы, о тсутствия несанкционированных устройств и си стем съема информации и т. д. Данная оценка производится на основе анализа данных, по лученных в результате выполнения комплекса задач, рассмотренных в предыдущем классе, а также аналитической обработки зарегистрированных данных о функционировании систем обработки и защиты информации (класс 2.6). К э тому классу также относится большая группа задач по оценке требуемого уровня готовности обслуживающего персо нала к обеспечению информационной безопасности. Класс 2.10. Обеспечение реагирования. Получив по каналам обратной связи информацию о состоянии системы защиты, в соответствии с законами управления орган управления должен при необходимости выработать управленческое решение, то есть отреагировать на полученный сигнал. Реагирование на проявление дестабилизирующих фак торов является признаком активности системы защиты информации, реализация которого направлена на предотвращение или снижение степени воздействия этих факторов на информацию. При этом принятие управленческих решений может осуществляться как в режиме реального времени (оперативно-техническое управление), так и при календарно -плановом руководстве.
Приведенный выше анализ угроз информации показал, что одними из наибо лее значимых причин нарушения ее целостно сти являю тся ошибки и сбои в работе персонала. В связи с этим к рассматриваемому классу относятся задачи по достижению необхо димого уровня теоретической подготовки и практических навыков в работе (подготовка персонала), а также задачи по формированию высокой психофизиологической устойчивости к воздействию дестабилизирующих факторов и моральной устойчивости к разглашению конфиденциальных сведений (подбор, оценка персонала, стимулирование его деятельности и др.). К третьему виду относятся задачи по защите от информационного воздействия. К ним можно отнести следующие классы задач. Класс 3.1. Защита от информационного воздействия на технические средства обработки. Информационное воздействие на технические средства обработки, хранения и передачи информации может быть направ лено на: — уничтожение информации (например, электронное подавление средств связи); — искажение или модификацию информации и логических связей (внедрение компьютерных вирусов); — внедрение ложной информации в систему. Таким образом, данный класс включает задачи по реализа ции технических средств и организационно-технических ме роприятий, способствующих защите от рассмотренных направ лений воздействия. Класс 3.2. Защита от информационного воздействия на общество. Задачи предполагаю т разработку и реализацию методов за щиты от негативного воздействия через средства массовой информации на общественное сознание лю дей. Целями такого воздействия могут быть, например, навязывание общественно го мнения (пропаганда), решение экономических вопросов (реклама), разрушение национальных традиций и ку льтуры (навязывание со стороны других государств чуждых культурных ценностей) и др. Класс 3.3. Защита от информационного воздействия на психику человека. Этот класс включает широкий круг задач, направленных как непосредственно на защиту от технических средств воздей ствия на психику (психо тронного оружия), так и на определе ние и формирование у человека высокой стрессоустойчивости, высоких моральных качеств и т. д., позволяющих про тивостоять такому воздействию .
3.2. Стратегии защиты информации Стратегия — это общая, рассчитанная на перспективу руководящая установка при организации и обеспечении соответствующего вида деятельности, направленная на то, чтобы наиболее важные цели этой деятельности достигались при наиболее рациональном расхо довании имеющихся ре сурсов. Организация защиты информации в самом общем виде может быть определена как поиск оптимального компромисса между потребностями в защите и необ ходимыми для э тих це лей ресурсами. Потребности в защите обусловливаю тся прежде всего важ ностью и объемами защищаемой информации, а также усло виями ее хранения, обработки и испо льзования. Э ти условия определяю тся качеством (уровнем) структурно-организацион ного построения объекта обработки информации, уровнем организации технологических схем обработки, местом и усло виями расположения объекта и его компонентов и другими па раметрами. Размер ресурсов на защиту информации либо ограничивает ся определенным пределом, либо определяется условием обязательного достижения требуемого уровня защиты. В первом случае защита должна быть организована так, чтобы при выде ленных ресурсах обеспечивался максимально возможный уровень защиты, а во втором — чтобы требуемый уровень защиты обеспечивался при минимальном расхо довании ресурсов. Сформулированные задачи есть не что иное, как прямая и обратная постановки оптимизационных задач, которые до статочно детально изучены в современной теории систем, ин форматике и прикладной математике. Поэтому если бы были известны функциональные зависимости между объемом затрачиваемых ресурсов и достигаемым уровнем защиты, то каждая из сформулированных выше задач могла бы быть строго решена известными методами в каждом конкретном случае. Но, как известно, указанные выше функциональные зависимости в на стоящее время отсутствуют, и получение их представляется весьма проблематичным. Существуют две основные причины этого обстоятельства. Первая заключается в том, что процессы защиты информации находятся в значительной зависимости от большого числа случайных и труднопредсказуемых факторов, таких как поведение злоумышленника, воздействие природных явлений, сбои и ошибки в процессе функционирования элементов системы обработки информации и др. Вторая причина характе ризуется тем, что среди
средств защиты весьма заметное место занимают организационные меры, связанные с действием человека. Более того, сам процесс защиты с точки зрения классической теории систем выглядит не совсем определенным. Например, уровень защищенности информации может быть повышен не только механическим применением спе циальных средств защиты, но и более четким построением структуры объекта, определением порядка использования его элементов, подбором и подготовкой обслуживающего персо нала и т. д. В целях создания условий для ориентации в таких неопреде ленных ситуациях и введено понятие «стратегия защиты» как общий взгляд на сложившуюся ситуацию по обеспечению безопасности информации и общий подхо д к принятию наибо лее рационального решения в этой ситуации. При э том коли чество различных стратегий должно быть небольшим (в против ном случае будет трудно ориентироваться в самих стратегиях), но в то же время полно и достаточно адекватно о тображать всю гамму потенциально возможных ситуаций. Обоснование числа и содержания необ ходимых стратегий бу дем осуществлять по двум критериям: требуемому уровню защиты и степени свободы действий при организации за щиты. Значения первого критерия лучше всего выразить множест вом тех угроз, относительно ко торых должна быть обеспечена защита: от наиболее опасных из известных (ранее проявившихся) угроз; от всех известных у гроз; от всех по тенциально воз можных угроз. Второй критерий выбора стратегий защиты сводится к тому, что организаторы и исполнители процессов защиты имеют относительно полную свободу распоряжения методами и средствами защиты и некоторую степень свободы вмешательства в ар хитектурное построение системы обработки информации (СОИ), а также в организацию и обеспечение техно логии ее функционирования. По этому аспекту удобно выделить три различные степени свободы: — никакое вмешательство в СОИ не допускается. Такое требование может быть предъявлено к уже функционирующим СОИ, и нарушение процесса их функционирования для уста новки механизмов защиты не разрешается; — к ар хитектурному построению СОИ и техно логии ее функционирования допускается предъявлять требования не концептуального характера. Другими словами, допускается приостановка процесса функционирования СОИ для установки некоторых механизмов защиты; — требования любого уровня, обусловленные по требностя ми
защиты информации, принимаются в качестве обязатель ных условий при построении СОИ, организации и обеспечении их функционирования. Если суммировать сказанное выше, то декар тово произведе ние трех значений каждого из дву х критериев дает в общем случае девять различных стратегических по дхо дов к защите ин формации. Однако на практике из девяти можно выделить всего лишь три основные стратегии, как показано на рис. 3.2. Учитываемые угрозы Наиболее опасные Все известные
Влияние на СОИ отсутствует
частичное
полное
Оборонительная стратегия Наступательная стратегия
Потенциально возможные
Упреждающая стратегия
Рис 3.2. Стратегии защиты информации Так, выбирая оборонительную стратегию, по дразумевают, что при недопущении вмешательства в процесс функционирова ния СОИ можно нейтрализовать лишь наибо лее опасные угрозы. Например, данная стратегия, применяемая для существующего объекта, может включать разработку организационных мер и использование технических средств по ограничению несанкциони рованного допуска к объекту. Упреждающая стратегия предполагает тщательное исследование возможных угроз СОИ и разработку мер по их нейтрализации еще на стадии проектиро вания и изго товления системы. При этом нет смысла на данном этапе рассматривать ограниченное множество подобных угроз. 3.3. Способы и средства защиты информации К настоящему времени разработано много различных средств и методов защиты информации, накапливаемой, хранимой и обрабатываемой в автоматизированных системах, в том числе и передаваемой по линиям связи большой протяженности. Мно жество и разнообразие средств защиты информации определяются прежде всего возможными способами воздействия на де стабилизирующие
факторы или порождающие их причины, причем воздействия в направлении, способствующем повышению значений показателей защищенности или (по крайней мере) сохранению прежних (ранее достигнутых) их значений. Рассмотрим содержание представленных способов и средств обеспечения безопасности (рис. 3.3).
Рис 3.3. Структура взаимосвязи задач, способов и средств защиты информации Препятствие заключается в создании на пу ти возникнове ния или распространения дестабилизирующего фактора неко торого барьера, не позволяющего соответствующему фактору принять опасные размеры. Типичными примерами препятствий являю тся бло кировки, не позволяющие техническому устройству или программе выйти за опасные границы; созда ние физических препятствий на пути злоумышленников, экра нирование помещений и технических средств и т. п. Маскировка предполагает такие преобразования информации, вследствие которых она становится недоступной для зло умышленников или такой доступ существенно затру дняется, а также комплекс мероприятий по уменьшению степени распоз навания самого объекта. К маскировке о тносятся криптографи ческие методы
преобразования информации, скрытие объекта, дезинформация и легендирование, а также меры по созданию шумовых полей, маскирующих информационные сигналы. Регламентация как способ защиты информации заключается в разработке и реализации в процессе функционирования объекта комплекса мероприятий, создающих такие условия, при которых существенно затрудняю тся проявление и воз действие у гроз. К регламентации о тносится разработка таких правил обращения с конфиденциальной информацией и средствами ее обработки, которые позволили бы максимально за труднить по лучение этой информации злоумышленником. На пример, регламентация обращения с документами в процессе защищенного документооборота заключается в разработке таких правил их учета, хранения, перемещения и уничтожения, ко торые обеспечивают высокую степень защиты сведений от несанкционированного доступа. Управление есть определение на каждом шаге функциони рования систем обработки информации таких управляющих воздействий на элементы системы, следствием которых будет решение (или способствование решению) о дной или неско ль ких задач по защите информации. Такими управляющими воздействиями являю тся задачи, обозначенные выше как реагирование на проявление дестабилизирующих воздействий. При э том управление включает в себя в соответствии с законами кибернетики сбор, передачу, обобщение и анализ данных об ООН и СЗИ, то есть достигается решением задач класса «Сигнализация» и «Оценка». Например, управление доступом на объект включает следующие функции защиты: — опознавание (установление по длинности) объекта или субъекта по предъявленному им идентификатору; — проверку полномочий (проверку соответствия дня неде ли, времени суток, запрашиваемых ресурсов и процедур уста новленному регламенту); — регистрацию (протоко лирование) обращений к защищае мым ресурсам; — реагирование (сигнализацию, о тключение, задержку работ, отказ в запросе) при попытках несанкционированных действий. Принуждение — такой метод защиты, при ко тором пользователи и персонал системы вынуждены соблюдать правила об работки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение есть способ защиты информации, при котором пользователи и персонал объекта вну тренне (то есть матери альными, моральными, этическими, психо логическими и дру гими мотивами) побуждаются к соблю дению всех правил обработки информации. В качестве отдельно го, применяемого при ведении актив ных действий про тивоборствующими сторонами, можно выде лить такой способ, как нападение. При этом подразумевается как применение информационного оружия при ведении инфор мационной войны, так и непосредственное физическое уничтожение противника (при ведении боевых действий) или его средств разведки. Рассмотренные способы обеспечения защиты информации реализуются с применением различных методов и средств. В соответствии с определением, изложенным в Законе Рос сийской Федерации « О государственной тайне», к средствам защиты информации относятся « технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации». Все средства защиты можно разделить на две группы — формальные и неформальные. К формальным относятся такие средства, ко торые выполняю т свои функции по защите инфор мации формально, то есть преимущественно без участия чело века. К неформальным относятся средства, основу которых со ставляет целенаправленная деятельность лю дей. Формальные средства делятся на физические, аппаратные и программные. Физические средства — механические, э лектрические, электромеханические, электронные, электронно -механические и тому подобные устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов. Аппаратные средства — различные э лектронные, электронномеханические и тому подобные устройства, схемно встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач по защите ин формации. Например, для защиты от у течки по техническим каналам используются генераторы шума. Физические и аппаратные средства объединяю тся в класс технических средств защиты информации. Программные средства — специальные пакеты программ или отдельные программы, включаемые в состав программного
обеспечения автоматизированных систем с целью решения за дач по защите информации. Это могут быть различные про граммы по криптографическому преобразованию данных, контролю доступа, защите от вирусов и др. Неформальные средства делятся на организационные, зако нодательные и морально-этические. Организационные средства — специально предусматривае мые в технологии функционирования объекта организационно-технические мероприятия для решения задач по защите инфор мации, осуществляемые в виде целенаправленной деятельности людей. Законодательные средства — существующие в стране или специально издаваемые нормативно-правовые акты, с помощью которых регламентируются права и обязанности, связанные с обеспечением защиты информации, всех лиц и подразделе ний, имеющих отношение к функционированию системы, а так же устанавливается ответственность за нарушение правил об работки информации, следствием чего может быть нарушение защищенности информации. Морально-этические нормы — сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблю дению правил поведения в обществе или коллективе. Морально-этические мето ды защиты информации можно отнести к группе тех мето дов, которые, исходя из расхожего выражения, ч то «тайну хранят не замки, а лю ди», играют очень важную роль в защите информации. Именно человек, сотрудник предприятия или учреждения, допущенный к секретам и накапливающий в своей памяти колоссальные объемы информации, в том числе секретной, нередко становится источником утечки э той информации, или по его вине соперник получает возможность несанк ционированного доступа к носителям за щищаемой информации. Морально-нравственные мето ды защиты информации предполагаю т прежде всего воспитание со трудника, допущенного к секретам, то есть проведение специальной работы, направ ленной на формирование у него системы определенных ка честв, взглядов и убеждений (патриотизма, понимания важности и полезности защиты информации и для него лично), и обучение сотрудника, осведомленного о сведениях, составляю щих о храняемую тайну, правилам и мето дам защиты информации, привитие ему навыков работы с носителями секретной и конфиденциальной информации.
Таким образом, классификация средств защиты представле на на рис. 3.3. Интересный подхо д к формированию множества способов защиты предлагает ч лен-корреспондент А кадемии криптографии РФ С. П. Расторгуев [6]. В основу названной им «абсо лютной системы защиты», обладающей всеми возможными способами защиты, положены основные принципы защиты, реализуемые в живой природе. Развивая это т по дхо д, можно выделить следующие основные способы защиты. 1. Пассивная защита. Перекрывает все возможные каналы воздействия угроз и предполагает «надевание брони» на себя и создание территориальных препятствий. Налицо полное соот ветствие такому способу защиты информации, как препятствие. 2. Изменение местоположения. Желание спрятаться можно соотнести с таким способом, как скрытие. 3. Изменение собственной внешности, мимикрия — слияние с ландшафтом и т. п. Цель — представиться объектом, не интересным или не заметным для нападающей стороны. Ана логичную функцию защиты информации реализуют ее маски ровкой. 4. Нападение с целью унич тожения нападающего. Выше был рассмотрен соответствующий способ защиты информации. 5. Воспитание навыков безопасности у по томства, доведение их до уровня инстинкта. Для систем защиты инфор мации аналогичные навыки у обслуживающего персонала формируются принуждением и побуждением. 6. Выработка определенных правил жизнедеятельности, спо собствующих выживанию и со хранению рода. К таким прави лам, выработанным природой, можно отнести мирное су ществование особей одного вида, жизнь в стаях (стадах) и т. д. Другими словами, природа регламентирует необ ходимые для безопасности правила жизни. Таким образом, анализ присущих живо тному миру защитных свойств, по ложенный в основу так называемой «абсолютной системы защиты», показывает, ч то все они соответствуют рассмотренным способам защиты информации, что подтверж дает полно ту их формирования. Для формирования более полного арсенала потенциально возможных средств защиты необхо димо осуществить систем ный анализ возможностей для решения различных задач по защите средствами различных классов.
Поскольку организационные и законодательные средства будут представлены о тдельными разделами, рассмотрим более подробно классификацию и краткую характеристику техниче ских средств защиты. 3.4. Технические средства защиты Технические средства защиты — э то средства, в ко торых основная защитная функция реализуется неко торым техническим устройством (комплексом, системой). К несомненным достоинствам технических средств относятся широкий круг задач, достаточно высокая надежность, возможность создания развитых комплексных систем защиты, гибкое реагирование на попытки несанкционированных дей ствий, традиционность используемых мето дов осуществления защитных функций. Основными недостатками являю тся высокая стоимость мно гих средств, необ хо димость регу лярного проведения регламент ных работ и контроля, возможность подачи ложных тревог. Системную классификацию технических средств защиты у добно провести по следующей совокупности показателей: 1) функциональное назначение, то есть основные задачи за щиты объекта, которые могут быть решены с их применением; 2) сопряженность средств защиты с другими средствами объекта обработки информации (ООИ); 3) сложность средства защиты и практическо го его испо ль-зония; 4) тип средства защиты, указываю щий на принципы работы их элементов; 5) стоимость приобретения, установки и эксплуатации. Рассмотрим возможные значения перечисленных показателей. Функциональное назначение В зависимости от цели и места применения, выпо лняемых функций и физической реализуемости технические средства можно условно разделить на физические и аппаратные: а) аппаратные средства защиты: — нейтрализация технических каналов утечки информации (ТКУИ) выполняет функцию защиты информации от ее у течки по техническим каналам; — поиск закладных устройств — защита от использования 1.
злоумышленником закладных устройств съема информации; — маскировка сигнала, со держащего конфиденциальную информацию, — защита информации от обнаружения ее носителей (стеганографические методы) и защита содержания ин формации от раскрытия (криптографические методы); б) физические средства защиты: — внешняя защита — защита о т воздействия дестабилизи рующих факторов, проявляющихся за пределами основных средств объекта; — внутренняя защита — защита от воздействия дестабили зирующих факторов, проявляющихся непосредственно в сред ствах обработки информации; — опознавание — специфическая группа средств, предназначенная для опознавания людей и идентификации технических средств по различным индивидуальным характе ристикам. Сопряженность с основными средствами защиты По степени взаимодействия с другими техническими устрой ствами средства защиты по дразделяю тся: — на автономные (выполняю щие свои защитные функций независимо от функционирования средств ООН, то есть по лное стью автономно); — сопряженные (выполненные в виде самостоятельных устройств, но выполняющие защитные функции в сопряжении (совместно) с основными средствами); — встроенные (конструктивно включенные в состав аппаратуры технических средств ОИ) 2.
Сложность В зависимости о т принципов построения технического сред ства защиты различаю т: — функциональный узел (простое устройство); — блок; — агрегат (сложное устройство состоящее из неско льких блоков); — автономную систему. Технические средства защиты имеющие указанную слож ность (за исключением автономной системы), выполняют свои функции в совокупности с другими средствами защиты. Автономные технические средства защиты, как правило, ре шают отдельную задачу ( осуществляю т отдельную функцию) защиты 3.
Тип средства По принципу работы элементов устройств средства защиты подразделяю тся на механические, э лектрические, оптические, электронные, комбинированные. Современные технические средства защиты имеют, как правило, комбинированный тип (электромеханические, оптикоэлектронные и т. п.). 4.
Стоимость Стоимость технических средств защиты может быть незначительной, средней, большой и очень большой. Данный показа тель имеет относительный характер и может быть использован при сравнении отдельных технических средств защиты, выпо лняющих, например, одну и ту же функцию . Рассмотрим характеристики некоторых современных техни ческих средств защиты информации в соответствии с представ ленной классификацией (рис 3.4.) 5.
