АВ. Васильков, ИА Васильков
Безопасность
и управление доступом
в информационных
системах
УЧЕБНОЕ ПОСОБИЕ
СРЕДНЕЕ ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАНИЕ
Серия основана в 2001 году
А.В. Васильков, И.А. Васильков
БЕЗОПАСНОСТЬ
И УПРАВЛЕНИЕ ДОСТУПОМ
В ИНФОРМАЦИОННЫХ
СИСТЕМАХ
УЧЕБНОЕ ПОСОБИЕ
Рекомендовано Методическим советом Учебно-методического центра
по профессиональному образованию Департамента образования города Москвы
в качестве учебного пособия для студентов образовательных учреждений
среднего профессионального образования
znanium.com
Москва
2022
ИНФРА-М
УДК 004.056.5(075.32)
ББК 32.973-018.2я723
В19
Рецензенты:
кандидат технических наук, ведущий специалист отдела ПД ИТР
и технической защиты информации ОАО «ОКБ Сухого» О.Г. Пикалов',
кандидат педагогических наук, руководитель отдела информацион-
ных и образовательных технологий Учебно-методического центра по
профессиональному образовванию Департамента образования города
Москвы Н.Л. Демкина
Васильков А.В.
В19 Безопасность и управление доступом в информационных систе-
мах : учебное пособие / А.В. Васильков, И.А. Васильков. — Москва :
ФОРУМ : ИНФРА-М, 2022. — 368 с. — (Среднее профессиональное
образование).
ISBN 978-5-91134-360-6 (ФОРУМ)
ISBN 978-5-16-012933-4 (ИНФРА-М, print)
ISBN 978-5-16-104336-3 (ИНФРА-М, online)
В пособии предложены для изучения подходы, базовая концепция,
принципы построения систем безопасности и оценки уровня безопасно-
сти информации в информационных системах, сетях и автоматизирован-
ных системах управления. С этих позиций рассматриваются информация
и условия ее обработки в информационных системах: потенциальные
угрозы, возможные каналы несанкционированного доступа, методы, сред-
ства и системы управления в условиях обеспечения безопасности. Цель
учебного пособия — показать будущему специалисту возможность созда-
ния системы безопасности информации с гарантированными характери-
стиками, качеством и оптимальными затратами.
Для студентов среднего профессионального образования и бакалавров,
специалистов в области зашиты и безопасности информации в инфор-
мационных и автоматизированных системах ее обработки и управления.
Может быть рекомендована разработчикам, пользователям и владельцам
информационных систем, государственным и военным организациям,
различным финансовым и корпоративным структурам.
УДК 004.056.5(075.32)
ББК 32.973-018.2я723
ISBN 978-5-91134-360-6 (ФОРУМ)
ISBN 978-5-16-012933-4 (ИНФРА-М. print)
ISBN 978-5-16-104336-3 (ИНФРА-М, online)
© Васильков А. В.,
Васильков И.А., 2009
© ФОРУМ. 2009
Предисловие
Развитие применения компьютерной техники и информаци-
онных систем в экономике, управлении, связи, научных иссле-
дованиях, образовании, сфере услуг, коммерческой, финансовой
и других сферах человеческой деятельности является определяю-
щим направлением информатизации и развития общества в це-
лом. Эффект, достигаемый за счет применения компьютерной
техники, возрастает при увеличении масштабов обработки ин-
формации, т. е. концентрации по возможности больших объемов
информации и процессов их обработки в рамках одной техниче-
ской системы, включая территориально рассредоточенные ком-
пьютерные сети и автоматизированные системы управления.
Масштабы и сферы применения этой техники стали таковы,
что наряду с проблемами надежности и устойчивости ее функ-
ционирования возникает проблема обеспечения безопасности
циркулирующей в ней информации. Безопасность информации —
это способность системы ее обработки обеспечить в заданный
промежуток времени возможность выполнения заданных требо-
ваний по величине вероятности наступления событий, выра-
жающихся в утечке, модификации или утрате информации,
представляющих ту или иную ценность для их владельца. При
этом считается, что причиной этих событий могут быть случай-
ные воздействия либо воздействия к результате преднамеренного
несанкционированного доступа человека-нарушителя (злоумыш-
ленника).
Утечка информации заключается в раскрытии какой-либо
тайны: государственной, военной, служебной, коммерческой
или личной (персональной). Защите должна подлежать не толь-
ко секретная информация. Модификация несекретной инфор-
мации может привести к утечке секретных либо к не обнаружен-
ному получателем приему ложной информации. Разрушение или
исчезновение накопленной с большим трудом информации мо-
жет привести к невосполнимой ее утрате.
4
Предисловие
В зависимости от сферы и масштабов применения той или
иной системы обработки информации потеря или утечка ее мо-
жет привести к последствиям различной тяжести: от невинных
шуток до исключительно больших потерь экономического и по-
литического характера.