3.4.1. Средства поиска закладных устройств Индикаторы электромагнитного поля (далее индикаторы поля) позволяю т обнаруживать излучающие закладные устройства, использующие для передачи информации практически все виды сигналов, включая широкополосные шумоподобные и сигналы с псевдослучайной скач кообразной перестройкой несущей часто ты. Принцип действия приборов основан на интегральном методе измерения уровня электромагнитного по ля в точке их распо ложения. Наведенный в антенне и спроектированный сигнал усиливается, и в случае превышения им установленного порога срабатывает звуковая или световая сигнализация. В качестве индикаторов электромагнитно го поля использу ются отечественные приборы: ИПФ-Ч, D-006, D-008, PT022, РТ025, RM -10, «Оса», ДИ-04, ИП-3, ИП-4, ИПАР-01, «Гамма-2» и другие, а также импортные — VL-5000P, HKG GD 4120, Delta V/2, TRD-800, СРМ-700 и т. д. В результате дальнейшего развития индикаторов поля со зданы широкополосные радиоприемные устройства — интерсепторы. Приборы автоматически настраиваю тся на частоту наиболее мощного радиосигнала (как правило, уровень этого сигнала на 15-20 дБ превышает все остальные) и осуществляю т его детектирование. Принцип «захвата» часто ты радиосигнала с максимальным уровнем и последующим анализом его характеристик микропроцессором положен в основу работы современных пор тативных радиочастотомеров. Микропроцессор производит запись сигнала во внутреннюю память, цифровую фильтрацию, проверку на стабильность и когерентность сигнала и измерение его частоты с точностью от единиц герц до десятков килогерц. Значение частоты в цифровой форме отображается на жидко кристаллическом экране. Кроме частоты сигнала, многие радиочасто томеры позволяют определить его относительный уровень. Наиболее широко применяются частотомеры фирм «Optoelectronics-MI», «Scout», «Cub», «ОЕ-ЗОООА» и другие. Они позволяю т практически мгновенно определять частоту сигналов в диапазоне частот от 10 Гц-10 МГц до 1,4-3,0 ГГц. Чувстви тельность радиочастотомеров составляет от 0,5 до 12 мВ — на часто тах до 1 ГГц и от 1 до 100 м В — на частотах от 1 до 3 ГГц: Для обнаружения работающих диктофонов применяются так называемые детекторы диктофонов, которые, по сути, являются детекторными приемниками магнитного поля. Прин цип действия
приборов основан на обнаружении слабого магнитного поля, создаваемого генератором подмагничивания или работающим двигателем диктофона в режиме записи. Сканерные приемники можно разделить на две группы: переносимые и перевозимые портативные. К переносимым отно сятся малогабаритные сканерные приемники весом 150 -350 г (IC-RI, IC-RIO, DJ-XI D, A R-1500, A R-2700, A R-8000, M VT-700, M VT-7100, M VT7200, PR-1300A, HSC-050 и т. д.). Они имеют автономные аккумуляторные источники питания и свободно умещаются во внутреннем кармане пиджака. Перевозимые сканерные приемники (IC-RIOO, AR-3030, A RЗОООА, A R-5000, IC-R72, IC-R7100, IC-R8500, IC-R9000, АХ-700В, ЕВ-100 и др.) о тличаю тся от переносимых несколько большим весом (от 1,2 до 6,8 кг), габаритами и, конечно, боль шими возможностями. Они, как правило, устанавливаю тся или в помещениях, или в автомашинах. Почти все перевозимые ска нерные приемники имеют возможность управления с ПЭ ВМ. Сканерные приемники (как переносимые, так и перевози мые) могут работать в о дном из следующих режимов: — автоматического сканирования в заданном диапазоне часто т; — автоматического сканирования по фиксированным частотам; — ручном. Портативные анализаторы спектра, в отличие от сканерных приемников, при сравнительно небольших габаритах (до 30 см) и весе (от 9,5 до 20 кг) позволяю т не только принимать сигналы в диапазоне частот от 30 Гц...9 кГц до 1,8...40 ГГц, но и анализировать их тонкую структуру. Например, цифровые анализаторы спектра НР8561Е фирмы «Hewlett Packard» позво ляют измерять параметры сигнала в диапазоне частот о т 30 Гц до 6,5 ГГц, а анализаторы спектра фирм ы «Tektronix» — в диапа зоне частот от 9 кГц до 40 ГГц. Средства контроля проводных линий предназначены для выявления, идентификации и определения местоположения закладных устройств, подключаемых к проводным линиям. К ним о тносятся в том числе, электросеть, телефонные кабели, линии селекторной связи, пожарной сигнализации и т. п. Нелинейные локаторы, металлоискатели, обнаружители пустот и рентгеновские аппараты используют физические свойства среды, в которой может размещаться закладное устройство, или свойства элементов закладных устройств, не зависимо от режима их работы. Способность нелинейного локатора обнаруживать радио электронные устройства основана на следующем. Любые ра-
диоэлектронные устройства (РЭУ), независимо от размера и функционального назначения, состоят из печатных плат с проводниками, которые представляют для зондирующего сигнала локатора набор элементарных антенн-вибраторов. В разрыв отдельных проводников включены полупроводниковые элементы: диоды, транзисторы, микросхемы. В результате облучения РЭУ зондирующим сигналом на частоте/на его по лупроводниковых элементах через элементар ные антенны наводится переменная ЭДС. В силу нелинейного характера вольт-амперной характеристики (ВАХ) элементов РЭ У переменный сигнал высокой частоты локатора претерпе вает нелинейное преобразование в набор гармоник, частоты которых равны кратному целому числу зондирующей частоты локатора (2/, 3/и т. д.). С помощью тех же самых проводников печатной платы (э лементарных антенн) весь спектр, включаю щий сигналы как на основной частоте/ так и на частотах гармоник 2/ 3/ и т. д., переизлучается в эфир. Приемник локатора, принимая любую высшую гармонику переотраженного зондирующего сигнала локатора, устанавливает наличие в зоне облучения РЭУ. Так как амплитуда сигнала на гармонике резко убывает с увеличением ее номера, то в нелинейных локаторах в основном используют вторую и реже третью гармоники. Ряд закладных устройств выполняю тся по МОП-техноло гии, в экранированных корпусах. Поэтому их обнаружение даже с использованием нелинейных локаторов затруднено, так как уровень переизлученных сигналов на второй и третьей гар мониках незначителен. Для поиска таких закладных устройств могут использоваться металлоискатели (металлодетекторы). Технические средства обнаружения пустот позво ляю т по высить достоверность их выявления в сплошных средах (кир пичных и бетонных стенах, в деревянных конструкциях и др.), которое ранее осуществлялось путем простукивания э тих сред. Пустоты в сплошных средах изменяю т характер распространения структурного звука и спектр колебаний среды под действи ем ударов. В ито ге зву к о т участка с пустотой воспринимается более громким и звонким. В качестве технических средств, вы являю щих пустоты на основе акустических свойств, могут при меняться различные ультразвуковые приборы. Для просмотра предметов неизвестного назначения и выявле ния закладных устройств применяют переносные досмотровые рентгеновские комплексы дву х видов: устройства с о тображением изображения на экране просмотровой приставки (перенос ные флюороскопы) и рентгенотелевизионные установки.
3.4.2. Средства нейтрализации ТКУИ Основной целью испо льзования данных технических средств является недопущение регистрации и анализа злоумышленни ком с помощью технических средств разведки энергетических сиг налов, содержащих конфиденциальную информацию. Основными носителями этой информации являются электрические, оптические и акустические сигналы и поля. Достигну ть указанной цели можно, либо максимально подавив уровень сигнала за пределами объекта с помощью пассивных средств защиты, либо искусственно повысив уровень шума с помощью активных средств Средства активной защиты составляю т генераторы шума, предназначенные для создания шумового поля вокруг техни ческих средств обработки информации, линий связи или помещений в звуковом или высокочастотном диапазоне электромагнитных во лн. К средствам пассивной защиты относятся: — различные экраны, нейтрализующие побочные электро магнитные излучения; — фильтры, не пропускающие в линии, выхо дящие за пределы объекта, паразитные высокочастотные наво дки образованные за счет электромагнитного влияния э лектрических цепей; — другие устройства, блокирующие выхо д сигнала содержащего конфиденциальную информацию, за пределы (объекта по проводным линиям (о граничители малых амплиту д динамические нагрузки и др.). Основными техническими средствами, реализующим Функ ции внешней и внутренней защиты, являю тся средства осиной сигнализации и наблю дения, а также средства идентификации. Технические средства охранной сигнализации предцзначаются для обнаружения угроз и оповещения сотрудников объекта о появлении и нарастании угроз. Важнейшими элементами о хранных систем являю тся датчики, ко торые и определит тип системы. По своему функциональному назначению подразделяю тся на следующие типы: — объемные, позволяющие контролировать пространство помещений; — линейные, или повер хностные, — для контроля диметров территорий и зданий; — локальные, или точечные, — для контроля локальных предметов Наибольшее распространение получили следующие типы датчиков:
— выключатели и размыкатели, действующие по принципу механического или магнитного управления размыканием электрической цепи при появлении нарушителя; — инфраакустические, устанавливаемые на металлических ограждениях и улавливающие низкочасто тные зву ковые коле бания ограждений во время их преодоления; — электрического поля, состоящие из излучателя и несколь ких приемников. И излучатель, и приемники выполняю тся из электрических кабелей, натяну тых между сто лбами. При появлении нарушителя между излучателем и приемником изменяется электрическое поле, которое и фиксируется датчиком; — инфракрасные, действующие по тому же принципу, что и датчики электрического поля, но в качестве излучателей ис пользуются инфракрасные светодио ды или небольшие лазер ные установки; — микроволновые, состоящие из свер хвысокочасто тных передатчика и приемника. При попытке прохо да между передатчиком и приемником изменяется электромагнитное поле, ко торое и регистрируется приемником; — давления, реагирующие на механические нагрузки на среду, в которую они уложены; — магнитные, изго тавливаемые в виде металлической сетки и реагирующие на металлические предметы, имеющиеся у на рушителя; — ультразву ковые, реагирующие на ультразвуковые волны, возникающие при воздействии нарушителя на э лементы конст рукций объекта; — емкостные, реагирующие на изменение электрической емкости между землей и датчиком. 3.4.3. Технические средства идентификации и установления подлинности Идентификация (присвоение объекту уникального кода) и установление подлинности объекта заключаются в пр оверке его соответствия истинному объекту и произво дятся с целью определения возможности допуска объекта к информации ограниченного пользования. В основе процесса идентифика ции личности лежит анализ его биометрических особенностей или специально предъявляемых носителей ключа. На усовершенствование биометрических идентификаторов направлены изыскания ведущих международных научных цент ров, и именно эти разработки активно финансирует военное ведомство.
Разработаны специальные методики оценки эффек тивности, используя которые, экспериментально определяю т численные коэффициенты надежности системы: ошибки первого рода {false reject rate, «ложный отказ» — принятие «своего» за «чужого») и второго (false acceptance rate, «ложный допуск» — принятие «чужого» за «своего»). Основными являются следующие способы идентификации. 3.4.4. Геометрия руки Метод био логической идентификации по форме кисти руки был разработан еще в 60-е гг. Первый массовый аппарат назывался Identimat. В качестве идентификационного пара метра он использовал длину пальцев. В конце 80-х гг. появились современные системы, использующие метод трехмерной идентификации — HandKey. Этот метод предусматривает оценку нескольких параметров руки, в том числе ширины и то лщины ладони в различных местах, длины пальцев, их толщины и формы. Операция снятия, кодирования информации и сверки с банком данных занимает 1-2 с. Ошибка первого рода достигав 0,03%, второго рода — 0,1%. 3.4.5. Почерк Разработаны автоматические системы подтверждения под писи, измеряющие характеристики движения руки при письме (усилия при нажатии на перо, скорость, ускорение). Преобразователи, измеряющие характеристики почерка, могут устанавливаться как в пишущем устройстве, так и под пластиной, на которой ставится по дпись. Одна из последних моделей «интеллектуальных ручек» — SmartPen — разработана в бельгийском исследовательском институ те IMEC. Ручка содержит микродатчики для снятия трех мерных динамических параметров, процессор для обработки данных, передатчик и систему криптографической защиты для предо твращения радиоперехвата. Ручка может писать на обычной бумаге, и ее стоимость составляет о т 50 до 250 долларов. 3.4.6. Дактилоскопия Идентификация происходит по папиллярным узорам паль цев руки, которые формируются еще в утробе матери, являю тся строго
индивидуальными и остаются неизменными на протяжении всей жизни. Одну из самых надежных систем представляет американ ская компания «Identix-TouchLock». Считывание и проверка за нимают 5-6 с. Ошибка первого рода — 2%, второго — 0,0001 %. Аналогичное отечественное устройство «Кордон» имеет время идентификации 2-4 с. Ошибка первого рода — 0,001 %, второго рода —0,00001%. 3.4.7. Рисунок сетчатки глаза Неповторимость конфигурации кровеносных сосудов сет чатки глаза до казана в 1935 г. американскими исследователями Саймоном и Голдштейном. Участок сетчатки, расположенный вокруг центра хрусталика, сканируется неполяризованным, низкой интенсивности светом, испускаемым инфракрасными светодиодами. Различная интенсивность света, отраженного о т различ ных точек сетчатки в процессе сканирования, о тражает индивидуальное расположение кровеносных сосудов сетчатки глаза. Процесс идентификации занимает около 7 с. Ошибка первого рода — 0,4%, второго рода — 0%. Хотя процедура ска нирования полностью безопасна, около 4% сотрудников по психо логическим мотивам ни при каких условиях не согласны смотреть на яркий пучок света. 3.4.8. Радужная оболочка глаза Источником информации является трабекулярная сетка радужной оболочки глаза, имеющая различные бороздки, ко льца, ореол, маленькие точки и т. д. 3.4.9. Характеристики речи Идентификация по голосу — один из бурно развивающихся методов. Современные системы анализируют несколько харак теристик речи, среди ко торых: — огибающая формы сигнала; — период высоты тона; — относительный спектр амплитуды; — резонансные частоты речевого тракта (форманты) и т. д. Для повышения достоверности опознавания используется речевая подсказка. В качестве проблем, с которыми пока плохо борется современная техника, можно отметить влияние на ка чество
идентификации посторонних шумов и сложность в борьбе с изменениями тональности (насморк, настроение и т. д.). Кроме того, существенным оказывается психо логический фак тор: стоит системе один раз не пропустить пользователя, как человек, помня о неудаче, начинает во лноваться, старается управлять го лосом, в результате шансов на идентификацию у него становится еще меньше. 3.4.10. Инфракрасная карта лица Источником информации является тепловой образ лица — своего рода комбинация термальных свойств сосудистых структур, их формы и пло тности, свойств по дкожных тканей, хрящей, кожи и т. д., остающаяся постоянной даже после плас тической операции. 3.4.11. Технические средства контроля НСД к кабельным сетям На объектах обработки информации для предоставления шифрованной связи абонентам использую тся абонентские ка бели большой емкости, по которым передается конфиденциальная информация в открытом виде. Одним из способов за щиты от съема этой информации непосредственным подключе нием к кабелю является дистанционный контроль целостности его оболочки. Для э того применяются средства контроля давле ния возду ха, накачиваемого внутрь кабеля, и средства контроля сопротивления его изоляции относительно «земли». 3.4.12. Технические средства маскировки информации Как было указано выше, данная категория аппаратных средств защиты информации реализуется на основе стеганографиче -ских и криптографических методов преобразования информации. В рамках информационно-телекоммуникационной системы специального назначения (ИТКС СН) основными являются криптографические средства. Криптографическое закрытие информации заключается в пре образовании ее составных частей (слов, букв, слогов, цифр) с помощью специальных алгоритмов либо аппаратных реше ний и ко дов ключей, то есть в приведении ее к неявному виду. Для ознакомления с шифрованной информацией применяется обратный процесс — деко дирование (дешифрование).
Классификация крипто графических мето дов преобразования информации приведена на рис. 3.5. Под шифрованием понимается такой вид криптогр афического закрытия, при ко тором преобразованию подвергается каждый символ защищаемого сообщения. Все известные спо собы шифрования можно разбить на пять групп: подстановка (замена), перестановка, аналитическое преобразование, гамми-рование и комбинированное шифрование. Под кодированием понимается такой вид криптографического закрытия, когда неко торые элементы защищаемых данных (э то не обязательно отдельные символы) заменяются заранее выбранны ми кодами (цифровыми, буквенными, буквенно -цифровыми сочетаниями и т. п.). Это т мето д имеет две разновидности: — смысловое кодирование, когда кодируемые элементы имеют вполне определенный смысл (слова, предложения, группы предложений);
Рис 3.5. Классификация криптографических методов защиты — символьное ко дирование, когда ко дируется каждый сим вол защищаемого сообщения.
К о тдельным видам криптографического закрытия отнесены методы расчленения — разнесения и сжатия данных. Расчлене ние — разнесение заключается в том, что массив защищаемых данных делится (рассекается) на такие элементы, каждый из ко торых в отдельности не позволяет раскрыть содержание за щищаемой информации Выделенные таким образом элементы данных разносятся по разным зонам ЗУ или располагаются на различных носителях Сжатие данных представляет собой замену часто встречающихся одинаковых строк данных или последовательностей одинаковых символов некоторыми заранее выбранными символами. Криптографическая защита на ОИ может применяться как для защиты информации, обрабатываемой в ЭВМ или храня щейся в различного типа З У, так и для закрытия информации, передаваемой между различными элементами системы по линиям связи. Поэ тому криптографические мето ды могут исполь зоваться как вну три отдельных устройств или звеньев системы, так и на различных участках линий связи. Аппаратура шифрования в соответствии со своим предназна чением может классифицироваться по следующим по казателям: • по виду обрабатываемого сигнала: — аппаратура шифрования данных. Используется в сетях передачи данных систем документальной связи; — аппаратура телефонной шифрованной связи. Конструк тивно отличается о т первой наличием аналого-цифровых пре образователей; • по режиму использования: — аппаратура линейного шифрования — произво дит крип тографические преобразования вхо дного сигнала в режиме реальн ого времени; — аппаратура предварительного шифрования. Зашифрованное с ее помощью сообщение передается по любым, в том числе и открытым, каналам связи; • по месту установки в ИТКС СН: — аппаратура шифрования канального уровня. Включает аппаратные средства, предназначенные для работы по телефон ным, телеграфным и цифровым (в том числе широкополосным) каналам связи; — аппаратура абонентского шифрования. Устройства крип тографической защиты совмещены с терминальным (оконеч ным) оборудованием пользователя. 3.4.13. Программные средства защиты
Для нейтрализации всего комплекса угроз информации, об рабатываемой на ПЭВМ, необ хо димо, как указывалось выше, решить две основные группы задач по защите информации: 1) обеспечение целостности информации (физической и логической); 2) защита от несанкционированного доступа (для предуп реждения несанкционированной модификации, получения и копирования информации). Основную опасность для целостности информации представляю т преднамеренные угрозы, создаваемые людьми в зло умышленных целях. Такие угрозы могут быть непосредственными, если злоумышленник получает доступ к ПЭ ВМ, и опосредованными, когда угрозы создаются с помощью промежуточного носителя, чаще всего с помощью дискеты. Из преднамеренных угроз наибольшее распространение получили так называемые разрушающие программные средства (РПС). Программные средства являю тся о дними из основных средств борьбы с РПС. Эти программы можно разделить на несколько видов. 1. Программы-детекторы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком -либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или унич тожения за раженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать лишь те вирусы, которые ей известны. Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, ч то она здорова — в ней может сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, не известная программам детекторам. Примеры программ -детекторов: Scan фирмы McAfee Associates и Aidstest Д. Н. Лозинского, Norton Antivirus и т. д. 2. Программы-доктора, или фаги, «лечат» зараженные программы, «выкусывая» из зараженных программ тело вируса. Большинство программ-докторов умеют « лечить» только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов. К таким программам относится A VSP фирмы «Диалог-МГУ». 3. Программы-ревизоры сначала запоминают сведения о состоянии программ и системных дисков. После этого с по мощью
программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходны ми. О выявленных несоответствиях сообщается пользователю. 4. Доктора-ревизоры — это гибриды ревизоров и докторов (не только обнаруживают изменения в файлах и системных об ластях дисков, но и могут в случае изменений автоматически верну ть их в исходное состояние). Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей диска. Э то позволяет вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы. Конечно, доктора-ревизоры — это не панацея. Они могут лечить не от всех вирусов, а только от тех, ко торые используют «стандартные», изве стные на момент написания программы, механизмы заражения файлов. Но все же защита о т 90-95% вирусов — это совсем не пло хо. В качестве примера докторов-ревизоров можно привести ADIn f + Adinffixt фирмы «Диалог-Наука». 5. Программы-фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают все обращения к операционной системе, которые используются ви русами для размножения и нанесения вреда. Такими «подо зрительными» действиями являю тся, в частности, изменение .СОМ и .ЕХЕ-файлов, снятие с файла атрибута «только для чтения», прямая запись на диск, форматирование диска, уста новка «резидентной» программы. При каждом запросе на «подозрительное» действие на экран компьютера выводится сообщение о том, какое действие затребовано и какая про грамма желает его выполнить. Можно либо разрешить выпол нение этого действия, либо запретить его. Степень защиты, обеспечиваемую программами-фильтрами, не следует переоценивать, так как многие вирусы для своего размножения и нанесения вреда обращаются непосредственно к программам операционной системы, не используя стандартного способа вызова этих программ через прерывания, а резидентные программы для защиты от вируса перехватывают только эти прерывания. Кроме того, программы-фильтры не помогают от заражения винчестера вирусами, которые распространяются через загрузочный сектор, поскольку такое заражение происходит при загрузке DOS, то есть до запуска любых программ или установки драйверов. Однако преимущества программ -фильтров весьма значительны — они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.
6. Программы-вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными (крайне неэффективны). Как по казывает практика, несанкционированный доступ (НСД) представляет о дну из наиболее серьезных у гроз для зло умышленного завладения защищаемой информацией в современных АСОД. Основными программными средствами защиты ПЭ ВМ от НСД являю тся следующие. 1. Опознавание (аутентификация) пользователей и используемых компонентов обработки информации. При решении э той задачи система защиты до лжна надежно определять законность каждого обращения к ресурсам, а законный пользователь должен иметь возможность убедиться, ч то ему предоставляю тся именно необхо димые компоненты. Для опознавания пользователей к настоящему времени разработаны и нашли практическое применение следующие способы: — с использованием простого пароля. Каждому зарегистри рованному пользователю выдается персональный пароль, кото рый он должен держать в тайне. При каждом обращении к ЭВМ специальная программа сравнивает введенный пользователем пароль с э талоном, и при совпадении запрос пользователя при нимается к исполнению; — опознавание в диалоговом режиме. В файлах механизмов защиты заблаговременно создаются записи, содержащие пер сонифицирующие пользователя данные (дата рождения, рост, вес, имена и даты рождения родных и т. п.) или достаточно большой и упорядоченный набор паролей. При обращении по льзователя к системе программа механизма защиты предлагает ему назвать некоторые данные из указанных файлов. По результатам сравнения принимается решение о допуске; — опознавание по индивидуальным особенностям и физио логическим характеристикам (пример таких систем приво дился выше). Данный способ является весьма надежным, но требует применения специальных устройств для съема и ввода соответствующих параметров и программ их обработки и сравнения с эталоном. Одним из вариантов, использующим то лько программное обеспечение и удешевляющим процесс опознавания, является опознавание пользователя по параметрам его работы с клавиатурой (скорость набора текста, интервалы между нажатием клавиш и др.); — опознавание по радиокодовым устройствам, генерирующим индивидуальные для каждо го пользователя радиосигналы;
— опознавание по специальным идентификационным кар точкам, на которые наносятся данные, персонифицирующие пользователя (персональный номер, специальный шифр или код и т. п.). 2. Разграничение доступа к элемента м защищаемой ин формации. Каждому зарегистрированному пользователю предоставля ется возможность беспрепятственно го доступа к информации в пределах его полномочий и исключае тся возможность их превышения. Данное разграничение может осуществляться несколькими способами: — по уровням секретности. Защищаемые данные распреде ляю тся по массивам таким образом, чтобы в каждом из них со держались данные одного уровня секретности. Пользователю разрешается до-ступ к определенному уровню и массивам низших уровней; — по специальным спискам. Для каждого элемента защи щаемых данных (файла, базы, программы) составляется список всех тех пользователей, ко торым предоставлено право доступа к соответствующему элементу, или, наоборот, для каждого зарегистрированного пользователя составляется список тех эле ментов данных, к которым ему предоставлено право доступа; — по матрицам полномочий. Формируется двумерная матрица, в строках которой содержатся идентификаторы зарегистрированных пользователей, а в столбцах — идентификаторы защищаемых элементов данных. Э лементы матрицы содер жат информацию об уровне полномочий соответствующего пользователя относительно соответствующего элемента (на пример, 00 — доступ запрещен, 01 — разрешено только чте ние, 10 — разрешена только запись, 11 — разрешены запись и ч тение); — по специальным ма ндатам — способ разового разреше ния на допуск к защищаемому элементу данных. 3. Криптографическое закрытие защищаемой информации. Данный механизм защиты можно подразделить на: — криптографическое закрытие информации, хранимой на носителях. При этом достигаю тся две цели защиты информации: вопервых, с помощью известных алгоритмов шифрования обеспечивается требуемая криптографическая с тойкость защиты; вовторых, как правило, криптографические преобразования информации сопровождаются ар хивацией данных с уменьшением их объемов (сжатие данных); — криптографическое преобразование информации в процессе ее обработки и передачи. Данный механизм предполагает засекречивание информации непосредственно в процессе ее обработки,
практически по лностью исключая тем самым возможность НСД к ней. Для это го дополнительно к программным используются специализированные аппаратные средства защиты, например устройство « Криптон». 4. Регистрация всех обращений к защищаемой информации. Данный механизм позво ляет решить следующие задачи: — контроль использования защищаемой информации; — выявление попыток НСД к информации; — накопление статистических данных о функционировании систем защиты с целью повышения ее эффективности. Как правило, э то реализуется соответствующими програм мами регистрации, позво ляющими накапливать данные о по пытках доступа к информации в определенных «спрятанных» файлах. Множество программных средств защиты не ограничиваю тся рассмотренными. Данные средства решают также широкий круг задач в системах контроля и управления доступом на объекты, поиска закладных устройств, выявления технических каналов утечки информации и др.
Глава 4. Архитектура систем защиты информации 4.1. Требования к архитектуре СЗИ Система защиты информации (СЗ И) в самом общем виде может быть определена как организованная совокупность всех средств, методов и мероприятий, выделяемых (предусматри ваемых) на объекте информатизации (ОИ) для решения в ней выбранных задач по защите. Введением понятия СЗ И определяется то т факт, что все ре сурсы, выделяемые для защиты информации, должны объеди няться в единую, целостную систему, которая является функционально самостоятельной подсистемой любого ОИ. Таким образом, важнейшим концептуальным требованием к СЗИ является требование адаптируемости, то есть способно сти к целенаправленному приспособлению при изменении структуры, технологических схем или условий функциониро вания ОИ. Важность требования адаптируемости обусловливается, с одной стороны, возможностью изменяться пере численным факторам, а с другой — отношением процессов защиты информации к слабоструктурированным, то есть имеющим высокий уровень неопределенности. Управление же сла боструктурированными процессами может быть эффективным лишь при условии адаптируемости системы управления. Помимо общего концептуального требования, к СЗ И предъявляется еще целый ряд более конкретных, целевых требова ний, которые могут быть разделены на: — функциональные; — эргономические; — экономические; — технические; — организационные. В совокупности эти требования образуют систему, структу ра и содержание ко торой показаны на рис. 4.1.
Рис. 4.1. Требования к системе защиты и нформации на ОИ Сформированная к настоящему времени система включает следующий перечень общеметодологических принципов: — концептуальное единство; — адекватность требованиям; — гибкость (адаптируемость); — функциональная самостоятельность; — удобство использования; — минимизация предоставляемых прав; — полнота контроля; — адекватность реагирования; — экономичность. Концептуальное единство означает, ч то архитектура, техно логия, организация и обеспечение функционирования как СЗИ в целом, так и составных ее компонентов должны рассматриваться и реализовываться в строгом соответствии с основными положениями единой концепции защиты информации. Адекватность требованиям означает, ч то СЗИ должна строить ся в строгом соответствии с требованиями к защите, которые, в свою очередь, определяю тся категорией соответствующего объекта и значениями параметров, влияющих на защиту информации. Гибкость (адаптируемость) системы защиты означает такое построение и такую организацию ее функционирования, при которых
функции защиты осуществлялись бы достаточно эффективно при изменении в некотором диапазоне структуры ОИ, технологических схем или условий функционирования ка ких-либо ее компонентов. Функциональная самостоятельность предпо лагает, ч то СЗИ должна быть самостоятельной обеспечивающей подсистемой системы обработки информации и при осуществлении функций защиты не должна зависеть о т других по дсистем. Удобство использования означает, ч то СЗИ не должна со здавать дополнительных неудобств для по льзователей и персо нала ОИ. Минимизация предоставляемых прав означает, что каждому пользователю и каждому лицу из состава персонала ОИ долж ны предоставляться лишь те по лномочия на доступ к ресурсам ОИ и находящейся в ней информации, которые ему действи тельно необхо димы для выпо лнения своих функций в процессе автоматизированной обработки информации. При этом предоставляемые права должны быть определены и у тверждены заблаговременно в установленном порядке. Полнота контроля предполагает, что все процедуры автоматизированной обработки защищаемой информации должны контролироваться системой защиты в полном объеме, причем основные результаты контроля до лжны фиксироваться в спе циальных регистрационных журналах. Активность реагирования означает, что СЗ И должна реаги ровать на любые попытки несанкционированных действий. Ха рактер реагирования может быть различным и включает: просьбу повторить действие; отключение структурного элемента, с которого осуществлено несанкционированное дей ствие; исключение нарушителя из числа зарегистрированных по льзователей; подачу специального сигнала и др. Экономичность СЗИ означает, ч то при условии соблю дения основных требований всех предыдущих принципов расходы на СЗИ должны быть минимальными. 4.2. Основы архитектурного построения СЗИ Рассмотрим далее основные вопросы архитектурного построе ния СЗИ, которая, как отмечалось выше, является функциональ ной подсистемой ОИ. Следовательно, ее ар хитектура также долж на быть аналогичной архитектуре ОИ и представлять собой функциональное, организационное и структурное построение.
Рис. 4.2. Функциональное построение системы защиты и нформации Функциональным построением любой системы называется организованная совокупность функционально разграниченных элементов СЗИ (рис. 4.2). Исхо дя из анализа необ хо димости нейт рализации основных видов угроз информации и реализации ос новных методов защиты информации, а также в соответствии с по дхо дами, определенными руководящим до кументом Государственной технической комиссии, функциональное построение СЗИ можно представить совокупностью следующих по дсистем. 1. Ограничения доступа. По дсистема должна выполнять функции идентификации, проверки подлинности (аутентифи кации) и контроля доступа по льзователей конфиденциальной информацией и программ (процессов) к ресурсам: — системе; — терминалам;
— ЭВМ (ПЭ ВМ), типам сети ЭВМ (ПЭВМ ); — каналам связи; — внешним устройствам ЭВМ (ПЭ ВМ); — программам; — томам, каталогам, файлам, записям, полям записей; — носителям конфиденциальной информации. Данные функции могут реализовываться на объекте с по мощью специализированных систем контроля и управления доступом (СКУД ), включающих программные средства аутен тификации и регистрации и технические устройства ограничения доступа. Доступ к ПЭВМ в основном обеспечивается программными средствами защиты. В настоящее время на действующих объектах ИТКС СН ограничение доступа осуществляется главным образом организационными методами. При наличии на объекте информационных ресурсов с не сколькими степенями конфиденциальности и пользователей с различными правами доступа подсистема до лжна реализовывать механизм разграничения доступа, в основе которого могут лежать существующие модели тако го доступа (на основе матрицы доступа, мандатные, многоуровневые модели). 2. Криптографической защиты. По дсистема реализует функцию шифрования конфиденциальной информации, записываемой на совместно используемые различными субъекта ми доступа (разделяемые) носители данных, а также на съем ные носители данных (ленты, диски, дискеты, микрокассеты и т. п.) долговременной внешней памяти для хранения за преде лами сеансов работы санкционированных субъектов доступа, а также информации, передаваемой по линиям связи. Доступ к операциям шифрования и/или криптографическим ключам контролируется посредством подсистемы управления доступом. Криптографическая подсистема реализуется в виде: — программно-аппаратных или программных средств, разрабатываемых (используемых) на основе действующих алго ритмов криптографического преобразования, криптосхемы, реализующей выбранный алгоритм, или других аттестованных аппаратных средств, предназначенных для шифрования/де шифрования с целью снятия грифа секретности информации, записываемой на учтенных носителях, внешних запоминающих устройствах Э ВМ (накопителях) или передаваемой по ли ниям связи; — других криптографических средств для шифрования/дешифрования информации, включая служебную информацию СЗИ НСД
(ключи, пароли, таблицы санкционирования и т. п.). 3. Обеспечения целостности. Я вляется обязательной для любой СЗИ и включает организационные, программно -аппаратные и другие средства и мето ды, обеспечивающие: — контроль целостности программных средств АС и СЗ И на предмет их несанкционированного изменения; — периодическое и/или динамическое тестирование функ ций СЗИ НСД с помощью специальных программных средств; — наличие администратора (службы) защиты информации, ответственного за ведение, нормальное функционирование и контроль работы СЗИ НСД; — восстановление СЗИ НСД при отказе и сбое; — резервирование информационных ресурсов на других ти пах носителей; — применение сертифицированных (аттестованных) средств и методов защиты, сертификация которы х проводится специальными и испытательными центрами. 4. Регистрации и учета. Включает средства регистрации и учета событий и/или ресурсов с указанием времени и инициатора: — входа/выхода пользователей в/из системы (узла сети); — выдачи печатных (графических) выхо дных документов; — запуска/завершения программ и процессов (заданий, за дач), использующих защищаемые файлы; — доступа программ пользователей к защищаемым файлам, включая их создание и у даление, передачу по линиям и кана лам связи; — доступа программ пользователей к терминалам, ЭВМ, узлам сети Э ВМ, каналам и линиям связи, внешним устройствам ЭВМ, программам, томам, каталогам; — изменения полномочий субъектов доступа; — создаваемых объектов доступа; — носителей информации. Регистрация произво дится с помощью средств ручного или автоматического ведения журнала (системного) и выдачи из него протоколов работы пользователей по выбранным регист рируемым параметрам. Кроме того, данная по дсистема включает средства очистки (обнуления, обезличивания) областей оперативной памяти ЭВМ и внешних накопителей, использованных для обработки и/или хранения защищаемой информации. При ручном учете и регистрации эти функции реализуются организационными мето дами уничтожения носителей.
5. Подсистема управления — некоторое управляющее звено, которое в специальных публикациях по лучило название «ядро СЗИ». Ядро системы защиты информации предназначено для объединения всех подсистем СЗ И в единую целостную систему, для организации обеспечения управления ее функционированием. Ядро может включать организационные и технические составляю щие. Организационная составляющая представляет собой совокупность специально выделенных для обеспечения ЗИ сотрудников, выполняющих свои функции в соответствии с разработанными правилами, а также нормативную базу, регламентирующую выполнение э тих функций службой защиты информации. Ее назначение и основные функции буду т рассмотрены ниже. Техническая составляющая обеспечивает техническую поддержку организационной составляющей и представляет собой совокупность технически х средств о тображения состояния эле ментов СЗИ, контроля доступа к ним, управления их включени ем и т. д. Чаще всего эти средства объединены в соответствую щий пульт управления СЗИ. Ядро СЗ И реализует следующие функции. 1. В отношении подсистемы ограничения доступа: — блокирование бесконтрольного доступа к носителям конфиденциальной информации и элементам СОИ (помещения ООИ и отдельные их элементы оборудуются средствами о хран ной сигнализации, пульт управления ко торыми входит в состав технического обеспечения ядра. Носители с защищаемыми данными хранятся в о храняемом помещении и отдельно о т но сителей с незащищаемыми данными. Для установки носителей с защищаемыми данными выделяю тся строго определенные устройства управления ВЗУ, которые оборудуются специаль ными замками, управление которыми осуществляется средствами ядра); — контроль и обеспечение реагирования на сигналы о попытках несанкционированного доступа (средства ядра до лжны обеспечивать контроль всех сигналов о несанкционированных действиях в любом структурном элементе ОИ, причем могут быть предусмотрены следующие виды реагирования: звуковое, световое и документальное; зарегистрированный сигнал до лжен содержать следующую информацию: место несанкциони рованного действия, время и характер действия; реагирование на сигналы должно обеспечивать прерывание обработки защищаемых данных, уничтожение информации в тех устройствах, которые могут быть доступны вследствие обнаруженных
несанкционированных действий, и принятие мер для задержания нарушителя); — при наличии нескольких уровней конфиденциальности информации управление потоками информации, то есть контроль ее передачи между строго установленными ресурсами (носителями) с учетом наличия разрешения на такой вид обмена. Управление осуществляется с помощью определенных меток конфиденциальности. При переводе информации на новый носитель (передаче другому пользователю ) необ ходимо, чтобы уровень конфиденциальности э того носителя (пользователя) был не ниже уровня конфиденциальности передаваемой информации. 2. В отношении криптографической подсистемы: — контроль выпо лнения требований к средствам шифрования информации (криптостойкости — способности противо стоять вскрытию содержания информации; имитозащищенно -сти — способности противостоять вводу ложной информации); — управление ключами шифрования (разработка, доставка, обращение и уничтожение). 3. В отношении подсистемы обеспечения целостности: — организация и обеспечение проверок правильности функционирования СЗИ (аппаратных средств — по тестовым программам и организационно; физических средств — организационно, программных средств — по специальным контрольным суммам (на целостность) и по другим идентифицирующим признакам; регистрационных журналов — программно и организационно на целостность и защищенность; организационны х средств защиты — организационно сотрудниками служб защиты); — контроль за резервированием информационных ресурсов и их уничтожением при необ ходимости; — обеспечение недоступности средств управления досту пом со стороны пользователей с целью их модификации, б ло кирования или отключения. 4. В отношении подсистемы регистрации и учета: — организация и контроль процесса регистрации всех слу чаев, рассмотренных выше; — анализ регистрируемых данных для оценки уровня безопас ности объекта. Кроме того, в о тношении общего управления ядро СЗИ обеспечивает текущее планирование защиты информации, включение компонентов и технологических схем функциони рования СЗИ в работу
при поступлении запросов на обработку защищаемых данных, подго товку персонала объекта и т. д. Под организационным построением СЗ И понимается общая организация системы, адекватно отражающая основные прин ципы построения ОИ. При этом основные элементы СЗИ тер риториально привязываю тся к основным организационным со ставляющим объекта. Одним из весьма перспективных вариантов такого построе ния является так называемая семирубежная модель защиты (рис. 4.3). Существо подхо да состоит в следующем. Очевидно, ч то защита информации в ОИ может быть обеспечена лишь в том случае, если будут защищены э лементы, имеющие отношение к ОИ: — территория, в пределах ко торой расположены средства ОИ; — здания и помещения, в которых размещены средства ОИ; — ресурсы, используемые для обработки и хранения защи щаемой информации; — линии (каналы) связи, испо льзуемые для сопряжения элементов ОИ и ОИ с другими (внешними) объектами. Тогда организационное построение СЗИ в самом общем слу чае может быть представлено совокупностью следующих рубежей защиты: — территории, занимаемой ОИ; — зданий, расположенных на территории;
Рис. 4.3. Семирубежная модель СЗИ
— помещений внутри здания, в ко торых расположены ресурсы ОИ и защищаемая информация; — ресурсов, используемых для обработки и хранения информации и самой защищаемой информации: технических ре сурсов (средств обработки информации, технических средств шифрования и т. д.), устройств хранения конфиденциальной информации (сейфов, электронных устройств), самой конфиденциальной информации ее носителей; — линий связи, про хо дящих в пределах одно го и того же здания; — линий (каналов) связи, про хо дящих между различными зданиями, расположенными на о дной и той же о храняемой тер ритории; — линий (каналов) связи, выхо дящих за пределы объекта. При этом в зависимости от требований к уровню безопасности информации на каждом из рубежей защиты могут быть реализованы функции о дной или нескольких подсистем защиты, указанных выше. Рассмотрим далее вопрос о структурном построении СЗИ. Поскольку СЗИ является подсистемой системы обработки информации, ее структурное построение может быть определено по аналогии со структурным построением ОИ. Сформированная таким образом структурная схема СЗИ представлена на рис. 4.4.
Рис. 4.4. Общая структур ная схема системы защиты информации
Содержание выделенных структурных компонентов в общем виде может быть представлено следующим образом. Чело веческий компонент составляют те лица (или группы лиц, кол лективы, подразделения), которые имеют непосредственное о тношение к защите информации в процессе функционирования ОИ. К ним должны быть отнесены: 1) абоненты ОИ, имеющие доступ к ресурсам и участвующие в обработке информации; 2) администрация объекта, обеспечивающая общую организацию функционирования системы обработки, в том числе и СЗИ; 3) телефонисты и операторы ОИ, осуществляющие прием информации, подготовку ее к обработке, управление средства ми ВТ в процессе обработки, контроль и распределение резуль татов обработки, а также некоторые другие процедуры, связан ные с циркуляцией информационных пото ков; 4) администраторы банков данных, отвечающие за органи зацию, ведение и использование баз данных ОИ, а также специалисты, занимающиеся ведением защищенно го до кументооборота; 5) обслуживающий персонал, обеспечивающий работу технических средств ОИ, в том числе и средств СЗИ; 6) системные программисты, осуществляющие управление программным обеспечением ОИ; 7) служба защиты информации, которая несет полную ответственность за защиту информации и имеет особые полномочия. Если э та служба в виде самостоятельного по дразделения не создается, то ее функции должны быть возложены на обслу живающий персонал ОИ и администрацию банков данных с соответствующим изменением ее организационно-правового статуса. Ресурсы информационно-вычислительной системы, необхо димые для создания и по ддержания функционирования СЗ И, как и любой другой автоматизированной системы, объединяю тся в техническое, математическое, программное, информационное и лингвистическое обеспечение. Состав и содержание перечисленных видов обеспечения определяю тся следующим образом: — техническое обеспечение — совокупность технических средств, необхо димых для технической поддержки решения всех тех задач по защите информации, решение которых может потребоваться в процессе функционирования СЗИ. В техническое обеспечение СЗИ, естественно, должны быть включены все технические средства защиты, которые могут оказаться необ ходимыми в конкретной СЗИ. Кроме того, к ним относятся те технические средства, которые
необхо димы для решения задач по управлению механизмами защиты информации; — математическое обеспечение — совокупность математи ческих методов, моделей и алгоритмов, необ хо димых для оценки уровня защищенности информации и решения других задач по защите; — программное обеспечение — совокупность программ, реализующих программные средства защиты, а также программ, необхо димых для решения задач по управлению меха низмами защиты. К ним до лжны быть отнесены также сервис ные и вспомогательные программы СЗИ; — информационное обеспечение — совокупность систем классификации и ко дирования данных о защите информации, массивы данных СЗИ, а также вхо дные и выходные документы СЗИ; — лингвистическое обеспечение — совокупность языко вых средств, необ ходимых для обеспечения взаимодействия компонентов СЗИ между собой, с компонентами ОИ и внеш ней средой. Организационно -правовое обеспечение как компонент СЗИ представляет собой совокупность организационно -технических мероприятий и организационно-правовых актов. Орга низационнотехнические мероприятия, с одной стороны, участ вуют в непосредственном решении задач по защите (чисто организационными средствами или совместно с другими средствами защиты), а с другой — объединяю т все средства в еди ные комплексы защиты информации. Организационно -правовые акты являю тся правовой осно вой, регламентирующей и регулирующей функционирование всех элементов СЗИ. В целом же организационно -правовое обеспечение служит для объединения всех компонентов в еди ную систему защиты. 4.3. Служба защиты информации В организациях, использующих в своей деятельности сведе ния с ограниченным доступом, для разработки и проведения технических мероприятий по защите информации в соответ ствии с порядком, установленным Уставом (учредительным документом) организации, создаются соответствующие служ бы. В соответствии с Законом «О Государственной тайне» они могут иметь название: — структурные подразделения по защите государственной тайны; — структурные по дразделения по защите информации. Конкретное наименование службы определяется в зависимо сти от объема и характера выполняемых работ и согласовывается с
ведомственным специальным отделом. Такими наименования ми могут быть служба защиты информации, отдел защиты информации, служба информационной безопасности и др. Служба защиты информации, как правило, является само стоятельным структурным подразделением, подчиненным не посредственно руководителю и (при наличии) заместителю по безопасности (режиму). При наличии в организации служ бы безопасности служба защиты информации вхо дит в ее структуру. В структурных подразделениях организации при необ хо димости могут создаваться части, группы службы защиты ин формации или назначаться приказом руководителя уполномоченные, на которых распространяются права и обязанности работников у казанной службы. Служба защиты информации относится к по дразделениям, непосредственно участвующим в деятельности по выполнению работ с использованием сведений с ограниченным доступом. Структура и штаты службы защиты информации определя ются руководителем организации (предприятия) в зависимости от объема и сложности работ по защите информации. Нормативной правовой базой для решения э той задачи является комплекс следующих актов: — Федеральный закон РФ «О государственной тайне»; — руководящие документы Гостехкомиссии при Президен те Российской Федерации («Защита от несанкционированного доступа к информации», «Классификация автоматизированных систем и требования по защите информации»); — «Квалификационные характеристики должностей руководителей и специалистов, обеспечивающих защиту информации» (1993); — «Квалификационные характеристики работников режимно секретных органов министерств, ведомств, учреждений, предприятий и организаций Российской Федерации» (1992); — «Концепция защиты СВТ и АС от НСД к информации». Служба защиты информации комплектуется соответствую щими работниками, отвечающими требованиям квалификаци онных характеристик на специалистов по комплексной защите информации. Назначение и освобождение от должности руководителя службы защиты информации производятся руководителем ор ганизации с письменного согласия ведомственного отдела защиты информации. Там же до приема дел вновь назначенный руководитель и его заместитель должны пройти инструктаж. Руководитель службы защиты информации обязан организовывать и систематически проводить учебу работников службы и уполномоченных по защите
информации в целях повышения деловой квалификации, уровня знаний и приобретения практи ческих навыков в выполнении возложенных на службу защиты информации задач. Работа службы защиты информации проводится в соответ ствии с перспективными, го довыми и квартальными планами работ. Служба защиты информации в своей деятельности руково дствуется законодательством Российской Фе дерации, нормативными документами по защите информации, приказами и указаниями вышестоящего министерства (ведомства) России и руко водителя организации. Проведение любых мероприятий и работ с использованием сведений с ограниченным доступом без принятия необходимых мер защиты не допускается. С э той целью служба защиты информации обеспечивается необхо димыми производственными помещениями, оборудованием, вычислительной техникой, контрольно -измерительной аппаратурой и расходными материалами. Основными задачами службы защиты информации являются: — обеспечение и организация разработки перечней сведе ний конфиденциального характера; — выявление, локализация и оперативное пресечение возможных каналов у течки защищаемой информации в процессе повседневной деятельности и в э кстремальных ситуациях; — анализ возможностей возникновения новых каналов у теч ки и разработка методов и рекомендаций по их пресечению; — профилактическая деятельность, направленная на предотвращение открытия по тенциальных каналов и источников утечки информации; — анализ и оценка реальной опасности перехвата информации техническими средствами негласного съема информации, предотвращение возможных несанкционированных действий по уничтожению, модификации, копированию и бло кированию информации; — обеспечение режима конфиденциальности при проведе нии всех видов деятельности, включая различные встречи, пе реговоры, совещания, связанные с деловым сотрудничеством как на национальном, так и на международном уровнях; — изучение, анализ и оценка состояния системы техниче ской защиты информации, разработка предложений и рекомендаций по ее совершенствованию. В соответствии с задачами служба защиты информации вы полняет следующие общие функции.