В связи с высокими темпами информатизации общества
проблема безопасности информации весьма актуальна и оста-
нется таковой навсегда. Специалисты в данной области без ра-
боты не останутся.
Началом работы по построению системы информационной
безопасности и управлением доступом к информации в любой
организации начинается с разработки концепции.
Ключевыми моментами в разработке концепции являются
четкость и ясность постановки задачи. В первую очередь это ка-
сается определений объекта и предмета защиты, а также потен-
циальных угроз.
Предметом защиты принято считать «информационные ресур-
сы». Это понятие имеет множественный характер и представляет
собой множество предметов защиты. Границы этого множества
никем и ничем не определены и устанавливаются разработчиком
информационной системы по своему усмотрению с учетом реко-
мендаций специалистов. Далее определяется множество потенци-
альных угроз этим ресурсам и адекватное им подобранное на ос-
нове экспертных оценок множество средств защиты, которые в
совокупности должны образовать в автоматизированной системе и
вокруг нее некую защищенную среду обработки информации.
Понятие информационный ресурс более емкое и включает в
себя понятие информации. Поэтому специалисту, разрабаты-
вающему и реализующему данную систему, надо постараться не
отодвинуть в тень основной предмет защиты — информацию.
Таким образом основными положениями при разработке
концепции обеспечения безопасности информации и управле-
ния доступом в информационных системах организации должны
стать следующие:
•	выбор информации в качестве предмета защиты (ресурсы
тоже защищаются, но только в необходимых случаях);
•	использование в расчетах прочности защиты времени жиз-
ни информации;
•	использование в построении защиты классификации авто-
матизированных систем по видам, принципам построения
и обработки информации;
Предисловие
5
•	применение различных подходов к случайным и преднаме-
ренным угрозам информации;
•	приложение известной стратегии и тактики защиты любого
предмета к защите информации в компьютерных системах;
•	сведение всех потенциальных угроз информации к трем со-
бытиям — утечке, модификации и утрате;
•	разработка и использование в постановке задачи простой
модели ожидаемого поведения нарушителя и его классифи-
кации;
•	определение в информационных системах возможных ка-
налов несанкционированного доступа к информации со
стороны нарушителя того или иного класса;
•	разработка расчетных соотношений для построения средств
и системы защиты, перекрывающих возможные каналы не-
санкционированного доступа к информации, в целях созда-
ния замкнутого контура защиты с гарантированным уров-
нем его прочности.
Следуя перечисленным положениям, специалист независимо
от того, на какой компьютерной платформе он работает и какие
инструментальные ресурсы у него в наличии, получит:
•	базис для дальнейшей деятельности, основанный на еди-
ной для всех видов компьютерных систем теории безопас-
ности информации;
•	возможность создания в заданной компьютерной системе
встроенной автоматизированной подсистемы безопасно-
сти информации в виде единого механизма с гарантиро-
ванными количественными и качественными характери-
стиками;
•	возможность получения с позиций безопасности информа-
ции оптимальных требований к аппаратным и программ-
ным средствам компьютерных систем;
•	возможность включения типовых требований по безопас-
ности информации в техническое задание на разработку
компьютерной системы;
•	возможность разработки четких и ясных руководящих
внутренних регламентирующих и нормативных документов
при создании компьютерных систем на основе государст-
венных нормативных документов по безопасности инфор-
мации и других вышестоящих органов.
В данном учебном пособии последовательно показывается,
каким образом предполагается получить указанные результаты.
6
Предисловие
В разделе I рассматривается информация как предмет заши-
ты, ее свойства, виды и формы представления в автоматизирован-
ных системах ее обработки и управления. С позиций безопасно-
сти информации приводятся классификация, состав технических
средств и обобщенные свойства систем обработки информации
как объектов, содержащих предмет защиты. Систематизируются
потенциальные угрозы безопасности информации в информаци-
онных системах и их компонентах автоматизации и подводится
база под постановку задачи.
В разделе II рассматриваются современные методы защиты
информации в информационных системах и их компонентах ав-
томатизации, изложенные в определенной последовательности,
без которых пособие было бы неполным.
В разделе III предлагаются концептуальные основы и ос-
новные принципы обеспечения безопасности информации в
информационных системах и их компонентах автоматизации.
Проводится более строгий анализ типовых информационных
систем и средств автоматизации как объектов защиты инфор-
мации: комплексов средств автоматизации обработки информа-
ции, информационных сетей и глобальных автоматизирован-
ных систем управления; производится постановка задачи и на
элементарных моделях выводятся расчетные соотношения и
концептуальные основы для построения в них систем безопас-
ности информации.
В разделе IV предлагаются принципы построения системы
безопасности в комплексах средств автоматизации обработки
информации на основе рассмотренной концепции.