1. Организация и обеспечение режима ограничения доступа к источникам и носителям защищаемой информации. 2. Организационно -правовое и методическое обеспечение работ по регулированию о тношений, связанных с испо льзова нием сведений с ограниченным доступом. 3. Обследование производственной и административной деятельности для выявления и закрытия возможных каналов утечки конфиденциальной информации, ведение учета и ана лиз нарушений режима безопасности информации. 4. Организация и проведение служебных расследований по фактам нарушения правил функционирования системы техни ческой защиты информации. 5. Обеспечение строгого выполнения требований нормативных документов по защите информации. 6. Осуществление руководства и контроля за деятельно стью подразделений защиты информации в структурных под разделениях организации при их наличии. 7. Регулярное проведение учебы сотрудников по всем направлениям защиты информации. 8. Ведение учета технических средств, в том числе спе циальных хранилищ, средств вычислительной техники, ис пользуемых для работы с данными ограниченного распространения. 9. Разработка совместно с руководителями структурных подразделений организационно-распорядительных документов по вопросам защиты информации в организации, обеспечение их утверждения в установленном порядке. 10. Проведение профилактической работы с сотрудниками структурных подразделений организации по соблюдению требований при работе с защищаемой информацией ограниченного доступа. 11. Создание специального информационно -справочного фонда по вопросам защиты информации. 12. Сбор и анализ сведений по различным аспектам защиты информации для испо льзования в работе. 13. Обеспечение своевременного выявления недостатков и совершенствование комплекса мероприятий по реализации по литики защиты информации в организации. 14. Сбор, аналитическая обработка и оценка сведений о по тенциальных и реальных конкурентах, в том числе зарубежных, с целью выявления возможных про тивоправных действий по добыванию ими охраняемых сведений и перекрытия каналов у течки информации.
Основными функциями службы защиты информации по организации по дготовки, издания, хранения и испо льзования документов с о граниченным доступом являю тся: 1) обеспечение организации и ведения делопроизводства конфиденциального характера; 2) организация проведения служебных расследований по фактам разглашения конфиденциальных сведений, а также утраты документов, содержащих такие сведения; 3) контроль за соблю дением установленного порядка изме нения условных и открытых наименований тем, работ, специз делий и т. п.; 4) контроль за соблюдением исполнителями правил обращения с конфиденциальными документами. Основными функциями службы защиты информации по организации и обеспечению режима ограничения доступа являются. 1. Разработка совместно с руководителями структурных подразделений номенклатуры должностей работников, по дле жащих оформлению на допуск к сведениям конфиденциально го характера. 2. Ограничение по режиму допуска и доступа к сведениям конфиденциального характера. 3. Ведение учета специзделий, организация контроля за обеспечением требований режима конфиденциальности уполномоченными лицами в структурных по дразделениях, проведе ние проверок наличия специзделий. 4. участие в проведении мероприятий по соблюдению ре жима конфиденциальности при осуществлении прямых связей с зарубежными странами. 5. Участие в по дго товке приказов и распоряжений по во просам обеспечения режима конфиденциальности про во димых работ. Основными функциями службы защиты информации от ее утечки по техническим каналам являю тся: 1. Обследование объекта с целью выявления по тенциально возможных каналов у течки информации. 2. Формирование перечней каналов утечки информации на основе анализа моделей технических разведок и угроз. 3. Разработка и внедрение средств инженерно-технической защиты информации и контроля их эффективности. 4. Анализ эффективности применения средств защиты и контрольно-измерительной аппаратуры. 5. Установка, монтаж, наладка и эксплуатация комплекса инженерно-технических средств защиты информации. 6. Обеспечение защиты в системах связи о т прослушивания,
разрыва линий, фальсификации и ложных сообщений; обеспе чение юридической значимости э лектронных до кументов. 7. Регистрация, сбор, хранение, обработка и выдача сведе ний о событиях, касающихся законных обращений, ошибочных и незаконных обращений; аналитико-синтетическая обработка зарегистрированных сведений. 8. Оптимизация испо льзования информационных и вычис лительных ресурсов путем контроля параметров надежности технических средств, а также выявление и прогнозирование критических ситуаций. 9. Контроль и поддержание целостности ресурсов АСОД и среды исполнения прикладных программ. Служба зашиты информации имеет право : 1. Запрашивать и получать в пределах своей компетенции необхо димые сведения и материалы для организации и прове дения работ по вопросам защиты информации. 2. Контролировать деятельность структурных подразделе ний по выполнению ими требований по защите информации. 3. Разрабатывать и направлять на утверждение в установ ленном порядке проекты организационных, распорядительных, нормативно методических документов по защите информации, принимать участие в разработке организационно-технической документации в части формирования требований по обеспечению защиты информации 4. Привлекать в установленном порядке по согласованию с руководством организации необ хо димых специалистов и специальную контрольно-измерительную аппаратуру для раз работки решений, мероприятий, нормативно-методических до кументов по вопросам защиты информации, а также для прове дения контроля и оценки эффективности принятых мер. 5. Вносить предложения руководителю организации о приостановке работ в случае обнаружения утечки или предпосы лок к утечке информации, содержащей сведения с ограниченным доступом, и несанкционированного доступа к ней. 6. Получать в установленном порядке лицензии на выпол нение работ по защите информации и при ее получении ока зывать услуги в этой области другим органам (организациям, предприятиям). 7. Участвовать в расследовании причин выявленных нару шений установленных требований и норм в области защиты информации. 8. В необ ходимых случаях требовать от должностных лиц организации предоставления письменных объяснений по фактам установленных нарушений режима
На руководителя службы защиты информации возлагается персональная ответственность за: — обеспечение установленного порядка функционирования системы защиты информации; — оформление разрешительной документации (лицензий и т. д.) на выполнение специальных исследований и работ по защите информации; — выполнение указаний и поручений руководства, плана работы службы; — своевременную разработку положений о структурных подразделениях службы и должностных инструкций ее работ ников; — создание необ хо димых условий труда для работников службы; — соблюдение трудовой и производственной дисциплины работниками службы. На сотрудников службы защиты информации возлагается персональная ответственность за обеспечение установленного порядка функционирования системы защиты информации в пределах их функций, определяемых в должностных инструкциях. Служба защиты информации по характеру деятельности нахо дится в тесном взаимодействии с: — руководителями структурных подразделений организа ции и подведомственной сети — по вопросам функционирования, контроля и проверки системы защиты информации, подго товки и предоставления необхо димых руково дству материалов по профилю деятельности службы; — юридической службой — по правовым вопросам, связанным с обеспечением защиты информации; — службами кадров — по вопросам подбора, расстановки кадров, проведения проверочных мероприятий, повышения ква лификации сотрудников, предоставления льго т и оплаты труда; — постоянно действующей технической комиссией (ПДТК) — по вопросам эффективности и совершенствования системы защиты информации; — службами материально-технического снабжения и хозяй ственного обслуживания. Служба защиты информации организует при необхо димо сти взаимодействие с аналогичными подразделениями сторон них организаций, участвующими в выполнении совместных программ. Служба защиты информации проводит свою работу во взаимодействии с представителями территориальных органов ФСБ, ФСО, Гостехкомиссии России, военными представительства ми,
правоохранительными ведомствами.
органами,
другими
министерствами
и
Глава 5. Организация и обеспечение работ по защите информации 5.1. Общее содерж ание организации и обеспечения работ по защите информации По мере разработки теоретических основ решения этой проблемы сформировалось понятие «обеспечение защиты ин формации» как процесс реализации комплекса различных мероприятий по обеспечению информационной безопасности, объединенных единой целевой программой Основными из них являются: 1) определение требований к системе защиты информации; 2) определение и подго товка лиц, ответственных за обеспечение безопасности информации, а также назначение исполнителей, ко торым поручаются разработка и эксплуатация систем защиты информации; 3) проектирование, создание и эксплуатация системы защи ты информации объекта; 4) научно-методологическое и документационное обеспечение работ по защите информации; 5) установление мер контроля и о тветственности за соблюдение всех правил защиты информации. Рассмотрим эти направления деятельности, характерные для обеспечения информационной безопасности объекта обработки информации, подробнее. 1. Определение требований к системе защиты информации. Необ ходимая степень защиты информации, обрабатывае мой на объекте, задается конкретными требованиями к защите, обусловленными спецификой системы обработки информации. Эти требования опреде ляю тся совокупностью следующих факторов: 1) характером обрабатываемой информации. С точки зре ния требуемой защиты информацию можно подразделять на общедоступную, конфиденциальную, служебную, секретную и совершенно секретную. Деление может несколько отлич аться от приведенного в зависимости о т области использования ин формации (коммерческая или государственная тайна и т. д.). Процесс отнесения информации к различной степени конфи денциальности также может быть различным. Так, отнесение сведений к государственной тайне и присвоение ей соответствующей степени секретности произво дятся в соответствии с государственными правовыми актами, например «Перечнем сведений, составляющих государственную тайну», утверждае мым Президентом РФ. Определение же степени конфиден-
циальности сведений, составляющих коммерческую тайну, производится самим владельцем этой информации; 2) объемом обрабатываемой информации. Этот фактор определяется ко личеством и разнообразием носителей конфиденциальной информации на объекте; 3) продолжительностью пребывания информации в системе обработки. При этом информация разового использования подлежит защите в процессе подготовки, ввода, решения задач и выдачи результатов решения, после чего должна быть унич тожена во всех элементах объекта Информация временного хранения дополни-тельнок предыдущему подлежит защите в течение объявленного времени хранения и после этого уничтожается. Информация длительного хранения подлежит постоянной защите, унич тожение ее должно осуществляться по специальным командам; 4) структурой системы обработки информации. Исхо дя из требования о необ хо димости защиты информации во всех структурных элементах систем обработки, степень сложности этой структуры также должна определять уровень защиты ин формации; 5) видом защищаемой информации. Данное требование определяется типом носителей конфиденциальной информа ции. Так, очевидно, уровень защиты то лько документальной информации отличается от защиты информации, выраженной в виде образов объекта, сигналов, полученных в результате ее обработки техническими средствами; 6) технологическими схемами и организацией процесса об работки информации. Это т фактор вытекает из требований функциональной комплексности защиты, подразумевающих необхо димость ее проведения во всех режимах и на всех техно логических участках системы обработки; 7) этапом жизненного цикла. Эти требования формулируются так: — на этапе создания систем обработки информации должно быть обеспечено соответствие возможности системы защиты требованиям к защите информации, сформулированным в задании на проектирование, кроме того, до лжно быть исключено несанкцио нированное включение элементов в компоненты системы; — на этапе функционирования в пассивном состоянии сис темы обработки должна быть обеспечена надежная защита хра нящейся информации и исключена возможность несанкциони рованного изменения компонентов системы;
— на этапе функционирования в активном режиме дополнительно должна быть обеспечена надежная защита во всех режи мах обработки; 8) условиями функционирования объекта обработки информации. Определяется возможностями злоумышленника по добыванию конфиденциальных сведений. В зависимости о т возможности выполнения этих требова ний объекты обработки могут быть отнесены к соответствую щим классам защищенности, как правило, устанавливаемым государственными стандартами. Так, в США до кументом, определяющим критерии оценки защищенности вычислитель ных систем и механизмы их защиты, является «Оранжевая кни га», представляющая собой стандарт «Критерии оценки гарантированно защищенных вычислительных систем в интересах Министерства обороны США», принятый в 1983 г. В соответствии с э тим стандартом все автоматизированные системы делятся на классы, составляющие четыре группы: D — с минимальной защитой, С — с индивидуальной защитой, В — с мандатной защитой, А — с верифицированной защитой. Аналогичный подхо д реализован и в руководящем документе Государственной технической комиссии России «Классифика ция автоматизированных систем и требования по защите ин формации», выпущенном в 1992 г. 2. Определение и подготовка лиц, ответственных за обеспечение безопасности информации, а так же назначе ние исполнителей, которым поручаются разработка и экс плуатация систем защиты информации. Система защиты информации по своему функциональному предназначению и структуре является человекомашинной системой. Специфика ее такова, ч то человек является в ней не то лько основным структурным элементом, но и носителем сведений как об информации, обрабатываемой в системе, так и о принципах построения самой системы защиты. Следователь но, сотрудники, участвующие в процессе защиты информации, потенциально могут стать как непосредственными источника ми конфиденциальной информации для противника, так и кос венными источниками таких угроз информации, как сбои и ошибки в эксплуатации систем обработки. Так, по статистике, в 70-80% случаев утечка секретной информации происхо дит по вине сотрудников объектов, на которых она обрабатывается. Все это подчеркивает особую актуальность работ, проводимых в рассматриваемом направлении. Основными видами деятельности здесь являю тся:
— подбор лю дей, допускаемых к секретным работам, их проверка и изучение; — обучение лиц, допущенных к секретам, правилам их сохранения; — воспитание у секретоносителей понимания важности со хранения в тайне доверенных им секретных или конфиденциальных сведений; — стимулирование заинтересованности в работе с засекре ченной информацией и сохранения э тих сведений в тайне; — создание угрозы о тветственности и серьезных последствий для них за несо хранение в тайне по их вине доверенных им секретов и т. д.; — иные меры (добровольное согласие на ограничение прав человека, допускаемого к работе с засекреченной информацией, в частности запрет на работу по совместительству у конкурентов, вступление без служебной необхо димости в контакты с иностранцами, ограничения на выезд и возможные служебные командировки за границу и др.). В зависимости о т важности обрабатываемой информации уровень требований к подбору персонала может быть разным. Так, для сотрудников, работающих с информацией, составляю щей государственную тайну, требования строго регламентиру ются ведомственными приказами и инструкциями. При реализации рассматриваемого направления работ по защите информации важными являются не то лько подбор и расстановка персонала, но и создание необходимой штатно -до лжностной структуры службы защиты информации объекта, способной обеспечить требуемый уровень безопасности в процессе функционирования объекта обработки ин формации. 3. Проектирование, создание и эксплуатация системы защиты информации о бъекта. Данное направление работ является наиболее ресурсоемким как по времени, необходимому для его проведения, так и по материальным и трудовым затратам. Работы по созданию систем защиты информации, как и лю бых других сложных систем, выполняю тся в три э тапа: — подго товительный; — основной; — заключительный. Назначение и общее содержание названных этапов является общепринятым:
— на подго товительном этапе изучаются и оцениваю тся все факторы, влияющие на защиту информации; — на этапе основных работ принимается принципиальное решение о необходимом уровне защиты, а также осуществляется проектирование системы защиты; — на этапе заключительных работ производится оценка си стемы защиты, причем как по критериям эффективности, так и по технико экономическим показателям. Однако, как показал многолетний опыт (в том числе и зарубежный), организации защиты информации на ОИ, какими бы ни были совершенными проект системы защиты и его первоначальная реализация, в процессе функционирования объекта не избежно возникаю т непредвиденные обстоятельства, обуслов ливаемые, с одной стороны, действиями факторов, не учтенных (или неадекватно учтенных) на этапе создания системы защиты, а с другой — изменениями, происхо дящими в процессе функцио нирования этих объектов. В связи с этим неизбежно возникает необ ходимость изменения, совершенствования системы защи ты, и весь процесс организации работ по защите удобно представить в виде циклической процедуры, структура и содержа ние которой отображены на рис. 5.1.
Рис. 5.1. Структура и содержание цикла работ по защите информации Как следует из рисунка, основу представленной техно логии составляю т следующие по ложения: — непрерывный сбор информации о функционировании механизмов защиты и о проводимых работах; — систематический анализ состояния защищенности ин -
формации; — систематическое у точнение требований к защите инфор мации; — проведение каждый раз (при необ ходимости, ввиду не удовлетворительного состояния защищенности или изменения требований) всего цикла работ по организации защиты. Процесс проектирования систем защиты информации является сложным самостоятельным вопросом и будет рассмотрен ниже. Функционирование СЗИ организуется в соответствии с принципами управления защитой информации. Управление процессами функционирования систем защиты Общая модель управления представлена на рис. 5.2. Как следует из представленной модели, исходной основой для управления защитой служат планы обработки информации в ООИ, а на основе анализа параметров подлежащей обработке информации обосновываются требования к защите информации, ко торые в самом общем виде могут быть выражены вероятностью требуемой защиты Р В соответствии с требуемым значением показателя защищен ности должны быть определены оптимальные наборы средств защиты (технических {Т}, программных {П}, организацион ных {О}, законодательных {3}, морально-этических {М}), обеспечивающих требуемый уровень защищенности. Обоснование таких наборов средств защиты является общей задачей механизмов управления средствами защиты. Выбранные наборы средств способны обеспечить вполне определенный ожидаемый уровень защищенности информации (Р ож ), который может отличаться от требуемого. Если это о тли чие будет превышать допустимые значения (ДР оп), то, очевидно, надо скорректировать выбранные наборы средств защиты. Однако не исключены такие случаи, когда имеющимися средствами требуемый уровень защиты не достигается. Тогда
Рис. 5.2. Общая модель управления защитой информации надо или менять планы обработки информации (например, исклю чать из обработки информацию повышенной секретности) и э тим самым
снижать требуемый уровень защищенности, или идти на риск обработки при недостаточном ее уровне. Сформированные по изложенной выше процедуре наборы средств защиты реализуются в процессе автоматизированной обработки информации. Для определения действительного уровня защищенности должен осуществляться соответствую щий контроль. На основе данных контроля определяется по казатель действительного уровня защищенности Рд . Этот по казатель сопоставляется с требуемым уровнем — (Р ), и если рассогласование указанных показателей превышает допусти мое значение, то система управления защитой должна о треагировать изменением набора используемых средств защиты или показателя требуемой защищенности. Указанная модель до лжна быть реализована системой управления защитой. Основными макропроцессами управления в системах организационно-техно логического типа являются планирование, оперативное управление, календарно-плановое руководство выполнением планов и обеспечением повседневной деятельно сти системы управления. Планирование защиты информации есть процесс обработки программы оптимального использования в предстоящий (пла нируемый) период обработки данных имеющихся средств за щиты. При этом под оптимальностью использования СЗ И по нимается достижение одной из дву х целей (в зависимости о т постановки задачи): или достижение максимальной защищен ности информации при данных расхо дах на защиту (прямая постановка задачи), или достижение заданной защищенности информации при минимальных расхо дах на защиту (обратная постановка задачи). Основные задачи оперативного управления защитой информации в комплексных системах обработки данных заключа ются в: — регулировании использования СЗ И в процессе ее обработки; — сборе, обработке и организации массивов (баз) оператив ных данных, о тносящихся к защите информации; — непрерывном распознании ситуации относительно защи щенности информации; — принятии решения на оперативное вмешательство в функ ционирование СЗ И; — реализации принятых решений; — анализе и прогнозировании развития ситуации; — разработке предложений по корректировке планов защи ты информации;
— обработке учетно-отчетных до кументов, относящихся к функционированию СЗ И. Основное содержание действий должностных лиц дис петчерской службы может быть сведено к такой последо вательности: 1) проверка достоверности имеющихся данных о характере ситуации; 2) принятие неотложных мер по спасению лю дей и материальных ценностей; 3) принятие мер по пресечению злоумышленных действий и задержанию нарушителя; 4) принятие мер по ло кализации дестабилизирующего воздействия нарушителя на информацию; 5) доклад руководству о ситуации и принятых мерах. Основными функциями календарно-планового руководства являются принятие текущих решений, связанных с обеспечением выполнения текущих плановых задач, и слежение за ходом выпо лнения плана. Осуществление первой функции заключается в принятии плановых решений, то есть таких, которые обусловливаются естественным хо дом выполнения плана. В дальнейшем пере чень, содержание и сроки принятия таких решений до лжны стать составной частью самого плана. Слежение за хо дом выполнения плана заключается в периодической оценке соответствия действительного протекания управляемой деятельности запланированному. Если в какой-либо момент времени отклонение действительного хода дея тельности от запланированного превысит допустимую норму, то в план должны быть внесены необ ходимые коррективы. Для обеспечения регулярной и эффективной защиты инфор мации большое значение имеет повседневная деятельность всех органов и лиц, имеющих о тношение к защите, и особенно служб защиты информации ОИ. На практике э та деятельность регламентируется соответствующими нормативными документами, разрабатываемыми на каждом объекте. При этом коли чество организационных мероприятий по обеспечению информационной безопасности, реализуемых на ОИ, столь велико, ч то имеет смысл выделить лишь основные направления такой работы. I. Обеспечение режима секретности: — организация специально го делопроизво дства, включаю щего документирование информации, обеспечение документо оборота, учет, надежное хранение и своевременное уничтожение документов и носителей, контроль их наличия, правильности и своевременности
исполнения; — организация и поддержание надежного пропускного ре жима; — подбор, оценка и расстановка обслуживающего персонала; — реализация специальных правил работы с ЭВТ и др угими техническими средствами обработки конфиденциальной ин формации. II Противодействие техническим разведкам: — оценка и своевременное выявление угроз утечки информации по техническим каналам; — обеспечение выполнения специальных требований к по мещениям, где обрабатывается конфиденциальная информация; — организация специальных проверок и специальных исследований технических средств обработки конфиденциальной информации; — организация специальных проверок помещений на наличие закладных устройств; — аттестация объектов, сер тификация технических средств защиты информации; — определение контролируемых зон ОИ; — контроль эффективности технической защиты информации. III Обеспечение безопасности шифрованной связи: — разработка, распределение, доставка и надежное хране ние ключей шифрования; — контроль выполнения требований к аппаратуре шифро вания и правил обращения с ключевыми документами. 4. Научно-методологическое и документационное обеспечение работ по защите информации. Анализ процесса управления защитой информации показы вает, что наиболее существенную группу задач, подлежащих решению в повседневной деятельности органов управления служб защиты информации, составляют задачи информационного обеспечения системы управления. Учитывая их важность, данный вопрос ниже будет рассматриваться о тдельно. 5. У становление мер контроля и ответственности за соблюдение всех правил защиты информации. Основной задачей контроля СЗИ является по лучение сведе ний о параметрах и показателях безопасности информации и эффективности функционирования механизмов защиты для выработки необ ходимых воздействий на контролируемую систему или условия ее функционирования с целью обеспечения максимального эффекта от использования ее по назначению.