В разделе V излагаются принципы построения системы безо-
пасности информации в информационных сетях и автоматизи-
рованных системах управления, построенных на их базе.
В разделе VI рассматривается оценка уровня безопасности
информации в автоматизированных системах обработки ин-
формации и управления и предложены основные методы ре-
шения.
Учитывая особенности развития компьютерной техники и
принципов построения информационных систем с комплексами
автоматизации на основе получивших широкое распространение
персональных компьютеров и локальных компьютерных сетей, в
учебном пособии показывается, что к ним также применимы
рассмотренные концепция и технология обеспечения безопасно-
сти информации.
Предисловие
7
В разделе VII рассмотрены принципы построения и методы
оценки эффективности системы безопасности информации в
подобных системах.
В разделе VIII рассмотрены кратко основные нормативные
документы со ссылками на их библиографические данные орга-
низационно-правового обеспечения информационной безопас-
ности.
При написании данного учебного пособия был выдержан
ряд принципов.
Во-первых, это четкое ограничение предмета изложения.
Поскольку это учебное пособие по дисциплине «Безопасность и
управление доступом в информационных системах», то изложение
материала посвящено прежде всего фундаментальным вопро-
сам — концепции, принципам построения и методам оценки
ожидаемой эффективности защиты информации в информаци-
онных системах и автоматизированных системах обработки ин-
формации и управления, овладев которыми, можно построить
достаточно эффективные и экономичные системы ее безопас-
ности.
Во-вторых, пособие не рассчитано на то, чтобы служить
справочником по существующим средствам информационной
безопасности, предлагаемым конкретными фирмами-поставщи-
ками. Упоминаемые по ходу изложения материала отдельные
средства защиты приведены для примера и при необходимости
могут быть заменены другими, более совершенными, так как
данные средства и технологии развиваются достаточно быстро и
к моменту выхода пособия вполне могут оказаться морально
устаревшими.
Третий принцип касается уровня изложения материала. По-
скольку учебное пособие рассчитано на студентов среднего про-
фессионального образования и бакалавров, в пособии выдержи-
вается метод изложения, доступный обеим аудиториям. От сту-
дента не требуется знания продвинутых специальных дисциплин
в области компьютерной техники и программирования, но необ-
ходимые предваряющие общеспециальные дисциплины жела-
тельны. Учебное пособие не является свободным экскурсом на
актуальную тему.
В-четвертых, преследовался принцип — при сохранении
фундаментальности излагаемых вопросов, касающихся работы с
информацией вообще и с информационными системами в част-
ности, сохранить практическую направленность материала. При-
8
Предисловие
ведено достаточное количество табличного материала, необходи-
мого для быстрого проектирования, реализации системы инфор-
мационной безопасности и последующей се эксплуатации.
При составлении плана пособия не включены правовые во-
просы, в принципе очень важные, но достаточно подробно рас-
смотренные в пособии авторов |3], выпущенном в этом же изда-
тельстве. Законодательные меры упоминаются в соответствую-
щих аспектах и технологиях лишь как средство предупреждения
и сдерживания потенциального нарушителя, а также как основа
для регламентации действий.
Цели данного учебного пособия: дать студентам соответствую-
щих специальностей, как будущим специалистам, так и заказчи-
кам их работ и владельцам информационных систем и автома-
тизированных систем обработки информации и управления,
практические подходы к решению проблем, связанных с безо-
пасностью информации, с построением системы управления
доступом, и оказать им помощь в поиске оптимальных реше-
ний. Достижение целей основывается на единстве теории, прак-
тических принципов построения, методов расчета и оценки
ожидаемой эффективности системы безопасности информации
в информационных системах.
Данное учебное пособие рассчитано прежде всего на студен-
тов среднего профессионального образования и бакалавров
вузов, но будет полезно студентам других соответствующих спе-
циальностей, а также специалистам и всем интересующимся
данным комплексом проблем.
Введение
Проблема защиты информации от постороннего доступа и
нежелательных воздействий на нее возникла давно, с той поры,
когда человеку по каким-либо причинам не хотелось делиться
ею ни с кем или не с каждым человеком. С развитием человече-
ского общества, появлением частной собственности, государст-
венного строя, борьбой за власть и дальнейшим расширением
масштабов человеческой деятельности информация приобретает
цену. Ценной становится та информация, обладание которой
позволит ее существующему и потенциальному владельцам по-
лучить какой-либо выигрыш: материальный, политический, во-
енный и т. д.
В период существования примитивных носителей информа-
ции ее зашита осуществлялась в основном организационными
методами, которые включали ограничение и разграничение досту-
па, определенные меры наказания за разглашение тайны. По свиде-
тельству Геродота, уже в V в. до н. э. использовалось преобразо-
вание информации методом кодирования. Коды появились в глу-
бокой древности в виде криптограмм (по-гречески — тайнопись).
Спартанцы имели специальный механический прибор, с по-
мощью которого важные сообщения можно было писать особым
способом, обеспечивающим сохранение тайны. Собственная сек-
ретная азбука была у Юлия Цезаря. В средние века и эпоху Воз-
рождения над изобретением тайных шифров трудились многие
выдающиеся люди, в их числе известный философ Френсис Бэ-
кон, крупные математики — Франсуа Виет, Джироламо Кардано,
Джон В да л ис.
С переходом на использование технических средств связи
информация подвергается воздействию случайных процессов:
неисправностям и сбоям оборудования, ошибкам операторов
и т. д., которые могут привести к ее разрушению, изменениям на
ложную, а также создать предпосылки к доступу к ней посторон-
них лиц. С дальнейшим усложнением и широким распростране-
10
Предисловие
нием технических средств связи возросли возможности для
преднамеренного доступа к информации.
С появлением сложных автоматизированных систем управ-
ления, связанных с автоматизированным вводом, хранением, об-
работкой и выводом информации, проблема ее защиты приобре-
тает еще большее значение. Этому способствовали:
•	увеличение объемов информации, накапливаемой, храни-
мой и обрабатываемой с помощью ЭВМ (компьютеров) и
других средств компьютерной техники;
•	сосредоточение в единых базах информации различного
назначения, принадлежности и формы представления;
•	расширение круга пользователей, имеющих доступ к ресур-
сам вычислительной системы и находящимся в ней масси-
вам информации;
•	усложнение режимов функционирования технических
средств вычислительной системы — широкое внедрение
многопрограммного режима, режима разделения времени и
реального времени;
•	автоматизация межмашинного обмена информацией, в том
числе и на больших расстояниях;
•	увеличение количества технических средств и связей в ав-
томатизированных системах управления и обработки ин-
формации;
•	появление персональных компьютеров, а затем интенсив-
ного развития глобальной сети Интернет, расширяющих
возможности не только пользователя, но и нарушителя.
К настоящему времени и в самом человеческом обществе, и
в технологии обработки информации произошли большие изме-
нения. которые повлияли на саму суть проблемы защиты ин-
формации, безопасности и управления доступом.
Индустрия переработки информации достигла глобального
уровня. Появление возможности выхода в глобальную компью-
терную сеть с домашнего компьютера, «электронных» денег,
кредитных карточек создаст еще большую долю риска в сфере
работы с информацией.
Особую обеспокоенность представляет появление в рядах
киберзлоумышленников и хулиганов высокоинтеллектуальных
разработчиков, зачастую действующих от лица и во исполнение
целей определенных организаций.
С помощью телефона и персональных компьютеров, связан-
ных с почти всеми крупными компьютерами экономики, науч-
Введение
11
но-исследовательских центров, банков и т. п., они подключают-
ся к передаче информации.
Все большее распространение получил новый вид компью-
терного преступления — создание компьютерных вирусов, в ка-
честве которых выступают специально разработанные програм-
мы, начинающие работать в определенных условиях или по
определенному сигналу. При этом вирус может размножаться,
словно возбудитель болезни, когда соприкасается с другим про-
граммным обеспечением. Последствия от «заражения» программ
подобными вирусами могут быть различными: от безобидных
шуток в виде юмористических помех до разрушения программ-
ного обеспечения, восстановление которого может оказаться не-
возможным, а потери невосполнимыми.
Последствия несанкционированных воздействий и несанк-
ционированного использования информации могут носить весь-
ма серьезный характер, включая политический, связанный с
опасностью возникновения войны.
Специалисты называют много возможных способов несанк-
ционированного доступа к информации в системе обработки ин-
формации: просмотр: копирование и подмена информации; ввод
ложных программ, команд и сообщений; подключение с этой
целью к линиям и каналам связи; использование отладочных и
аварийных программ и устройств; чтение остатков информации;
прием сигналов побочного электромагнитного излучения и на-
водок информации; использование неисправностей и сбоев ап-
паратуры, ошибок операторов, программных ошибок и т. д.
Для того чтобы остановить нарушителя, необходимо опреде-
лить возможные точки приложения его усилий в информацион-
ной системе и установить на его пути систему соответствующих
преград достаточной прочности.
Начало пособия посвящено анализу автоматизированных
систем обработки информации (ядра любой информационной
системы) как объектов защиты информации.