С точки зрения непосредственной организации контроля на ОИ необхо димо объединить два его варианта: а) контроль состояния параметров средств защиты, средств обработки информации и качества выполнения мероприятий по обеспечению безопасности информации, определяющих значения контролируемых показателей уровня безопасности; б) контроль наличия (проявления) типовых нарушений правил защиты информации. Организация контроля по первому варианту сопряжена с ре шением следующих задач : — обоснованием перечня и содержания тех показателей безопасности, ко торые до лжны контролироваться; — формированием минимального множества параметров средств защиты, средств обработки информации и качества выполнения организационных мероприятий, которые могут быть измерены (сняты) и получены в результате проверок и по значениям которых можно определить значения контролируемых показателей; — определением точек съема значений указанных параметров, то есть тех из них в структуре объекта, обрабатывающего конфиденциальную информацию, где могут быть зафиксированы значения каждого из э тих существенно значимых параметров; — определением способов съема (определения) указанных параметров; — выработкой методов определения (проверки, верифика ции) значений параметров; — разработкой методов определения текущих и прогнози рования ожидаемых значений показателей уровня безопасности информации на объекте. Положительным аспектом является то, ч то непосредствен ному наблюдению по двергаю тся элементарные параметры. Это затрудняет злоумышленникам выбор путей об хо да контроля. В то же время для реализации всех по ложительных свойств мно жество контролируемых параметров должно быть достаточно представительным, а сами параметры — достаточно элементарными, с тем чтобы по ним трудно было определить (вскрыть) характер контролируемых показателей безопасности. Контроль по второму варианту заключается в том, что в его процессе отыскиваю тся такие нарушения требований безопас ности информации, которые имели место ранее или возмож ность которых предполагается гипо тетически. При э том организация контроля предполагает решение следующих задач:
— формирование и регулярную корректировку системы по тенциально возможных нарушений правил защиты; — определение вероятностных характеристик возможностей проявления каждого из потенциально возможных нарушений; — установление возможных мест, условий и характера про явления каждого из нарушений; — формирование и перманентное уточнение и пополнение каталога возможных нарушений. Преимуществами второго варианта являются предметная наглядность контроля и полный учет опыта функционирования систем защиты информации. К недостаткам можно отнести ориентацию преимущественно на предшествующий опыт и не-замаскированность для нарушителей с точки зрения поиска возможных путей уклонения от контроля. Анализ методов контроля безопасности информации, предла гаемых зарубежными специалистами, показал, ч то решение этих вопросов обеспечивается применением автоматизированных си стем с соответствующим программным и аппаратным обеспечением, а также выполнением организационно-технических мер по защите информации. Кроме того, как указывается в заруб ежной печати, контроль защищенности информации начинает осу ществляться и через контроль действий обслуживающего персонала путем ретроспективного сравнительного анализа данных об их деятельности, фиксируемых в регистрационных журналах и профилях полномочи й. Целью такого анализа является выявле ние отклонений фактических действий контролируемых лиц от действий, разрешенных им профилями полномочий. Предпола гается, ч то на основе статистического анализа таких о тклонений можно будет определить характер намерений соответствующих лиц, в том числе и злоумышленных. В целом же последние исследования зарубежных специалистов подтверждают выво д о том, что обеспечить необхо димую степень конфиденциально сти можно, лишь применяя комплексный подхо д к решению проблем защиты информации, и в том числе к созданию комплексных систем контроля ее безопасности. 5.2. Организационно-правовое и документальное обеспечение работ по ЗИ Неотъемлемой составной частью системы защиты, своеоб разным базисом процесса защиты информации является система документального обеспечения данного процесса, самостоятельным
компонентом которой являю тся типовые документы При этом под типовым понимается такой документ, ко торый отработан корректно, прошел апробацию и утвержден полно мочными органами в качестве типового (или, по крайней мере, получил всеобщее признание в кругу специалистов). Какого-либо утвержденно го или хо тя бы общепризнанного перечня типовых документов в настоящее время нет. Однако большой объем работ по защите информации, их многообразие, сложность и значительное ко личество участников в осуществлении даю т основания утверждать, что чем лучше станет документа-ционное обеспечение этих работ, тем эффективнее будут решаться все проблемы защиты информации. Основное назначение документов может быть сформулировано следующим образом: — обеспечение научно-методологическо го и концептуаль ного единства при решении всех вопросов ЗИ; — создание условий для однозначного понимания и практической реализации основных положений унифицированной концепции защиты информации; — доведение необхо димых данных до всех органов и лиц, участвующих в защите информации; — обеспечение нормативно-правового регулирования процессов ЗИ; — регистрация носителей конфиденциальной информации и работ, связанных с информационной безопасностью. В соответствии с э тим документы должны образовывать единую систему документов, представляющую собой упорядоченный перечень групп документов, разрабатываемых по во просам, относящимся к защите информации на ОИ. Структура системы типовых документов (рис. 5.3) может быть представлена совокупностью пяти групп документов: 1. справочно-информационных; 2. нормативно-правовых; 3. руководящих методических материалов; 4. инструктивных; 5. регистрационных.
Рис. 5.3. Структура системы документального обеспечения ЗИ К первой группе относятся документы, которые содержат полную информацию обо всех аспектах проблемы ЗИ и признаны подавляющим большинством специалистов в этой сфере (словари, справочники и т. д.); стандар ты, утвержденные пол номочными органами и являющиеся эталонами основных понятий в области ЗИ, характеристик средств и способов защиты; технические описания средств защиты информации. Ко второй группе относятся до кументы, составляющие зако нодательную базу обеспечения информационной безопасности. Это законы и подзаконные акты, определяю щие юридическую ответственность участников процесса защиты и законодатель но регулирующие основные вопросы информационной безопасности. К данной группе относятся и нормативно-правовые до кументы ведомственно го уровня, требующие обязательного их выполнения при обеспечении защиты информации (например, требования к защите информации и нормы защищенности, специальные требования по размещению и монтажу ОИ, порядок и правила обращения с носителями секретных данных). К руководящим методическим материалам (РММ ) — третья группа — относится совокупность таких документов, которые содержат по лное и систематизированное описание порядка и принципов проведения работ по З И и носят рекомендательный характер. Практика организации и обеспечения работ по ЗИ показывает, что РММ обычно составляю т наибо лее представи тельную группу документов, регламентирующих различные аспекты работ. На ОИ можно выделить разновидности РММ, определяющие следующие методики: — оценки безопасности информации; — измерения технических каналов утечки информации и установления контролируемых зон;
— применения технических и организационных средств за щиты; — проектирования СЗИ и др. К четвер той группе относятся систематизированные наборы типовых инструкций для различных категорий подразделений и лиц по ЗИ, утвержденных полномочными органами с учетом их специфики. К регистрационным документам — пятая группа — отно сятся учетные документы, позволяющие контролировать нали чие конфиденциальных документов и изделий и ограничивать несанкционированный доступ к ним, а также эксплуатационнотехническая документация, необ хо димая для регистрации всех событий, происходящих в процессе защиты информации, для получения возможности последующей оценки безопасности информации на объекте. 5.3. Защита информации в экстремальных ситуациях Рассмотренная выше о тносительно стройная система организационных мер по обеспечению информационной безопасности на ОИ может быть довольно быстро нарушена при возникнове нии так называемых экстремальных, или чрезвычайных, ситу аций (ЧС). К таким можно отнести любые ситуации, грозящие серьезным материальным или моральным ущербом для органи зации. Э то проявляется в у течке, разглашении, у трате и других видах проявления уязвимости конфиденциальной информации, ч то, естественно, также грозит существенными э кономическими потерями. ЧС можно разделить на внутренние (куда вхо дят конф ликт ные ситуации и техногенные аварии и сбои) и внешние (кото рые составляю т общественные, правовые, экономические кри зисные ситуации, стихийные бедствия, преступные действия и диверсии). К общественным ЧС можно отнести беспорядки, забастовки, революции, перевороты, террористические акты, межнацио нальные конфликты, войны; к конфликтам — межличностные, иерар хические и управленческие конфликты; к преступным действиям — угрозы со стороны организованной преступности, коррупцию, неорганизованную преступность (одиночки); к экономическим — ухудшение экономического положения в стране или регионе, банкротство, блокирование счетов, скупку контрольного пакета акций, сверхсильную конкуренцию и т. п.; к правовым — принятие, отмену или изменение законов, обеспечивающих деятельность предприятия и СЗИ, законные, не правомерные и незаконные действия правоохранительных органов; к природным — землетрясения,
наводнения, оползни, ураганы, аномальные температуры, засухи, вирусные заболевания и т. п.; к техногенным — пожары, взрывы газа, разрушение зданий, компьютерные вирусы, аварии на электростанциях и телефонных станциях, прорывы газо- и водопроводов (диверсии могут маскироваться под техногенные аварии, при э том будут отличаться умышленностью и направленностью воздей ствия). Любая ЧС характеризуется определенным набором деструктивных факторов, которые воздействуют на СЗИ. Факторами ЧС можно назвать внешние или вну тренние комплексные процессы, протекающие в определенной сфере, оказываю щие эк стремальное воздействие на систему. Факторы ЧС непосред ственно влияю т на защищенность информации, воздействуя также на технические средства З И, сейфы и хранилища, про граммное обеспечение и непосредственно на носители информации. Факторы ЧС воздействуют также на технические средства о храны, инженерные сооружения, сотрудников СЗ И, снижаю т управляемость системы. Влияя на поведение сотрудников СЗ И, ЧС создаю т условия для неэффективной работы всей системы защиты информации. Воздействие любой ЧС на СЗИ носит комплексный (систем ный) характер и осуществляется о дновременно по нескольким направлениям. Каждая ЧС содержит целый набор из несколь ких поражающих факторов. Так, например, обязательными спутниками любой ЧС являются психо логический и э кономические факторы. Можно установить связь между факторами ЗИ и факторами ЧС. Опасность любой ЧС во многом заключается в том, что не которые ЧС, не оказывая прямого влияния на безопасность ин формации, создают условия для реализации информационной угрозы. Таковы, например, экономические ЧС и вну тренние конфликты. Э то необхо димо учитывать при анализе информационных у гроз, то есть нужно проанализировать, какие ЧС яв ляются наиболее опасными. Для осуществления надежной ЗИ в любой ситуации необ ходимо представлять себе то т комплекс информационных угроз, который исходит о т конкретной чрезвычайной ситуации. Естественно, для каждой организации или предприятия существуют собственные закономерности, обусловленные регионом и районом, в которых они расположены, их экономическим положением и многими другими факторами. При этом необходимо учитывать общую экономическую и общественно-политическую обстановку в стране на данный момент и сте пень ее влияния на деятельность предприятия.
Одними из наиболее опасных для ЗИ являю тся ситуации, связанные с умышленным нанесением ущерба информационной безопасности предприятия, — диверсии и преступные проявле ния. Диверсионные действия опасны тем, что для достижения поставленных целей могут использоваться любые средства. По этому конфиденциальная информация в случае реализации данной угрозы максимально уязвима. Для объектов ИТКС СН данный вид ЧС, связанный с решением задач в так называемых «горячих точках», когда вероятность захвата объекта значительно возрастает, предусмотрен в соответствующих нормативных документах. Не менее опасными для СЗИ являю тся также различные конф ликты, в ко торые вовлечены сотрудники предприятия. Опас ность конфликтов для СЗИ заключается в том, что в них м огут быть вовлечены те сотрудники, которым доверена конфиденци альная информация, или те, ко торые отвечают за ее безопасность. Конфликты вызываю т чувство недовольства, неудовлетворенности. Возникает межличностная напряженность. Особенно опас ны конфликты между руководителями и по дчиненными: нахо дясь ниже по иерар хии, подчиненные по понятным причинам часто не могут открыто конфликтовать и адекватно о тветить своим обидчикам, поэтому такой конфликт быстро переходит в латентную стадию, где становится неконтролируемым. Желание отомстить (восстановить справедливость), вызванное не справедливым отношением со стороны руководителя, может побудить по дчиненного каким -либо образом нанести ущерб безопасности, желая тем самым наказать руководителяобидчика. Выбор конкретного варианта будет зависеть от личностных особенностей сотрудника. Анализ практической деятель ности ОИ показывает, что аналогичные ситуации являю тся далеко не редким событием. Рассматривая влияние экономических ЧС на СЗ И государ ственных структур, необ ходимо отметить, что, несмотря на незначительную вероятность внезапно го изменения их э кономического состояния, игнорировать такое влияние нельзя. Оно может проявляться, например, в том, что в связи с у ху дшением экономического состояния страны или регио на неизбежно наступает уху дшение материально го положения сотрудников организации, что может привести к увеличению риска разгла шения сведений, составляю щих государственную тайну. Наиболее распространенной информационной угрозой явля ется «блокирование доступа». И если учесть, что также существует серьезная опасность уничтожения защищаемой информации, то можно
сделать выво д о необ хо димости организации резервного массива особо ценной информации. Этот массив до лжен быть легко доступен при необ ходимо сти, но в то же время хорошо защищен от максимального коли чества ЧС. Каждая ЧС о казывает свое деструктивное влияние на систему в конкретном направлении, нарушая определенные процессы, воздействуя на функционирование о тдельных э лементов или подсистем. Поэ тому для эффективного противо действия ЧС необхо димо изучить специфические направления воздействия ЧС на СЗИ. Э ти направления су ть совокупность разнородных нега тивных воздействий, распространяющихся в одной вну тренней сфере деятельности предприятия. Условно э ту совокупность воздействий можно назвать поражающими факторами ЧС. Однако чтобы эффективно противостоять различным ЧС, необхо димо использовать соответствующие каждой ситуации мето ды и средства противодействия. Разработка мер по противодействию до лжна включать следующие операции: — анализ ситуации и прогноз ее развития; — определение имеющихся ресурсов и возможностей их ис пользования (существующие планы); — разработка плана мероприятий по противодействию ЧС; — выделение необ хо димых ресурсов; — реализация спланированных мероприятий; — контроль реализации; — корректировка мероприятий по промежуточным результатам. Ясно, что для эффективного противодействия ЧС необ хо ди ма тщательная предварительная подго товка, от глубины и сис темности которой будет зависеть эффективность противодействия системы. Для наиболее эффективного противодействия ЧС необ хо ди мо максимально полно представлять себе все особенности данного вида происхо дящих событий. Они до лжны стать исхо дны ми положениями для построения адекватной и эффективной системы пр отиво действия. При этом нужно учитывать временные, энергетические и информационно-психологические особенности ЧС, среди которых основными являю тся: — внезапность (часто ); — экстремальный характер воздействия на элементы СЗИ; — психологические феномены экстремального воздействия (поведение со трудников и руководителей — дезорганизация на всех уровнях управления);
— системность ЧС как процесса (содержит одновременно несколько деструктивных факторов); — системность воздействия ЧС на СЗИ. Последнее заключается в воздейс твии на различные функциональные структуры СЗИ: — информационную (получение, обмен, обработка и распространение информации); — организационную (система управления); — техническую (распределение и использование материаль ных ресурсов); — коммуникативную (взаимодействие сотру дников, руководства); — психику со трудников. Например, стихийное бедствие создает ситуацию неопределенности, разрушает линии связи, технические средства о храны и ЗИ, дезорганизует управление, влияет на поведение со трудников. Любая ЧС, так или иначе, о дновременно осуществляет воздействие на несколько структур, которое существует независимо от наших знаний о нем, постоянно и неизбежно сопутствуя всем ЧС. Все э ти представления о ЧС позволяю т сформулировать ряд важных положений для организации рабо ты при ее возникновении с ЧС (про тиво действие СЗИ в ЧС): — только комплексные меры по подготовке и противодей ствию способны эффективно противостоять экстремальным воздействиям; — подго товка сотрудников — основной элемент системы противодействия ЧС; — наибольший эффект (наименьший ущерб) даст не реагирование на уже случившееся событие, а предотвращение или пресечение ЧС. Комплексные меры противо действия предполагаю т созда ние системы работы в ЧС, которая состояла бы формально из четырех блоков: 1) теоретические выкладки (представление обо всех нега тивных факторах ЧС, пути и возможности эффективно го про тиво действия); 2) методическая поддержка (разработка методов и средств противодействия ЧС для СЗИ); 3) структура системы и ее функционирование (элементы, их роль и взаимодействие); 4) нормативное обеспечение (положения, должностные и ситуационные инструкции, штатные расписания, плакаты, па мятки и т. п.).
При этом необходимо помнить, что система будет способна обеспечить необхо димый уровень противодействия только при определенных условиях (по дго товленность, превентивность, системность, полнота, обоснованность, оптимальность, плано вость, своевременность, оперативность, точность и адекватность), выполнение ко торых позволит СЗИ эффективно проти востоять экстремальным воздействиям. Способность эффективно го противодействия ЧС предпола гает своевременное разрешение ряда основополагающих задач: — выявление основных угроз для СЗИ; — разработка концепции (по дхо д, основные принципы) безопасности СЗИ; — определение стратегии действий СЗИ по обеспечению безопасности; — проектирование системы противо действия ЧС; — создание структуры и механизма согласования действий всех подразделений и должностных лиц, занимающихся обеспечением безопасности; — определение плана конкретных мероприятий по реализа ции этой стратегии; — проведение обследования СЗ И на предмет уязвимости для ЧС (надежность системы противодействия); — постоянный мониторинг состояния СЗ И и контроль про водимых мероприятий. В заключение хо телось бы еще раз по дчеркнуть значение че ловеческого фактора для противодействия ЧС. Большинство их, так или иначе, воздействуют на эмоциональное состояние и поведение человека. Последствия такого воздействия могут заключаться в неспособности человека адекватно воспринимать и правильно реагировать на ситуацию, и даже при нали чии в системе ресурсов для противодействия ЧС сотрудники в силу стрессовой ситуации не всегда способны правильно отреагировать на деструктивные процессы (воздействие). Поэто му персонал можно считать наиболее уязвимым местом любой организации. Кроме того, персонал является наиболее важным звеном в системе противодействия ЧС, по тому что человече ский ресурс — это универсальный ресурс, способный заменить или компенсировать недостаток любого другого.