Раздел I
АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ
ОБРАБОТКИ ИНФОРМАЦИИ И УПРАВЛЕНИЯ
КАК ОБЪЕКТЫ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ
Глава 1
ПРЕДМЕТ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Свойства информации
Информация — это результат отражения и обработки в чело-
веческом сознании многообразия окружающего мира, это сведе-
ния об окружающих человека предметах, явлениях природы,
деятельности других людей и т. д. Сведения, которыми обмени-
вается человек через машину с другим человеком или с маши-
ной, и являются предметом зашиты. Однако защите подлежит не
всякая информация, а только та, которая имеет цену. Ценной
становится та информация, обладание которой позволит ее су-
ществующему и потенциальному владельцу получить какой-либо
выигрыш: моральный, материальный, политический и т. д. По-
скольку в человеческом обществе всегда существуют люди, же-
лающие незаконным путем получить ценную информацию, у ее
владельца возникает необходимость в ее защите.
Ценность информации является критерием при принятии
любого решения о ее защите. Хотя было предпринято много раз-
личных попыток формализовать этот процесс с использованием
методов теории информации, анализа решений, экспертных сис-
тем, процесс оценки до сих пор остается весьма субъективным.
Глава 1. Предмет безопасности информации
13
Для оценки требуется распределение информации на категории
не только в соответствии с ее ценностью, но и важностью. Из-
вестно следующее разделение информации по уровню важности:
1)	жизненно важная незаменимая информация, наличие кото-
рой необходимо для функционирования организации;
2)	важная информация — информация, которая может быть
заменена или восстановлена, но процесс восстановления очень
труден и связан с большими затратами;
3)	полезная информация — информация, которую трудно вос-
становить, однако организация может эффективно функциони-
ровать и без нее;
4)	несущественная информация — информация, которая боль-
ше нс нужна организации, или организация может без нес обой-
тись.
На практике отнесение информации к одной из этих катего-
рий может представлять собой очень трудную задачу, так как
одна и та же информация может быть использована многими
подразделениями организации, каждое из которых может отне-
сти эту информацию к различным категориям важности. Катего-
рия важности, как и ценность информации, обычно изменяется
со временем и зависит от степени отношения к ней различных
групп потребителей и потенциальных нарушителей.
Существуют определения групп лиц, связанных с обработкой
информации:
•	держатель — организация и/или лицо — обладатель ин-
формации;
•	источник — организация и/или лицо, поставляющее ин-
формацию;
•	нарушитель — отдельное лицо и/или организация, стремя-
щееся получить информацию.
Отношение этих групп к значимости одной и той же инфор-
мации может быть различно: для одной — важная, для другой —
нет. Например:
важная оперативная информация, такая, например, как спи-
сок заказов на данную неделю и график производства, может
иметь высокую ценность для держателя, тогда как для источника
(например, заказчика) или нарушителя низка;
персональная информация, например медицинская, имеет
значительно большую ценность для источника (лица, к которо-
му относится информация), чем для сс держателя или наруши-
теля;
14
Раздел I. Автоматизированные системы обработки информации...
информация, используемая руководством для выработки ре-
шений, например, о перспективах развития рынка, может быть
значительно более ценной для нарушителя, чем для источника или
ее держателя, который уже завершил анализ этой информации.
Приведенные категории важности заслуживают внимания и
могут быть применены к любой информации. Это также согла-
суется с существующим принципом деления информации по
уровням секретности.
Уровень секретности — это административная или законода-
тельная мера, соответствующая мере ответственности лица за
утечку или потерю конкретной секретной информации, регла-
ментируемой специальным документом, с учетом государствен-
ных, военно-стратегических, коммерческих, служебных или ча-
стных интересов. Такой информацией может быть государствен-
ная, военная, коммерческая, служебная или личная тайна.
Конфиденциальность — следующий уровень сохранения тай-
ны информации. Очевидно, что, где есть уровень секретности,
там есть и уровень конфиденциальности, но не наоборот.
Практика показала, что защищать необходимо не только
секретную или конфиденциальную информацию. Несекретная
информация, подвергнутая несанкционированным изменениям
(например, модификации команд управления), может привести
к утечке или потере связанной с ней секретной информации, а
также к невыполнению автоматизированной информационной
системой функций по причине получения ложной информации,
которые могул быть не обнаружены пользователем системы.
Суммарное количество, или статистика несекретной и кон-
фиденциальной информации, в итоге может оказаться секрет-
ным, или конфиденциальным. Аналогично сводные данные од-
ного уровня важности в целом могут являться информацией бо-
лее высокого уровня секретности или конфиденциальности. Для
защиты от подобных ситуаций широко применяется разграниче-
ние доступа к информации по функциональному признаку. При
одинаковой степени важности информации, обрабатываемой в
системе обработки, информация делится в соответствии с функ-
циональными обязанностями и полномочиями пользователей,
устанавливаемыми администрацией организации — владельца
автоматизированной системы информации и управления.
В соответствии с описанными принципами деления инфор-
мацию, обрабатываемую в автоматизированных системах обра-
ботки информации и управления (АСОИУ), для иллюстрации
Глава 1. Предмет безопасности информации
15
по категориям важности и секретности можно представить в
виде пирамиды, состоящей из нескольких слоев по вертикали.