Глава 6. Модели информации
систем
и
процессов
защиты
6.1. Моделирование систем и процессов защиты информации Для реализации системного подхо да к решению проблемы обеспечения информационной безопасности необхо димо комп лексное использование мето дов моделирования систем и про цессов защиты информации. Целями такого моделирования яв ляются поиск оптимальных решений по управлению системой защиты, оценка эффективности использования различных ме ханизмов защиты, определение свойств системы защиты, уста новление взаимосвязей между ее характеристиками и показате лями. Модель с позиций экономико-математическо го моделирования представляет собой логическое или математическое описание компонентов и функций, отображающих существенные свойства моделируемого объекта или процесса (обычно рассматриваемых как системы или элементы системы) и использу ется как условный образ, сконструированный для упрощения их исследования. Моделирование системы заключается в построении некото рого ее образа, адекватного (с точностью до целей моделирова ния) исследуемой системе, и получении с помощью построен ной модели необхо димых характеристик реальной системы. Таким образом, в самом общем случае весь процесс моделиро вания можно разделить на две составляю щие: построение модели и реализацию модели с целью получения необ ходимых характеристик системы. Для целенаправленного решения проблемы моделирования систем и процессов защиты информации необхо димо произве сти системную классификацию моделей, ч то может быть доста точно полно и адекватно осуществлено на основе богатого опыта построения и использования разнообразных моделей различных систем. На основе указанного опыта есть основания утверждать, ч то системная классификация моделей может быть осуществлена по совокупности трех критериев следующего со держания. 1. Способ моделирования, то есть основной прием, который положен в основу построения модели. По этому критерию все модели могут быть разделены на аналитические и статистические. Аналитические модели представляю тся в виде неко торой совокупности аналитических и (или) логических зависимостей, позволяющих по ним определять необ ходимые характеристики путем проведения вычислений. При ста тистическом моделировании
моделируемая система представляется в виде неко то рого аналога, отражающего для определяемых характеристик зависимости реальной системы. Само определение значений э тих характеристик осуществляется пу тем многократной имитации реализации зависимостей характеристик от существенно значимых параметров реальной системы и внешней среды и статистической обработки совокупности получаемы х при э том результатов. 2. Характер системы, причем наиболее важным показателем этого критерия является характер взаимосвязей между подле жащими определению назначениями характеристик модели руемой системы и влияющими на них параметрами системы и внешней среды. Таких зависимостей достаточно много, однако оказалось, что при выборе методов моделирования решающее значение имеет уровень определенности указанных зависимостей. По этому признаку моделируемые системы делятся на детерминированные и стохастические: для первых все зависи мости строго и однозначно определены, для вторых на них оказывают существенное влияние случайные факторы. 3. Масштаб моделирования, причем определяется он глав ным образом уровнем определяемых на модели характеристик. По данному критерию модели можно разделить на общие и частные. Общие модели строятся с целью определения значений некоторых обобщенных характеристик моделируемых сис тем, частные — с целью определения значений частных, локальных характеристик системы. В соответствии с общей теорией систем все задачи, а следовательно, и модели, решаемые в процессе изучения и разработ ки систем защиты информации как больших систем, можно разделить на соответствующие классы: — модели анализа — решаемые с целью определения теку щих или прогнозирования будущих значений представляющих интерес характеристик систем. Модели анализа (от греч. analysis — «разложение») предназначены для разделения (мыслен ного или реального) объекта на э лементы и научного исследо вания их путем рассмотрения отдельных сторон, свойств, составных частей, определения текущих и прогнозирования будущих значений показателей защищенности информации; — модели синтеза — решаемые с целью построения систем и технологических схем их функционирования, оптимальных по заданному критерию или их совокупности. Модели синтеза (о т греч. synthesis — «соединение») представляю т собой процесс соединения (мысленного или реального) различных эле ментов объекта защиты в
единое целое (систему), исследова ния компонентов системы, представления в его единстве и взаимной связи частей, обобщения и сведения в единое целое данных, добытых анализом. Они предназначаются для обеспе чения оптимального построения систем защиты информации, причем оптимальность этих систем понимается в общепринятой интерпретации: или обеспечение максимального уровня защищенности при заданном уровне затрат, или обеспечение за данного уровня защищенности при минимальном уровне затрат; — модели управления—решаемые с целью поиска оптимальных управляющих воздействий в процессе функционирования систем. Функциональное назначение моделей э того класса за ключается в методическом и инструментальном обеспечении принятия оптимальных решений в процессе создания и организации функционирования систем защиты информации. На со держательном уровне структура моделей данного класса является очевидной, однако их практическая реализация затруднена в связи с недостаточным уровнем изучения проблем управления защитой информации, а также особенностями и спецификой систем защиты информации. Рассмотрим структуру и содержание общей модели защиты информации на объекте конфиденциальной связи. Общая мо дель должна о тображать процесс защиты информации как про цесс взаимодействия дестабилизирующих факторов и средств защиты. Исхо дя из предположения, ч то на ОИ воздействие на защищаемую информацию (нарушение целостности, несанкциони рованное получение и копирование, хищение, нарушение защищенности) может происхо дить как на самом объекте, так и при передаче ее по каналам связи, общую модель системы защиты можно представить в следующем виде (рис. 6.1).
Рис. 6.1. Общая модель системы защиты информации Вхо дные сигналы, поступающие в систему защиты информации и преобразующиеся в ней, можно разделить на полезные, несу щие конфиденциальные сведения — xn (t\ и сигналы, воздей ствующие на систему защиты и направленные на изменение структуры конфиденциальных данных или снижение эффективности системы защиты — xm (i). При этом под общим названием «сигнал» понимаются сигналы, образы, символы, техни ческие решения и процессы, содержащие конфиденциальные сведения. Сигналы xm {i) определяются множеством угроз информации (отказы, сбои, ошибки функционирования, стихий ные бедствия и др.). Функциональными назначениями системы защиты инфор мации являю тся перекрытие КНПИ и устранение ПНЦИ. Математически э то можно представить преобразованием сигнала xn {t) в форму, либо не доступную для раскрытия содержания конфиденциальных сведений — .У„(0? либо не позволяющую распознать информационный сигнал — zn (t\ а сигнала xm (i) — в форму, не оказывающую разрушающего воздействия на полезный сигнал — У„,(А то есть выполнить функцию нейтрализации вредных воздействий:
yn (t) = f1 (xn (t)),
zn (t) = f2 (xn (t)), ym(t) = f3 (xn (t)),
6.1.
где/J (хп (0) — функция преобразования информационного сигнала в форму, не доступную для раскрытия содержания конфи денциальных сведений. При этом преобразование может заключаться, например, в изменении структуры этого сигнала на основе криптографических алгоритмов; f2 (xn(t)) — функция преобразования информационного сигнала в форму, не позволяющую распознать информационный сигнал (например, экранирование электромагнитных излучений); ffa m (/)) — функция нейтрализации внешних угроз (например, защита от НСД). При моделировании СЗИ обычно допускается, что характер и уровень воздействия одних угроз не зависят от характера и уровня других. Однако могут быть взаимозависимые угрозы. Например, повышение угрозы безопасности информации от воздействия природных явлений (пожаров, землетрясений) увеличивает угрозу похищения конфиденциальной информации злоумышленником. Также и средства защиты могут быть как независимыми с точки зрения эффективности защиты, так и взаимосвязанными. Например, установление жесткого пропускного режима в здание, где обрабатывается конфиденциальная информация, уменьшает вероятность установления в помещениях закладных устройств, а значит, не требует постоянного контроля с помощью технических средств. Таким образом, при разработке моделей процессов защиты информации необходи мо учитывать не только воздействие угроз и средств защиты, но также их взаимодействие, что в настоящее время в связи с недо статочным исследованием этой проблемы затруднено. Поэтому обычно, допуская наличие погрешностей при моделировании процессов защиты, принимают проявление угроз и применение ср едств защиты как независимые события. Все э то говорит о том, что в соответствии с вышеизложенной классификацией модели СЗИ в основном являются сто хастическими. Кроме того, исхо дя из предположения, что значения характеристик угроз и их влияние на уровень безопасности очень сложно за дать аналитически, это делают либо путем набора статистики на действующих СЗ И, либо на основе имитационного модели рования. Следовательно, такие модели можно отнести в основном к статистическим. Рассмотренная модель привлекательна своей простотой. Для определения по казателей безопасности информации доста точно знать вероятностные характеристики угроз и эффективность механизмов
защиты. Получение таких характеристик хо тя и сопряжено с преодолением значительных трудностей, тем не м енее не является неразрешимой задачей. Однако игнорирование взаимовлияния угроз и средств защиты, а также не возможность определения ожидаемого ущерба от воздействия различных факторов и ресурсов, необходимых для обеспечения защиты, дает возможность пользоваться данной моделью в основном для общих оценок при определении степени того внимания, которое до лжно быть у делено проблеме защиты информации на объекте. Более тщательные расчеты по казателей безопасности воз можны на основе обобщенной модели процесса защиты информации (рис. 6.2). Г лавным ее назначением является выбор стратегических решений при разработке перспективных планов построения систем защиты после того, как ее построение при знано целесообразным. В соответствии с этим в рассматриваемой модели отражаются те процессы, которые должны осуществляться в системе защиты. А поскольку центральными решениями стратегического характера являю тся оценка объема ресурсов, необходимых для обеспечения требуемого уровня защиты (оптимальным является минимизация этих ресурсов), или оптимальное их расходование при заданных объемах, определяющими должны быть именно процессы их распреде ления.
Рис 6.2. Обобщенная модель процессов защиты информации
Модель процесса защиты в самом общем виде задается следующими множествами: {К} — множество показателей безопасности информации; {/* С)} — множество параметров внешней среды; {Я 3)} — множество параметров воздействия злоумышленни ков; {Р10 ^ — множество параметров СОИ и СЗ И, по длежащих оценке; {/* У)} — множество параметров СОИ и СЗИ, которыми можно управлять; {Л (0)} — множество общих ресурсов управления; {5* У)} — множество средств и ресурсов управления. Тог да для решения задач анализа, то есть для определения показателей безопасности информации, можно записать обобщенное выражение: {К} = F [{!**}, {Р™}, {/*»}, {Я у >}, {Д<°>}, {S™}]. (6.2) Анализ данной модели показывает сложность моделирова ния процесса защиты информации. Одним из наиболее сложных с точки зрения формализации является процесс моделирования воздействия злоу мышленника в связи с низкой степенью предсказуемости его характеристик. Для реализации процесса чаще всего использую т мето д выбора наихудшего варианта. В качестве примера можно рассмотреть модель нарушителя, изложенную в руководящих до кументах Гостехкомиссии. В соответствии с Концепцией защиты средств вычислитель ной техники (СВТ) и автоматизированных систем (АС) от несанкционированного доступа к информации нарушители клас сифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделяю т четыре уровня э тих возможностей. Данная классификация иерар хична, то есть каждый следующий уровень включает в себя функциональные возможности предыдущего. Нарушитель является на своем уровне специалистом высшей квалификации, знает все о АС и, в частности, о системе и средствах ее защиты. Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС — запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации К этому уровню можно отнести всех злоумышленников, имеющих возможность получения доступа к защищаемым сведениям, в том числе и по техническим каналам утечки, без влияния на процессы обработки и передачи информации. Второй уровень определяется возможностью соз дания и за пуска собственных программ с новыми функциями по обработке информации. К этой группе можно отнести внешних наруши телей, имеющих намерения произвести несанкционированную модернизацию мобильного (стационарного) терминала СМ К, а также вну тренних
нарушителей (санкционированных по льзо вателей), имеющих возможность преднамеренного и непреднамеренного воздействия на сервер диспетчерского центра. Третий уровень определяется возможностью управления функционированием АС, то есть воздействием на базовое про граммное обеспечение системы и на состав и конфигурацию ее оборудования. Такое воздействие, включающее и разрушающее информационное воздействие, возможно в дополнение к рассмотренным выше внутренним нарушителям также и со стороны внешних о ткрытых сетей (например, сети Интернет, по дключенной к СМК). Четвертый уровень подразумевает совокупность возможностей лиц, осуществляю щих проектирование, реализацию и ремонт технических средств А С, впло ть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации. Обобщенная модель управления СЗИ была рассмотрена ра нее. Ее анализ позволяет сделать выво д, ч то в основе э того управления лежит оценка безопасности информации на ОИ. 6.2. Оценка безопасности информации на объектах ее обработки Одной из первоочередных задач, предшествующих оценке безопасности конфиденциальной связи, является задача выбо ра показателей защищенности информации. Эта система показателей должна отражать все требования к защите информации, структуру ОИ технологию и условия обработки, хранения и передачи информации в ней, а также учитывать возможности противника по добыванию информации Выбор показателей оценки безопасности конфиденциаль ной связи является сложной исследовательской задачей и в по становочном плане относится к области принятия решения Сложность выбора показателей, позволяю щих дать адекватную оценку защищенности информации, определяется — необхо димостью контроля большого количества средств и объектов защиты, а также мероприятий, направленных на о беспечение безопасности конфиденциальной связи, — случайностью внешних воздействий и вну тренних изменений в системе обработки информации и системе ее защиты, — отсутствием аналогов показателей, учитывающих специ фику ОИ и особенности ее функционирования, — необхо димостью получения не только качественной, но и
количественной оценки защищенности информации Обобщенный подхо д к построению интегрального показате ля безопасности информации на объекте Q можно представить в виде последовательности следующих шагов 1 Формируется вектор X=(xv , хп) исходных характеристик объекта, обрабатывающего конфиденциальную информацию, каждая из которых необ ходима, а все они вместе до статочны для полного, всестороннего контроля и оценивания степени защищенности данной конфиденциальной информации 2 Формируется вектор Q-(q v , qj о тдельных комплексных показателей защищенности, представляющих собой функции q x (я), / = 1, , т вектора исходных характеристик х - (хр , хп ) и оценивающих различные составляю щие защищенности иссле дуемого объекта с использованием т различных критериев 3 Формируется вектор Н = (А,, , h k) параметров защищен ности, характеризующий значение каждого о тдельного по каза теля q i (x) 4. Определяется значение вектора W = (w[9 ..., wm ) 9 где wp ..., wm — весовые коэффициенты, определяющие значимость отдельных показателей q v ...,q m для интегральной оценки Q и задающие степень влияния отдельных показателей q v ..., q m на эту оценку. 5. Выбирается вид синтезирующей функции Q(q), сопоставляющей вектору отдельных показателей Q = (q ]9 ..., qj интегральную оценку Q (значение Q интегрально го показателя Q(q)), характеризующую степень защищенности информации иссле дуемого объекта в целом Q: Q = Q(q) = Q (q; w), w = (wv .... wj). (6.3) На рис. 6.3 представлена общая схема определения показате лей защищенности информации на ОИ. При оценке безопаснос ти чаще всего необ ходимы значения показателей, обобщенных по какому -либо одному индексу — определенной категории на рушителя, определенному каналу у течки информации, опреде ленному компоненту ОИ. Обобщение может произво диться и на основе какого либо экстремального состояния защищен ности.
Рис 6.3. Схема определения показателей безопасности информации Основными параметрами, определяющими показатели защищенности информации, являю тся: — количество и характеристики тех структурных компонентов ОИ, в ко торых оценивается защищенность информации; — количество и характеристики дестабилизирующих фак торов, которые потенциально могут проявиться и оказать негативное воздействие на защищаемую информацию; — количество и характеристики применяемых механизмов защиты информации; — число и категории лиц, ко торые потенциально могут быть нарушителями правил доступа и обработки защищаемой информации; — виды защищаемой информации. Кроме того, для исследования и практического р ешения за дач по защите информации необходимы еще показатели, ко торые характеризую т наиболее неблагоприятные ситуации с точки зрения уязвимости информации. Ими являю тся самый уязвимый структурный компонент ОИ, самый опасный де стабилизирующий фактор, самый ненадежный элемент защи ты, самый опасный потенциальный нарушитель, самая важная информация. Эти показатели могут быть названы экстремаль ными. Большое значение для оценки защищенности информации имеет временной интервал, относительно ко торого оценивается защищенность. Несмотря на то что время является категорией сугубо непрерывной, для рассматриваемых здесь целей его как параметр защищенности можно структурировать, выделив интервалы для
анализа и оценки уровня защищенности инфор мации. Такие интервалы можно подразделять: — на очень малые — интервалы, которые можно считать точками; — малые — интервалы, ко торые нельзя сво дить к точке, но происхо дящие процессы на которых относительно решаемых задач можно считать о днородными; — большие — интервалы, которые нельзя считать малыми, но по которым заранее можно определить состояние каждого структурного компонента на каждом малом интервале; — очень большие — интервалы, для ко торых не может быть выполнено условие больших интервалов, но по которым с до статочной точностью все же можно спрогнозировать последо вательность и содержание функционирования основных ком понентов системы защиты информации; — бесконечно большие — интервалы, для ко торых не представляется возможным выполнить условие существования очень больших интервалов. Существуют три методологических по дхо да к решению задачи оценки защищенности информации: чисто эмпирический, строго теоретический и теоретико-эмпирический. Сущность эмпирического подхода заключается в том, что на основе длительного сбора и обработки фактических данных о реальных проявлениях у гроз информации и размерах ущерба, который при этом имел место, чисто эмпирическим путем уста навливаются зависимости между по тенциально возможным ущербом и коэффициентами, характеризующими частоту про явления соответствующей угрозы и значение имевшегося при ее проявлении размера ущерба. Наиболее характерным примером для данного подхо да является мето дика, разработанная специалистами IBM. Рассмотрим развиваемые в этих моделях подходы. Исхо дной посылкой при разработке моделей является почти очевидное предположение: с одной стороны, при нарушении защищенности информации наносится неко торый ущерб, с другой — обеспечение защиты информации сопряжено с расходованием средств. Ожидаемая полная стоимость защиты может составлять сумму, складывающуюся из расхо дов на защиту и потерь от ее нарушения. Указанная зависимость графически представлена на рис. 6.4. Совершенно очевидно, что оптималь ным решением было бы выделение на защиту информации средств в размере Со ^ поскольку
именно при этом обеспечивается минимизация общей стоимости защиты информации.
Рис. 6.4 Стоимостные зависимости защиты и нформации Поскольку оптимальное решение вопроса о целесообразном уровне затрат на защиту состоит в том, ч то он должен быть рав ным уровню ожидаемых потерь при нарушении защищен ности, достаточно определить только размер потерь. Специа листами фирмы IBM предложена следующая эмпирическая зависимость ожидаемых потерь от /-ой угрозы информации:
R1 =W (S1+V1-4)
(6.4)
где 5 — коэффициент, характеризующий возможную частоту возникновения соответствующей /-ой угрозы; Vt — коэффициент, характеризующий значение возможного ущерба при ее возникновении. Предложенные специалистами значения коэффициентов приведены в табл. 6.1 и 6.2. Суммарная стоимость потерь определяется формулой: (6. 5.)
Таблица 6.1. Возможные значения коэффициента S1 Ожидаемая (возможная) частота появления угрозы Почти никогда
Предлагаемое значение S, 0
1 раз в 1000 лет
1
1 раз в 100 лет
2
1 раз в 10 лет
3
1 раз в год
4
1 раз в месяц (примерно 10 раз в год)
5
2 раза в неделю (100 раз в год)
6
3 раза в день (1000 раз в год)
7
Таблица 6.2. Возможные значения коэффициента Vt Значение возможного ущерба при проявлении угрозы (доллары США)
Предлагаемое значение Vt
1
0
10
1
100
2
1000
3
10 000
4
Решение первого вопроса (то есть оценка ожидаемых потерь при нарушении защищенности информации) принципиально может быть получено лишь тогда, когда речь идет о защите промышленной, коммерческой и им подобной тайны, хо тя и здесь встречаются весьма серьезные трудности. Что касается оценки уровня потерь при нарушении статуса защищенности информации, содержащей государственную, военную и им подобную тайну, то до настоящего времени строгие подхо ды к ее получению не найдены. Данно е обстоятельство существенно сужает возможную область использования моделей, основанных на рассматриваемых по дхо дах. Для определения уровня затрат, обеспечивающих требуемый уровень защищенности информации, необхо димо, по крайней мере, знать, во-первых, полный перечень угроз информации, во-вторых, потенциальную опасность для информации каждой из у гроз и, в-
третьих, размеры затрат, необ ходимых для нейтрализации каждой из угроз. Строго теоретический подход основывается на той посылке, что потенциально возможные проявления угроз и размеры потенциально возможного ущерба являются случайными событиями, а по тому могут быть о характеризованы законами распределения и числовыми характеристиками. Пример данно го подхода рассмотрен в [3] на основе динамической модели оценки потенциальных угроз. Существо данной модели на содержательном уровне может быть представлено следующим образом: 1. Введено понятие «средний коэффициент возможного проявления у грозы» каждого типа — 1, причем он рассматривается как случайная переменная с известным распределением вероятностей Д1). Функция распределения должна определять ся на основе обработки статистических данных, собираемых в процессе реального функционирования ОИ. 2. Сделано предположение, ч то количество проявлений угрозы г х в течение фиксированного периода времени (например, одного года) зависит то лько от продо лжительности перио да наблю дения и среднего коэффициента проявления, в силу чего для числа проявления угроз справедливым признано распределение Пуассона:
(6.6) 3. По ряду значений числа угроз, полученных для интервалов различной продолжительности, распределение среднего коэффициента представлено в виде гамма-распределения с параметрами, характеризующими эффективность защиты и определяемыми по вполне определенным рекуррентным зависимостям. 4. На основе интегрирования дву х названных выше распределений по лучено безусловное распределение вероятностей числа проявлений угрозы за заданный период времени. Выкладки для оценки ожидаемого ущерба выглядят следую щим образом: — первоначально рассматривается средний ущерб от прояв ления угроз и принимается нормальная функция его распределения; — по данным наблюдения за проявлениями угроз и размером имевшего место ущерба на нескольких интервалах времени различной продолжительности корректируются параметры распределения среднего ущерба;
— выделяя неопределенные параметры из функции распределения вероятностей ущерба, строят о кончательное распреде ление размера ожидаемого ущерба. Таким образом, если бы удалось собрать достаточное ко ли чество фактических данных о проявлениях угроз и их послед ствиях, то рассмотренную модель можно было бы использовать для решения достаточно широкого круга задач защиты инфор мации. В России такая статистика в настоящее время отсутствует. В США же, например, сбору и обработке указанных данных большое внимание уделяет целый ряд учреждений (на пример, Стенфордский исследовательский институт). Теоретико-эмпирический подход в известной мере основывается на синтезе основных по ложений эмпирического и тео ретического подхо дов. Э тот синтез заключается в том, что на основе теоретико вероятностных мето дов строятся модели, не обходимые для определения и прогнозирования показателей защищенности, а на основе сбора и обработки статистических данных, полученных в хо де теоретических исследований и практических разработок проблем защиты информации, формулируются исхо дные данные, необ хо димые для практическо го использования моделей. Рассмотрим один из методов оценки безопасности информации на ООИ, относящийся к теоретико-эмпирическому подходу. Комплексным показателем оценки безопасности при этом выбран уровень безопасности информации, обрабатываемой и хранимой на объекте, характеризующий возможность оказать достаточное противодействие возникновению КНПИ и ПНЦИ и определяющийся как вероятность обеспечения защиты ин формации (Рзи) на рассматриваемом объекте:
РЗИ = Р КНПИ Р ПНЦИ ,
(6.7)
где Ркнпи — вероятность защиты информации от утечки по КНПИ; Р н — вероятность обеспечения целостности инфор мации. Обеспечить защиту информации от рассмотренных видов угроз можно, решив, как указывалось выше, комплекс задач защиты информации. Для решения этих задач до лжны быть вы браны типовые методы и средства. Уровень безопасности информации в конечном итоге определяется способностью применяемых средств за щиты перекрыть характерные для объекта КНПИ и устранить ПНЦИ.
Рис 6.5. Структура решения проблемы перекрытия КНПИ объекта Вероятность защиты информации на объекте от у течки по КНПИ определяется множеством таких каналов {К}, характерных для данного объекта. Исхо дя из предпо ложения о независимости случаев возникновения каналов, значение Ркнш можно выразить как
(6.8.) Проблему перекрытия КНПИ можно решить реализацией различных видов задач из множества {L}, характерного для г-го КНПИ:
(6.9) где РЛ — вероятность обеспечения безопасности перекрытия i-ro КНПИ при решении >й задачи защиты информации. Это можно сделать различными средствами из множества имеющихся на объекте {R}:
(6.10 ) где Р^ — вероятность обеспечения безопасности л-м средством защиты информации. Аналогичные зависимости можно сформулировать и для расчета Рп . Расчет данных вероятностей может произво дить ся по известным методикам на основе статистических оценок коэффициентов безопасности, выражающих о тношение теку щего значения опасного сигнала к нормируемому значению для соответствующего канала утечки информации.
Таким образом, рассмотрена возможность количественного определения интегрального показателя, характеризующего степень безопасности информации на объекте и определяюще гося вероятностью у течки информации с учетом всех факторов, оказывающих значительное влияние на его формирование. На основе данного показателя производится оценка состояния сис темы защиты информации. В заключение необ ходимо сказать, что рассмотренные мо дели в основном используются не просто для получения конк ретных значений показателей уязвимости, а для оценки поведе ния этих значений при варьировании существенно значимыми исходными данными в возможных диапазонах их изменений. Другая модель оценки может быть осно вана на теории игр, предусматривающей построение оптимальных стратегий пове дения дву х противоборствующих сторон. Предпо ложим, что злоумышленник затрачивает х средств с целью преодоления механизма защиты, на создание ко торого израсхо довано у средств. Ожидаемое количество информации, получаемое злоумышленником, есть некоторая функция / (ху). Если да лее / (л) есть ценность для злоумышленника л единиц информации, a g (л) — суммарные затраты на создание и сбе режение этого же числа единиц информации, то чиста я прибыль злоумышленника будет выражаться как (6.11) а потери (6.12) Построение оптимальных стратегий будет сводиться к по лучению максимально возможной прибыли со стороны злоумышленника и минимизации потерь со стороны защитников информации. Естественным продолжением моделей оценки угроз явля ются модели нейтрализации э тих угроз, то есть защиты. Одни ми из наиболее разработанных являю тся модели систем разграничения доступа. К э тому типу моделей о тносится пятимерная модель безопасности. Сущность ее в следующем. Для формального описания процесса доступа к данным в условиях защиты введено пять следующих множеств: U— список зарегистрированных пользователей; R — набор имеющихся в системе ресурсов, содержащих или обрабатывающих конфиденциальную ин формацию; S — множество возможных состояний ресурсов; Е — набор операций над ресурсами; А — перечень возможных по лномочий пользователей.
Вво дится понятие «область безопасности» произведение перечисленных множеств:
D = UARSE.
как
декартово
(6.13)
В области безопасности могут быть выделены по добласти, соответствующие отдельным пользователям, отдельным ресур сам и т. п. Любой запрос на доступ может быть описан четырехмерным кортежем g = (u,r,s,e), (6.14) где u U,r R,s S, e E. Запрос получает право на доступ только в том случае, если он попадает в соответствующую область безопасности. Рису нок 6.6 иллюстрирует реализацию данной модели для описания доступа сотрудника Nt к копированию информации 1 к, обладающей грифом «Секретно».
Рис 6.6. Структура пятимерной модели доступа к информации Рассмотренные выше модели позволяю т определять теку щие и прогнозировать будущие значения всех по казателей уяз вимости информации для любых компонентов ОИ, любой их комбинации и любых условий жизнедеятельности объекта. Относительно адекватности моделей тем реальным процессам, для имитации ко торых они предназначаю тся, следует сде лать два существенных замечания:
1) практически все модели построены в предположении не зависимости тех случайных событий, совокупности которых образуют сложные процессы защиты информации на современных ОИ; 2) для обеспечения работы моделей необхо димы большие объемы таких исхо дных данных, по давляющее большинство ко торых в настоящее время отсутствует, а формирование их сопряжено с большими трудностями. Рассмотрим коротко существо приведенных замечаний и определим порядок использования моделей в этих условиях. Замечание первое: допущение независимости случайных со бытий, происхо дящих в системах защиты информации. Основ ными событиями, имитируемыми в моделях определения пока зателей уязвимости, являются проявление дестабилизирующих факторов на защищаемую информацию и воздействие исполь зуемых средств защиты на дестабилизирующие факторы. При э том сделаны следующие допущения (причем в аналитических — в явном виде): — потенциальные возможности проявления каждого дестабилизирующего фактора не зависят от проявления других; — каждый из злоумышленников действует независимо от других; — негативное воздействие на информацию каждо го из про явившихся дестабилизирующих факторов не зависит о т такого же воздействия других проявившихся факторов; — негативное воздействие дестабилизирующих факторов на информацию в одном каком -либо компоненте ОИ может привести лишь к поступлению на вхо ды связанных с ним ком понентов информации с нарушенной защищенностью и не оказывает влияния на такое же воздействие на информацию в самих этих компонентах; — каждое из используемых средств защиты оказывает нейтрализующее воздействие на дестабилизирующие факторы и восстанавливающее воздействие на информацию независимо от такого же воздействия других; — благоприятное воздействие средств защиты в одном ком поненте ОИ лишь снижает вероятность поступления на вхо ды связанных с ним компонентов информации с нарушенной защищенностью и не влияет на уровень защищенности инф ормации в самих э тих компонентах. Второе замечание касается обеспечения моделей необ ходи мыми исходными данными. Выше уже неоднократно отмеча лось, что для практического использования моделей определе ния показателей уязвимости необхо димы большие объемы разнообразных данных,
причем подавляющее большинство из них в настоящее время отсутствуют. Сформулируем теперь рекомендации по использованию моде лей, разработанных в рамках рассмотренных выше допущений, имея в виду, что э то использование, обеспечивая решение задач по анализу, синтезу и управлению в системах защиты информации, не должно приводить к существенным погрешностям. Первая и основная рекомендация сводится к тому, что моде лями должны пользоваться квалифицированные специалис ты — профессионалы в области защиты информации, которые могли бы в каждой конкретной ситуации выбрать наиболее эф фективную модель и критически оценить степень ее адекватности получаемым решениям. Вторая рекомендация заключается в том, ч то модели надо использовать не просто для получения конкретных значений показателей уязвимости, а для оценки поведения этих значений при варьировании существенно значимыми исходными данны ми в возможных диапазонах их изменений. Третья рекомендация сводится к тому, что для оценки адекватности моделей, исхо дных данных и получаемых решений надо как можно шире привлекать квалифицированных и опытных экспер тов. Наконец, четвертая рекомендация заключается в том, что для эффективного использования моделей надо непрерывно проявлять повышенную заботу об исхо дных данных, необ хо димых для обеспечения моделей при решении задач по защите. Существенно важным при этом является то обстоятельство, ч то подавляю щее количество исходных данных обладает высокой степенью неопределенности. Поэтому надо не просто формировать необ ходимые данные, а перманентно их оценивать и у точнять.
Глава 7. Проектирование систем защиты информации 7.1. Последовательность и общее содержание проектирования инд ивидуальных систем защиты информации Проектирование систем защиты информации зак лючается в том, чтобы для заданного объекта (или его проекта) создать оптимальную совокупность механизмов обеспечения защиты информации и механизмов управления ими. Очевидно, ч то при проектировании СЗИ, как и других слож ных систем, необ ходимо учитывать два основных показателя для оценки оптимальности: требуемый уровень защищенности информации и размеры имеющихся для построения СЗИ ресур сов (рис. 7.1). При этом оптимальность систем защиты понимается в обще принятом смысле: или достижение заданно го уровня защищенности информации при минимальных затратах (первая по становка задачи), или достижение максимально возможного уровня защищенности при заданном уровне затрат на защиту (вторая постановка).
Рис 7.1. Обобщенная структура показателей оптимальности построения СЗИ Наиболее сложной является задача определения требуемого уровня защищенности, так как э тот показатель комплексный и может быть задан характером защищаемой информации и условиями обработки этой информации и ее хранения на ООИ (состоянием и
спецификой самой системы обработки информации и возможностями злоумышленника). Для использования при решении оптимизационных задач существующего математического аппарата необ ходимо, чтобы оба показателя были формализованы. Поэтому выбор той или иной постановки задачи зависит прежде всего от характера за щищаемой информации, вернее от характера тайны, содержа щейся в ней. Основные виды тайны могут быть классифициро ваны на две категории: государственную и конфиденциальную (служебная, коммерческая, персональные данные). При этом для тех видов секретов, для ко торых могут быть определены размеры потерь при нарушении защиты соответ ствующей информации, то есть имеется возможность формализовать по казатель, максимально допустимым уровнем затрат на защиту будет именно размер потенциально возможных потерь. Для тех же видов секретов, возможные потери от раскрытия которых не могут быть выражены стоимостными показателя ми, необхо димый уровень защиты должен определяться исхо дя из более общих показателей важности соответствующей информации, рассмотренных ранее. Другими исходными данными для задания уровня защищен ности информации являю тся условия ее обработки и хранения. Действительно, проектирование СЗИ может осуществляться при следующих состояниях ОИ: — объект функционирует, возможности влияния на элементы системы обработки нет; — объект функционирует, возможность влияния на элементы системы обработки есть; — объект только проектируется. При этом, как указывалось выше, до лжны быть реализованы и различные стратегии защиты, оборонительная, наступательная, упреждающая. Это, в свою очередь, определит и необ хо ди мые затраты на создание СЗ И. Более детально принципы задания исхо дных данных для проектирования СЗИ будут рассмотрены ниже. Собственно методология проектирования полностью вписы вается в общую методологию проектирования сложных систем организационно-техноло гического типа. Самое общее правило, которым следует при этом руководствоваться, тоже носит об щий характер, а именно — необ ходимо стремиться к как можно более широкому использованию типовых проектных решений.
Типизация в самом общем виде определяется как разработка типовых конструкций или техно логических процессов на основе общих для ряда изделий (процессов) технических характери стик. Типизация рассматривается как один из м етодов стандартизации. Стандартизация — это процесс установления и применения стандартов, ко торые, в свою очередь, определяю тся как образцы, эталоны, модели, принимаемые за исхо дные для сопостав ления с ними других подобных объектов. Стандар т же как нор мативно-технический документ устанавливает комплекс норм, правил, требований к объекту стандартизации и утверждается компетентным органом. Анализ концепции защиты информации вообще и подхо дов к архитектурному построению СЗИ в частности показывает, что с це лью создания наилучших предпосылок для оптимиза ции СЗИ целесообразно выделить три уровня типизации и стан дартизации: 1) высший — уровень СЗ И в целом; 2) средний — уровень составных компонентов СЗИ; 3) низший — уровень проектных решений по средствам и механизмам защиты. С целью создания объективных предпосылок для типизации и стандартизации на высшем и среднем уровнях прежде всего необхо димо осуществить системную классификацию СЗИ. При этом классификация должна проводиться на основе по казателей, с помощью которых все потенциально необ хо димые СЗИ делились бы на такие элементы классификационной структуры (классы, группы), каждый из которых был бы адекватен неко торым вполне определенным потребностям в защите информации, а вся совокупность элементов охватывала бы все по тенциально возможные варианты потребностей в защите. Характерным для процесса типизации СЗИ является ужесто чение требований по испо льзованию типовых решений высо кого уровня с ростом важности обрабатываемой информации. Примером здесь может служить строго регламентированное в соответствии с действующей нормативной базой использова ние механизмов и средств защиты информации, составляющей государственную тайну. Такой подход характерен, например, для шифрорганов систем шифрованной связи. Другим примером типизации СЗИ на высшем уровне является классификация автоматизированных систем обработки информации в соответствии с руководящими документами Гостехкомиссии РФ (табл. 7.1). Типизация и стандартизация на среднем уровне предполага ют разработку типовых проектов структурно или функцио нально
ориентированных компонентов СЗИ, которые могут быть аттестованы в качестве стандартных и из ко торых просто составить необ ходимую СЗИ. Как было рассмотрено выше («Архитектура СЗ И»), в качестве структурно ориентированных можно выбрать компоненты СЗИ, каждый из которых ориентирован на защиту ин формации в конкретном типовом структурном элементе ОИ (ПЭ ВМ, ЛВС, СПД и т. д.). Другим вариантом является исполь зование в качестве структурного элемента одного из рубежей защиты в соо тветствии с семирубежной моделью. В качестве функционально ориентированных компонентов выделяю т подсистемы ограничения доступа к ресурсам, криптографической защиты, регистрации и учета и т. д. При этом указанные подсистемы, в свою очередь, могут разделяться на составные компоненты. Например, подсистема огра Таблица 7.1 Классификация автоматизированных систем обработки информации № Требования п/п
1
2
К ПОДСИСТЕМЕ УПРАВЛЕНИЯ ДОСТУПОМ Идентификация, проверка подлинности и контроль доступа субъектов: — в систему; — к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ; — к программам; — к томам, каталогам, файлам, записям Управление потоками информации К ПОДСИСТЕМЕ РЕГИСТРАЦИИ И УЧЕТА
Классы ЗБ 3А
2Б
2А 1Д 1Г 1В 1Б 1А
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X|
X
X
X
X
X
3
Регистрация и учет: — входа (выхода) субъектов в (из) X X системы (узла сети); — выдачи печатных (графических) X выходных документов; — запуска (завершения); X — создаваемых защищаемых объектов доступа; — субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи; — доступа программ субъектов, доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей; — изменения полномочий субъектов доступа; — создаваемых защищаемых объектов доступа
4
Учет носителей информации
5
Очистка (обнуление, обезличивание) оперативной памяти и внешних накопителей Сигнализация попыток нарушения защиты
6
X X
X
X
X
X
X
X
X
X
X
X
X
X X
X X
X X
X X
X X
X X
X
X X
X X
X X
X X
X X
X X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
К КРИПТОГРАФИЧЕСКОЙ ПОДСИСТЕМЕ 7
Шифрование конфиденциальной информации
8
Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах
9
Использование аттестованных (сертифицированных) криптографических средств
X
X
X
X
X
X
X
К ПОДСИСТЕМЕ ОБЕСПЕЧЕНИЯ ЦЕЛОСТ НОСТ И
10
Обеспечение целостности программных средств и обрабатываемой информации
X X
X
X
X
X
X X
X
X
X
X
X
11
Физическая охрана средств вычислительной техники и носителей информации
12
Наличие администратора (службы) ЗИ
13
Периодическое тестирование СЗИ
14
Наличие средств восстановления СЗИ
15
Использование сертифицированных средств защиты
X X
X
X X
X
X
X X
X
X
X
X X
X X
X X
X
X
X
X
X
X
X
X
ничения доступа может быть представлена типовыми компонентами физической защиты объекта, аутентификации, защиты о т у течки по техническим каналам, разграничения доступа и т. д. Наконец, типизация и стандартизация на низшем уровне предполагаю т разработку и стандартизацию типовых проектных решений по практической реализации средств защиты ин формации: — технических; — программных; — организационных. Каждое средство может быть представлено в виде типового проектного решения, для чего оно должно быть оформлено по общеизвестным правилам. Для технически х и программных средств основанием для использования их в качестве типового является наличие сертификата, гарантирующего пользователю выполнение декларированных производителем свойств защи ты информации. В соответствии с изложенным классификационная структура возможных вариантов по дхо да к проектированию СЗИ бу дет выглядеть так, как показано на рис. 7.2. Рекомендации по использованию вариантов можно найти в литературе [1]. Таким образом, обобщенный алгоритм проектирования СЗИ можно представить следующим образом: — анализ целей и условий создания СЗИ; — обоснование требований к защите информации; — выбор варианта проектирования; — реализация варианта проектирования; — оценка эффективности разработанного проекта. Наряду с таким достоинством проектирования СЗИ с использованием ТПР, как относительная просто та реализации, эти варианты имеют явные недостатки, связанные с возможным
дублированием в рамках всей СЗИ о тдельных механизмов защиты, входящих в состав типовых компонентов. Наиболее сложным и ресурсоемким, но наиболее эффективным с точки зрения обеспечения защиты информации яв
Рис. 7.2. Классификационная структура подходов к проектированию СЗИ ляется индивидуальное проектирование, под ко торым понимается разработка самостоятельного проекта системы защиты для конкретной создаваемой или уже функционирующей АСОД. Использование этого метода проектирования позволя ет учитывать все возможные угрозы информации конкретного объекта, условия его функционирования и разработать опти мальную с точки зрения имеющихся ресурсов и требуемого уровня безопасности совокупность средств и методов защиты информации. Алгоритм проектирования индивидуальных систем за щиты Проектирование СЗИ принципиально ничем не отличается от проектирования любых других систем организационно -технологического типа. Тогда в соответствии с общеизвестной методо логией проектирования больших систем последователь ность разработки индивидуального проекта СЗИ может быть представлена на рис. 7.3.
Рис. 7.3. Последовательность и содержание проектирования СЗИ Рассмотрим общее содержание выделенных этапов проектирования. Этап 1 — обоснование требований и анализ условий защи ты информации: — формирование факторов, влияющих на защиту информации на ОИ; — выбор и обоснование требований по защите информации; — анализ условий защиты информации на ОИ. Этап 2 — определение функций защиты информации (обоснование перечня тех функций защиты, осуществление которых
позволит обеспечить требуемый уровень защиты в по тенциально возможных условиях функционирования ОИ). Этап 3 — определение перечня по тенциально возможных КНПИ и ПНЦИ, их классификация, определение характеристик КНПИ. Этап 4 — обоснование перечня подлежащих решению задач по защите: — определение перечня задач по защите информации, пере крывающих все по тенциально возможные КНПИ и снижаю щих возможность НЦИ на ОИ; — их классификация; — определение эффективности их решения с точки зрения перекрытия КНПИ; — выбор задач защиты информации. Этап 5 — выбор средств, достаточных для решения выбранных задач по защите информации: — определение перечня ТПР, ко торые могут быть использованы для их решения; — классификация ТПР; — определение эффективности использования выбранных ТПР; — определение оптимального набора ТПР, необ хо димых для их решения с заданной эффективностью . Этап 6— оценка эффективности защиты информации в условиях выбранных задач защиты информации: — оценка защищенности информации в условиях решения выбранных задач выбранными средствами; — сравнение полученных оценок защищенности с требуе мой (при этом учитываются и стоимостные расхо ды на обеспечение защиты). Этап 7—обоснование уточнений задания на проектирование. — определение причин недостаточного обеспечения защиты информации; — выбор рационального варианта уточнения задания на проектирование СЗИ. Этап 8 — обоснование структуры и технологии ф ункционирования СЗ И: — определение функциональной структуры СЗ И, ее подси стем и ядра защиты информации; — определение состава технического, математического, программного, информационного, организационного и лингвис тического обеспечения, нормативно-правовых актов и организационно-технических мероприятий по защите информации;
— обоснование структуры компонентов и ар хитектуры СЗИ; — обоснование техно логических схем функционирования СЗИ во всех режимах автоматизированной обработки инфор мации; — обоснование технологии управления защитой информации. Этап 9 — технико-экономические оценки проекта: — оценка надежности выполнения функций защиты инфор мации; — оценка живучести СЗИ, то есть способности выполнять свои функции в э кстремальных условиях функционирования ОИ; — экономические оценки СЗ И; — оценка степени влияния СЗИ на временные характерис тики ООИ при автоматизированной обработке информации. Этап 10 — решение организационно-правовых вопросов по защите информации: — определение прав и обязанностей по защите информации всех подразделений и лиц, участвующих в процессах функцио нирования ОИ; — разработка правил осуществления всех процедур и мероприятий по защите информации; — обучение всех лиц, участвующих в процессах функцио нирования ОИ, выполнению правил защиты информации; — обеспечение всех подразделений и лиц, участвующих в процессах обработки и обеспечения защиты информации, не обхо димыми руководящими и методическими материалами (документами); — разработка правил и порядка контроля функционирова ния СЗИ; — определение мер ответственности за нарушение правил защиты информации; — разработка порядка разрешения спорных и конфликтных ситуаций, возникающих в процессе функционирования ОИ и относящихся к вопросам обеспечения защиты информации. Как было указано выше, проектирование СЗИ может быть осуществлено в соответствии с выбранной стратегией защиты. Наиболее эффективной с точки зрения достижения максималь но возможного уровня защищенности является упреждающая стратегия, которая позволяет нейтрализовать все потенциально возможные угрозы на этапе проектирования СОИ. При реализации проектирования в соответствии с выбранной стратегией возникаю т проблемы (э тап 4), связанные с от сутствием реальных (построенных) объектов и невозможно стью оценить
вероятность у течки информации по техническим кана лам с помощью существующих методик оценки. В связи с этим возникают существенные трудности в выборе средств защиты информации (этап 5), проведении оценки ЗИ в услови ях решения требуемых задач выбранными средствами, а затем сравнении полученных оценок защищенности с требуемой (при этом учитываются и стоимостные расхо ды на обеспечение защиты). В условиях о тсутствия реальных СОИ оптимальным решением задачи является моделирование систем защиты информации. 7.2. Определение требований к защите информации Обоснование требований к защите информации является первоочередной и основополагающей задачей проектирования СЗИ, поскольку результаты ее решения составляю т исходную базу для решения всех последующих задач при всех вариантах проектирования. В то же время формальные методы объективного обоснования требований отсу тствуют, и возможности их разработки более чем проблематичны. Поэтому задача обосно вания требований неизбежно будет решаться неформальными методами, а для повышения полно ты и объективности решения целесообразно заблаговременно разработать развитую систему рекомендаций, исходя из современных возможностей и усло вий автоматизированной обработки информации. Прежде всего совершенно очевидно, что при обработке информации на ОИ имеют силу и должны соблюдаться требования всех действующих в стране документов, регламентирующих правила обращения со сведениями, содержащими военную, государственную, промышленную, торговую или иную тайну. Кроме того, должны соблюдаться дополнительные требования, обусловливаемые спецификой автоматизированной обработки информации. С целью целенаправленного выбора требований каждому элементу ОИ, имеющему самостоятельное территориальное размещение, должна определяться категория по требуемой защищенности и до лжны соблю даться все специальные требова ния, обусловливаемые категорией объекта. Конкретные требования к защите, определяющие задан-ный уровень защищенности информации, задаются совокупностью следующих факторов'. 1) характером обрабатываемой информации: — степенью ее важности, — видом защищаемой информации,
— продолжительностью ее пребывания на ОИ; 2) условиями обработки и хранения информации: — структурой ОИ, — этапом жизненного цикла ОИ, — возможностями противника по добыванию информации. По степени важности информацию можно разделить на общедоступную, конфиденциальную (личную, персональную, служебную) и составляю щую государственную тайну (особой важности, совершенно секретную и секретную). Кроме того, существует понятие «запатентованная информация» — общедоступная информация, охраняемая как объект интеллектуаль ной собственности. Соответствующие рекомендации по предъ явлению требований к защите могут быть следующими: — при обработке общедоступной информации никаких спе циальных мер по защите от несанкционированного доступа не требуется; — требования к защите конфиденциальной информации определяет пользователь, устанавливающий статус конфиденциальности; — требования к защите грифованной информации опреде ляет и регламентирует государство; — при обработке информации с грифом «Для служебного пользования» к ней должен быть обеспечен свободный доступ пользователям учреждения — владельцам этой информации (по общему списку); доступ же пользователей, не включенных в общий список, до лжен осуществляться по разовым санкциям, выдаваемым пользователями, включенными в список; — при обработке информации с грифом «Секретно» в зависимости от ее объема и характера может быть предъявлен один из следующих вариантов требований: а) персональное разграничение — для каждого э лемента информации составляется список по льзователей , имеющих к нему право доступа; б) коллективное разграничение — структура баз защищаемых данных организуется в соответствии со структурой по дразделений, участвующих в обработке защищаемой информации. Пользователи каждо го подразделения имеют право доступа то лько к «своим» данным; — при обработке информации с грифом «Совершенно секретно» и выше список лиц, имеющих право доступа, должен составляться для
каждо го самостоятельного элемента информации с указанием дней и времени доступа, а также перечня разрешенных процедур. На практике разграничение доступа к информации с различ ным грифом секретности обеспечивается оформлением такого права в виде форм допуска (допуск по формам № 1,2, 3). Для запатентованной информации должны применяться ме тоды защиты от несанкционированного копирования. Требования, обусловливаемые видом защищаемой информа ции, определяю тся типом носителя э той информации: а) при обработке информации, размещенной на материальных носителях (документах, перфолентах и т. д.) и внешних запоминающих устройствах (дискетах, блоках э лектронного хранения информации и т. д.), должны выпо лняться требования режима секретности. К защите документальной информации предъявляю тся следующие требования: — должна обеспечиваться защита как оригиналов до кументов, так и сведений о них, накапливаемых и обрабатываемых на ОИ; — применяемые средства и методы защиты должны выби раться с учетом необходимости обеспечения доступа пользова телям различных категорий; б) при обработке информации техническими средствами и возникновении таких носителей, как электромагнитные по ля, должны обеспечиваться требования по ее защите от утечки по техническим каналам (например, побочных электромагнитных излучений и наводок); в) информация, представленная в виде электрических сигналов, может циркулировать внутри ОИ и передаваться по внешним каналам связи. При э том должны учитываться следующие требования: — при передаче информации по каналам и линиям связи могут использоваться криптографические мето ды защиты и должны выполняться требования безопасности шифрованной связи; — при обработке информации, размещенной на ЭВТ и в ло кальных вычислительных сетях, дополнительно к предыдущим требованиям должна обеспечиваться программная защита от соответствующих у гроз (разрушающих программных средств, внешнего доступа в систему и др.); г) особое внимание необ хо димо уделять защите сведений, хранящихся в памяти лю дей. При э том для предо твращения разглашения информации должны комплексно применяться законодательные, морально-этические и организационные средства защиты.