Вершиной пирамиды является наиболее важная информация, а
фундаментом — несекретная информация, связанная с обработ-
кой более важной (секретной) информации. Каждый слой дан-
ной пирамиды, поделенной на части по горизонтали, отражает
принцип деления информации по функциональному признаку и
полномочиям се пользователей (рис. 1).
1-я
2-я
3-я
4-я
категория
категория
категория
категория
Рис. 1. Модель предмета защиты и безопасности информации
До последнего времени безопасность информации в АСОИУ
понималась исключительно как опасность ее несанкциониро-
ванного получения во все время нахождения в АСОИУ.
В настоящее время безопасность интерпретируется еще и как
безопасность действий, для осуществления которых используется
информация.
Принципиальные отличия расширенного толкования по
сравнению с традиционным очень важны, так как компьютерная
техника все больше используется для автоматизированного и ав-
томатического управления высокоответственными информаци-
онными системами и процессами, в которых несанкционирован-
ные изменения запланированных алгоритмов и технологий мо-
гут иметь серьезные последствия.
У информации в информационных системах есть свой жиз-
ненный цикл, диаграмма которого представлена на рис. 2.
Полученная системой информация оценивается на достовер-
ность и полезность. Часть информации уничтожается, а осталь-
ная подготавливается к хранению (систематизируется, преобра-
зуется в удобную для хранения форму, сортируется по массивам
16
Раздел I. Автоматизированные системы обработки информации...
Получение
информации
Обновление
информации
Рис. 2. Жизненный цикл информации
хранения). Из хранилища выбирается нужная в данный момент
времени информация, обрабатывается и используется в необхо-
димых целях. Полученные отчетные данные проходят тот же
цикл. При выборке могут уничтожаться сведения, потерявшие
интерес из-за их старения. Время жизни информации определя-
ется ее владельцем в процессе эксплуатации информационной
системы в конкретных условиях.
Виды и формы представления информации
Известно, что информация может быть представлена в виде:
букв; символов; цифр; слов; текста; рисунков; схем; формул; гра-
фиков; таблиц; планов; чертежей; географических, топографиче-
ских, технологических карт; алгоритмов, видеозаписей, аудиоза-
писей и т. д., которые, в свою очередь, могут быть представлены
в виде; постоянной или переменной информации; команд; сооб-
щений; справок; решений; приказов; распоряжений; заданий;
отчетов; ведомостей; инструкций; комментариев; писем и запи-
сок; телеграмм; чеков; массивов; файлов; WEB-сайтов, порталов;
электронных библиотек, видеотек, фонотек, блогов и т. д.
Глава 1. Предмет безопасности информации
17
Компьютерное представление информации
Информация, воплощенная и зафиксированная в некоторой
материальной форме, называется сообщением. Сообщения могут
быть непрерывными и дискретными (цифровыми).
Непрерывное сообщение представляется некоторой физиче-
ской величиной (электрическим напряжением, током и т. д.),
изменения которой отображают протекание рассматриваемого
процесса. Физическая величина, передающая непрерывное сооб-
щение, может принимать любые значения и изменяться в произ-
вольные моменты времени. Таким образом, в непрерывном со-
общении конечной длины может содержаться большое количе
ство информации.
Для дискретных сообщений характерно наличие фиксирован-
ного набора отдельных элементов, из которых в дискретные мо-
менты времени формируются различные последовательности
элементов. Важным является не физическая природа элементов,
а то обстоятельство, что набор элементов конечен и потому лю-
бое дискретное сообщение конечной длины передает конечное
число значений некоторой величины, а следовательно, количе-
ство информации в таком сообщении конечно.
При дискретной форме представления информации отдель-
ным се элементам могут быть присвоены числовые (цифровые)
значения. В таких случаях говорят о цифровой информации, а
компьютерные машины и системы, использующие цифровую
форму представления информации, называются также цифро-
выми.
Элементы, из которых состоит дискретное сообщение, назы-
вают буквами или символами. Набор этих букв (символов) обра-
зует алфавит. Здесь под буквами, в отличие от обычного пред-
ставления, понимаются любые знаки (обычные буквы, цифры,
знаки препинания, математические и прочие знаки, цвета сиг-
нальных ламп и др.). Число символов в алфавите называется
объемом алфавита. Объем алфавита определяет количество ин-
формации, доставляемой одним символом сообщения. Если ал-
фавит имеет объем А и в любом месте в сообщении равновероят-
но появление любого символа, то доставляемое символом коли-
чество информации можно определить как, бит
/0 = log, А.
(1)
18
Раздел I. Автоматизированные системы обработки информации...
Дискретное сообщение можно разбить на группы символов и
назвать эти группы словами. Длина слова определяется количест-
вом содержащихся в нем символов.