С точки зрения времени пребывания защищаемой информа ции в АСОД, требования к защите формулируются следующим образом: — информация разового использования подлежит защите в процессе подготовки, ввода, решения задач и выдачи резуль татов решения. После это го защищаемая информация должна быть уничтожена во всех устройствах ОИ; — информация временного хранения дополнительно к предыдущему подлежит защите в течение объявленно го времени хранения, после чего до лжна быть уничтожена во всех устройствах ОИ и на всех носителях, испо льзуемых для ее хранения. Продолжительность хранения задается или длиной промежутка времени, или числом сеансов решения соответствующих функциональных задач; — информация длительно го хранения по длежит постоян ной защите, уничтожение ее до лжно осуществляться по спе циальным командам. С точки зрения длительности процесса обработки информации к ОИ выдвигаю тся требования по сокращению этого времени по мере возрастания степени ее секретности. Требования, определяемые структурой ОИ, могут быть сформулированы в следующем виде. Информация должна защищаться во всех структурных эле ментах ОИ, причем специфические требования к защите ин формации могут выдвигаться к различным структурным элементам. При этом могут существовать отдельные, характерные для объек та в целом: — на компактных ОИ (размещенных в одном помещении) достаточно организовать и обеспечить требуемый уровень за щиты в пределах того помещения, в котором размещены элементы ОИ; — на слабораспределенных ОИ (размещенных в нескольких помещениях, но на одной и той же территории) дополнительно к предыдущему должна быть обеспечена требуемая защита ин формации в линиях связи, с помощью которых сопрягаю тся элементы ОИ, расположенные в различных помещениях, для чего до лжен быть обеспечен постоянный контроль за этими линиями связи или исключена передача по ним защищаемой информации в явном виде; — на сильнораспределенных ОИ (размещенных на несколь ких территориях) дополнительно к предыдущему до лжна быть обеспечена требуемая защита информации в линиях связи большой протяженности, что может быть достигну то преду преждением передачи по ним защищаемой информации в открытом виде.
Анализ э тих требований позволяет выбрать при проектиро вании СЗИ один из вариантов ее семирубежной модели. Требования, обусловливаемые этапом жизненного цикла ОИ, могут быть сформулированы следующим образом: — на этапе создания ОИ до лжна быть реализована упрежда ющая стратегия защиты информации, учитывающая все потен циально возможные угрозы информационной безопасности; — на этапе функционирования ОИ в пассивном его состоя нии должна быть реализована наступательная стратегия защи ты, учитывающая все выявленные угрозы и обеспечивающая надежную защиту хранящейся и обрабатываемой информации и исключены возмож-ности несанкционированных изменений компонентов системы; — на этапе функционирования в активном состоянии ОИ должна быть реализована оборонительная стратегия защиты, по возможности обеспечивающая защиту от наиболее опасных угроз без вмешательства в процесс обработки. Требования, обусловленные возможностями злоумышленни ка, могут быть заданы исхо дя из наличия следующих факторов: — размеров контролируемой зоны объекта; — наличия у злоумышленника современных средств техни ческой разведки; — возможности несанкционированного доступа к источни ку информации внутри объекта и др. В зависимости от наличия данных факторов в качестве базо вой выбирается одна из моделей злоумышленника из типовых (например, модель нарушителя, рассмотренная в Руководящем до кументе Гостехкомиссии) или разработанных. Так, могут быть представлены общие рекомендации по формированию требований к защите информации. 7.3. Выбор задач и средств защиты информации Выбор функций и задач по защите информации является од ной из центральных проблем, по длежащих решению в процес се проектирования систем защиты информации. Объясняется э то тем, что функции являю тся тем компонентом концепции защиты, который позволяет обоснованно решить вопрос о создании оптимальной системы защиты информации, а задачи — тем компонентом, который обеспечивает выбор путей рационального осуществления функций защиты.
В литературе [1] описывается по дхо д к выбору функций и задач на основе анализа вероятностной модели исходов при осуществлении функций защиты. В основу расчетов здесь по ложена предпо лагаемая математическая зависимость между стоимостью затрачиваемых средств на реализацию тех или иных задач по защите информации и уровнем защищенности информации на объекте. На практике такой расчет весьма затруднен, так как, во-первых, дово льно сложно количественно выразить показатель безопасности информации, а вовторых, для ОИ практически невозможно подсчитать стоимость меха низмов защиты, связанных, например, с выпо лнением организационных мероприятий Поэтому для выбора необходимых задач пользуются э кспертным мето дом на основе таблиц соответствия предполагаемых возможных КНПИ и ПНЦИ таким за дачам (табл 7 2 и 7 3) Аналогично производится выбор средств защиты, с помощью которых могут быть реализованы выбранные задачи по защите информации Таблицы соответствия были рассмотрены в гл 4 Проводимая после выбора средств защиты оценка эффективности их использования позво ляет в дальнейшем обосновать структуру СЗИ, определить состав технического и организационно-правового обеспечения процесса защиты Изложенные теоретические основы проектирования систем защиты информации нахо дят широкое применение на практи ке Так, в [5] изложен опыт проектирования СЗИ на таких круп ных объектах обработки информации, как коммерческие банки «Национальный кредит» и «Промстройинвест», предприятия «ТрансАэро» и «Евр опаприз» В основе процесса проектирования СЗИ э тих объектов лежат именно рассмотренные принципы Таблица 7.2 Соответствие задач по защите информации ПНЦИ ПНЦИ
Классы задач по защите содержания информации
1.1.1 1.1.2 1.1.3 1.2.1 1.2.2 1.2.3. 2.1.1 2.1.2 2.1.3 2.1.4
2.1 * * * * * * * * * *
2.2 * * * * * * * * * *
2.3 * * *
2.4 * * * * *
2.5
2.6 * * * * * *
2.7 * *
2.8 * *
*
* * *
2.9 * * * * * * * * * *
2.10 * * * * * * * *
2.11 * * * * *
2.1.5
*
*
*
*
*
Таблица 7.3 Вариант соответствия зад ач защиты информации КНПИ КНПИ 1.1 1.2 1.3 1.4 1.5 1.6 2.1 2.2 2.3 2.4 3.1 3.2 3.3 3.4 3.5 3.6 3.7 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10
Классы задач защиты содержания информации 2.1. 2.2 2.3 2.4 2.5 2.6 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
*
* * * * * * * * *
* * *
*
*
2.7 * *
2.8 * *
* * * *
* * * *
* * * * * *
* * *
* * *
* * * *
*
*
*
2.9. * * * *
* * * * *
*
2.10 * * * * * * * * * * * * *
* * * * * * * * * *
2.11 * * * *
*
Приложение Потенциально возмож ные средства решения зад ач по защите информации Класс задач по защите информации
Возможные средства решения задач по защите информации технические
программные
организационные
1 Введение избыточности элементов системы
1. Установка дополнительных средств генерирования информации 2. Установка дополнительной аппаратуры связи 3. Выделение дополнительных каналов связи 4. Установка дополнительной аппаратуры шифрования 5. Установка дополнительных устройств ввода данных 6. Создание дополнительного запаса сменных носителей 7. Создание дополнительных ЗИП 8. Установка дополнительной контрольной и другой аппаратуры 9. Создание дополнительных систем охраны и наблюдения
1. Создание дополнительных копий компонентов общего ПО, компонентов системного ПО, СУБД, пакетов прикладных программ, сервисных программ. 2. Разработка запасных программ наиболее важных процедур обработки данных 3. Разработка программ организации повторения процедур обработки 4 Разработка программ обеспечения процессов обработки
1 Введение организационной избыточности, диспетчеров и операторов систем обработки, администрации банков данных, системных программистов, инженернотехнического персонала 2. Разработка дополнительных (запасных) процедур и технологических маршрутов основной обработки информации 3 Разработка дополнительных процедур и схем обеспечения обработки информации 4. Разработка дополнительных процедур обеспечения безопасности информации 5. Создание дополнительных информационных массивов
2. Резервирование элементов системы
1. Выведение в холодный резерв: средств генерирования информации, аппаратуры связи, каналов связи, аппаратуры подготовки данных, устройств ввода данных, процессоров, ВЗУ, терминалов и т. п. 2. Выведение в горячий резерв технических средств, перечисленных в п. 1 3. Разработка технических средств включения в работу резервного устройства
1. Создание копий программных элементов, находящихся в «холодном» резерве (на носителях, находящихся в хранилищах): базового, системного, прикладного, специального, вспомогательного ПО 2. Создание копий программных элементов
1. Выведение в горячий резерв специалистов, участвующих в обработке информации 2. Создание и обучение «холодного» резерва основных категории специалистов 3. Разработка технологии включения в работу резервных технических средств 4. Разработка технологии включения в работу резервных программных компонентов 5. Разработка правил использования ДЛ, находящихся в «горячем» резерве 6. Разработка правил использования ДЛ, находящихся в «холодном» резерве
3. Регулирование доступа к элементам системы и защищаемой информации
1 Средства ограждения территории 2. Охранные системы помещений: простые, кодовые, программноуправляемые 3. Замки устройств хранения конфиденциальной информации 4 Средства опознавания человека, по голосу, по отпечаткам пальцев, по длине и форме пальцев, по подписи, по фотокарточке, по специальной идентифицирующей карте 5. Средства ограничения возможности получения информации по ТКУИ: экраны, фильтры, звукоизоляция и т. д.
1. Программы поддержки программноуправляемых замков 2. Программы поддержки автоматизированных контрольнопропускных пунктов 3. Программы опознавания: по паролю простому, по набору, по разовому допуску 4. Программы диалоговой процедуры опознавания 5. Программы проверки прав на доступ к ресурсам АСиД
1. Разработка и внедрение правил доступа к элементам ООН и конфиденциальной информации 2. Разработка и внедрение системы идентификации людей и элементов ООН 3. Разработка и внедрение системы правил распределения идентифицирующей информации 4. Разработка и внедрение системы правил опознавания людей и элементов ООН 5. Оборудование и организация работы контрольно-пропускных пунктов 6. Разработка и внедрение системы опечатывания и опломбирования мест возможного доступа к конфиденциальной информации 7. Установка КЗ объекта и средств обработки информации
4. Регулирование использования элементов системы и защищаемой информации
1. Оснащение АСОД вычислительными машинами, имеющими в своем составе специальные регистры граничных адресов ЗУ
1. Программы разграничения доступа к техническим средствам: по устройствам, по дням недели, по календарным датам, по часам суток 2. Программы разграничения доступа к программам: по именам, по функциям, по временным параметрам (дни, даты, часы) 3. Программы разграничения доступа к данным: по спискам, по матрице полномочий, по мандату 4. Программная реализация мандатной архитектуры ЗУ
1. Разработка и внедрение системы разграничения доступа: к техническим средствам, к элементам математического обеспечения, к программам, к массивам (базам) данных, к конфиденциальной информации (шифрам) 2. Разработка и реализация мероприятий по организационному разграничению доступа 3. Разработка и реализация правил ведения секретного делопроизводства с учетом разграничения доступа к документам с различным грифом секретности
5. Маскировка информации
1. Аппаратура кодированиядекодирования данных 2. Аппаратура шифрованиядешифрования данных 3. Аппаратура стеганографических преобразований данных 4. Аппаратура генерирования маскирующих излучений 5. Средства технической маскировки (маек, сети, дым. шашки и т. п.) 6. Средства технической дезинформации
1. Программы кодированиядекодирования данных 2. Программы шифрованиядешифрования данных 3. Программы стеганографических преобразований данных 4. Программы расчета контрольных значений обрабатываемой информации 5. Программы сжатия — расширения данных 6. Фоновые программы для маскировки излучений рабочих программ
1. Разработка и внедрение правил использования средств защитных преобразований данных 2. Разработка и внедрение правил генерирования, распределения и использования ключей преобразования 3. Разработка и использование ключей шифрования и кодирования данных 4. Ручное (внемашинное) преобразование данных 5. Использование жгутовых кабелей с выделением жил, генерирующих маскирующее излучение 6. Разработка и внедрение организационных мероприятий по маскированию ООП 7. Разработка легенд о назначении и характере деятельности объекта 8. Разработка и внедрение мероприятий по дезинформации противника
6. Регистрация сведений
1. Регистраторы состояния средств обработки данных 2. То же средств системы защиты информации 3. То же параметров внешней среды
1. Программы регистрации (каталогизации) элементов системы 2. То же элементов технологии обработки информации 3. Программы регистрации запросов 4. Программы регистрации использования элементов системы в процессе обработки информации 5. Программы регистрации проявлений дестабилизирующих факторов 6. Программы регистрации данных о нарушении ЗИ
1. Разработка системы правил регистрации данных, относящихся к защите информации 2. Ведение эксплуатационно-технической документации
7. Уничтожение информации
1. Устройства и системы уничтожения бумажных носителей 2. Устройства и системы уничтожения магнитных носителей 3. Аппаратура экстренного уничтожения носителей конфиденциальной информации
1. Программы уничтожения информации в ОЗУ 2. То же на регистрах 3. Тоже в ВЗУ
1. Разработка и внедрение организационных мер по уничтожению информации (измельчение носителей, сжигание носителей) 2. Разработка и внедрение правил уничтожения информации и носителей
8. Обеспечение сигнализации
1. Технические устройства звуковой сигнализации 2. То же световой сигнализации 3. То же наглядного отображения
1. Программы генерирования звуковых сигналов 2. То же световых сигналов 3. То же сигналов наглядного отображения
1. Подача звуковых сигналов и команд людьми 2. Включение средств звуковой или световой сигнализации 3. Разработка и внедрение системы правил подачи сигналов
1. Программы тестовой проверки состояния аппаратуры АСОД и СЗИ 2. Программы контроля состояния компонентов программного обеспечения 3. То же носителей информации 4. То же элементов баз данных (массивов информации) 5. Программы контроля работоспособности элементов АСОД 6. Программы контроля правильности функционирования АСОД 7. Программы оценки уровня защищенности информации в АСОД 8. Программы тестирования личности
1. Разработка и внедрение правил и технологии контроля состояния элементов АСОД и СЗИ 2. Разработка и внедрение правил и технологии контроля работоспособности элементов 3. Визуальные методы контроля: генерирования данных, передачи данных, подготовки элементов АСОД и СЗИ 4. Разработка методического и математического обеспечения оценки уровня защищенности информации 5. Оценка морально-этического уровня персонала
9. Оценка 1. Аппаратура и системы сбора, системы защиты обработки и отображения данных о информации текущем состоянии элементов АСОД и СЗИ 2. Аппаратура и системы контроля работоспособности элементов АСОД 3. Аппаратура контроля правильности функционирования технических средств 4. Технические средства определения психофизиологического состояния персонала (полиграф)
10. Обеспечение 1. Схемы выключения (отключения) реагирования устройств при нарушении правил защиты (АСК) 2. Устройства блокирования входавыхода при попытках несанкционированного проникновения на территорию (в помещение) 3. Технические средства обучения персонала
1. Программы выключения (отключения) устройств при нарушении правил защиты 2. Программы обеспечения работы устройств (систем) блокирования входавыхода 3. Программы псевдоработы с нарушителями 4. Программные средства обучения персонала
1. Разработка и внедрение системы правил реагирования на нарушение правил защиты 2. Разработка и внедрение мер по пресечению злоумышленных действий нарушителей 3. Разработка и внедрение мер по задержанию нарушителей 4. Подбор и расстановка персонала
Литература 1. Герасименко В. А. Защита информации в автоматизированных системах обработки данных. — М.: Энергоатомиздат, 1994, —Кн. 1 и 2. 2. Герасименко В. А,, МалюкА. А. Основы защиты информации. — М.: Известия, 1997. 3. Лазарев К А. Информация и безопасность. Композиционная технология информационного моделирования сложных объектов принятия решений. — М.: Московский городской центр НТИ, 1997. 4. Мельников В. В. Защита информации в компьютерных системах. — М.: Финансы и статистика; Электроинформ, 1997. 5. Партыка Т. Л., Гришина К В, Опыт проектирования сис тем защиты информации для коммерческих структур // Безопасность информационных техно логий. — 1995. — № 4. 6. Петраков А. В., Лагутин В. С. Утеч ка и защита информации в телефонных каналах. — М.: Энергоатомиздат, 1998. 7. Расторгуев С. Л. Инфицирование как способ защиты жизни. — М: Я хтсмен, 1996. 8. Сѐмкин С К Основы информационной безопасности объектов обработки информации: Научно-практическое пособие. — Орел: Труд, 2000. 9. Сѐмкин С. //., Сѐмкин А. //. Основы правового обеспечения информационной безопасности. — Орел: Навигатор-технологии, 2003. 10. Хоффма н Л, Дж. Современные методы защиты информации /Пер. с англ. — М .: Советское радио, 1980. 11. ШиверскийА. А. Защита информации: проблемы теории и практики. — М.: Юристь, 1996. 12. Ярочкин В. И. Безопасность информационных сис тем. — M L: Ось-89,1996.
Учебное издание
Сѐмкин Сергей Николаевич, Беляков Эдуард Викторович, Гребенев Сергей Васильевич, Козачок Василий Иванович ОСНОВЫ ОРГАНИЗАЦИОННОГО ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ Заведующая редакцией Т. А. Денисова Корректор Г. И. Синяева Компьютерная верстка Л. А. Чаннова Издательство «Гелиос АРВ». Издательская лицензия ЛР № 066255 107140, г. М осква, Верхняя Красносельская ул., 16. Тел.: (095)264-44-39, email:
[email protected]; http://www.gelios-arv.ru. Подписано в печать 23.11.2004. Формат 84x108/32. Бумага офсетная № 1. Печать офсетная. Объем 6 п. л. Тираж 2000. Заказ № 9919. Отпечатано с готовых диапозитивов в ФГУП «Производственно-издательский комбинат ВИНИТИ». 140010, г. Люберцы М осковской области, Октябрьский пр -т, 403. Тел. 554-21-86