В компьютерной технике широко используется однородное
представление информации, при котором в компьютерной сис-
теме или отдельных ее частях все слова имеют определенную
длину. Однородное представление информации упрощает обмен
сю и конструкцию устройств компьютерной системы.
В алфавите объемом А можно представить N различных слов
длиной 5, где
N=AS.	(2)
Тогда количество информации, содержащейся в слове,
/) = log2 N = S log2 А = SI0.	(3)
Выражение (3) справедливо, если вероятности появления в
сообщении любого слова (и символа) равны и не зависят от
предшествующих слов (и символов).
Неравномерность появления символов, наличие взаимной
зависимости символов в сообщении, как это имеет место, на-
пример, при передаче смысловых сообщений (текста), является
причиной того, что количество информации в одном символе
уменьшается.
Связь между символами сообщения создает избыточность
информации. В языке избыточность носит естественный харак-
тер. Однако в вычислительных системах широко применяется
искусственная избыточность при кодировании сообщений, кото-
рая позволяет контролировать и устранять ошибки при передаче
информации по линиям связи, а также между отдельными уст-
ройствами цифровой вычислительной системы.
В цифровых вычислительных машинах и системах широко
употребляется двоичный алфавит, имеющий лишь два симво-
ла — 0 и 1. Его применение упрощает техническую реализацию
устройств компьютерной техники. Любое дискретное сообще-
ние, выраженное в некотором алфавите, переводимо в двоичный
алфавит, если длина двоичного слова отвечает формуле
5, >5, logj А,.
(4)
Современные компьютерные системы обрабатывают не толь-
ко числовую, но и текстовую, иначе говоря, алфавитно-цифро-
вую информацию, содержащую цифры, буквы, знаки препина-
Глава 1. Предмет безопасности информации
19
ния, математические и другие символы. Именно такой характер
имеет экономическая, финансовая, учетная, бухгалтерская, ста-
тистическая и другая информация, содержащая наименование
предметов, фамилии людей, числа и т. д.
Характер этой информации таков, что для ее представления
требуются слова переменной длины. Применение для записи ал-
горитмов и автоматизация программирования алгоритмических
языков делают необходимым ввод в машину и вывод наряду с об-
щеупотребительными еще и некоторых специальных символов.
Деловая информация в среднем содержит вдвое больше
цифр, чем букв. Поэтому наряду с общей системой кодирования
алфавитно-цифровых символов в компьютерах сохраняют также
отдельную систему кодирования для десятичной цифровой ин-
формации.
При развитии технологий цифрового видео и звука понадо-
билось еще более увеличить разрядность оцифровки аналоговых
сигналов и особенно при получении видео и звука высокого ка-
чества.
Наибольшее распространение получило представление ин-
формации посредством восьмиразрядного слога, называемого
байтом.
С помощью восьмиразрядного слога можно кодировать
256 различных символов (2х). Несколько байтов образуют слова.
Компьютер производит обработку информации, состоящую
в се запоминании, передаче из одних устройств в другие, выпол-
нении над информацией арифметических и логических преобра-
зований. Процесс обработки информации автоматизирован с
помощью программного управления. Программа представляет
собой алгоритм переработки информации, записанной в виде
последовательности команд, которые должны быть выполнены
машиной для получения искомого результата.
Используемые человеком при научно-технических расчетах,
обработке экономической, финансовой и другой информации,
при программировании задач натуральные формы представления
и натуральные единицы информации существенно отличаются
от форм представления и единиц информации в машине.
Поле — группа символов, имеющих определенное значение и
подвергающихся обработке за одну и ту же арифметическую или
логическую операцию.
Этому определению соответствуют многоразрядное число,
команда, группа символов, обозначающих определенный при-
20
Раздел I. Автоматизированные системы обработки информации...
знак — реквизит какого-либо объекта (например, фамилия или
год рождения некоторого лица, наименование детали, ее вес
и т. д.).
Запись представляет собой группу полей, описывающих при-
знаки (свойства, характеристики, параметры) некоторого объек-
та. Например, строка экзаменационной ведомости, приведенная
на рис. 3.
Фамилия	№ зачетной книжки	Дисциплина	Оценка
Васильков	77777	Информационные технологии	Отлично
Рис. 3. Экзаменационная ведомость
Каждый из реквизитов (признаков) — фамилия, номер за-
четной книжки и т. д. — является полем. Поля объединены тем,
что относятся к определенному студенту.
Массив — объединение записей, описывающее некоторое
множество объектов (например, экзаменационная ведомость или
их совокупность).
Словом называют группу символов (разрядов) в памяти ком-
пьютера, соответствующую некоторому полю. Обычно термин
«машинное слово» относят к коду определенной длины, кото-
рый считывается из оперативной памяти или записывается в
оперативную память за одно обращение. Машинное слово мо-
жет представлять собой двоичное число с плавающей или фик-
сированной запятой, команду, несколько слогов (байтов). Ма-
шинное слово может также содержать дополнительные разряды
(разряд контроля по четности, разряды защиты памяти и др.).
Обычно машинное слово, в частности команда, содержит целое
число байтов.
Машинная единица информации, соответствующая натураль-
ной единице — записи, называется фразой (или также записью).
Она может занимать несколько машинных слов.
Блоком называют группу фраз (записей), расположенных
компактно (без промежутков) на носителе внешнего запоминаю-
щего устройства и записываемых на носитель из оперативной па-
мяти, а также считываемых с носителя в запоминающее устрой-
ство одной командой. Среди натуральных единиц информации
нет единицы, соответствующей блоку. Место в запоминающем
Глава 1. Предмет безопасности информации
21
устройстве на магнитном или оптическом носителе, в котором
хранится группа слов, составляющих блок, называется зоной, или
сектором.
Информационному массиву соответствует машинная едини-
ца информации — файл. Файл состоит в общем случае из не-
скольких блоков.
Томом называется машинная единица информации, соответ-
ствующая пакету дисков (часто томом называют логическую
часть внешнего носителя, винчестера, например).
Физическое представление информации и процессы
ее обработки
Как было показано выше, в вычислительных системах ин-
формация представляется в двоичном алфавите. Физическими
аналогами знаков этого алфавита служат физические сигналы,
способные принимать два хорошо различимых значения, напри-
мер электрическое напряжение (потенциал) высокого и низкого
уровня, отсутствие и наличие импульса тока, противоположные
по знаку значения напряженности магнитного поля и т. п.
Непременным требованием к физическим аналогам двоич-
ного алфавита является возможность надежного распознавания
двух различных значений сигнала, которые при описании зако-
нов функционирования схем обозначаются символами 0 (нуль)
и 1 (единица).
В схемах цифровых устройств переменные и соответствующие
им сигналы изменяются и воспринимаются нс непрерывно, а
лишь в дискретные моменты времени — по тактовым импульсам.
В цифровых устройствах применяют три способа физическо-
го представления информации: потенциальный, импульсный и ди-
намический. Слово может быть представлено последовательным
или параллельным способом (кодом). Устройства последователь-
ного действия работают медленнее, чем параллельного. Однако
устройство параллельного действия требует большего объема ап-
паратуры. В вычислительной технике применяются оба способа
в зависимости от требований, предъявляемых к конкретному из-
делию.
Информация в вычислительной системе подвергается раз-
личным процессам: вводу, хранению, обработке и выводу.
22
Раздел I. Автоматизированные системы обработки информации...
Ввод информации в компьютерную систему осуществляется
с устройств ввода, имеющих большое разнообразие, начиная с
клавиатуры, манипулятора «мышь* и заканчивая современными
цифровыми фото и видеокамерами, а также с различных дисков,
флэш-карт и т. д.
Хранение информации производится на запоминающих уст-
ройствах: кратковременное — в оперативной памяти и в различ-
ных регистрах памяти, выполненных на полупроводниковых
приборах, магнитных и оптических элементах; долговремен-
ное — во внешних запоминающих устройствах, выполненных на
магнитных лентах (стримерах), дисках (жестких типа «винче-
стер», мягких — (практически уже нс применяемых с появлени-
ем стандарта USB)), и триумфально шествующих разнообразных
лазерных и флэш-технологий.
Обработка информации в вычислительной системе произво-
дится в соответствии с принятой системой команд, алгоритма-
ми, определяемыми программным обеспечением, и командами,
поступающими с внешних устройств управления.
Вывод информации производится на внешние устройства
связи и регистрации информации без ее визуального отображе-
ния (на указанные выше запоминающие устройства) и устройст-
ва с отображением: печатающие устройства, индикаторы, табло
и другие устройства индивидуального и коллективного отобра-
жения. Выбор метода обработки информации определяется ха-
рактером решаемых задач, особенностями используемой инфор-
мации, а также параметрами технических средств автоматизации
и возможностями программного и аппаратного обеспечения
компьютерных систем.
Информационные процессы в системах обработки информа-
ции условно разделяют на три группы:
•	информационно-справочное обеспечение должностных
лиц органов управления;
•	информационное обеспечение расчетных задач;
•	обслуживание информационной базы автоматизированной
системы управления.
Эти процессы реализуют должностные лица органов управ-
ления и обслуживающий персонал информационной системы с
помощью аппаратных средств автоматизации и связи, программ-
ного обеспечения и информационной базы системы.
По степени стабильности информацию делят на условно-по-
стоянную и переменную. К условно-постоянной информации от-
Глава 1. Предмет безопасности информации
23
носятся данные, которые в течение длительного времени не ме-
няются. По использованию в процессах управления вся инфор-
мация делится на нормативную, справочную, плановую,
оперативно-производственную, отчетную и аналитическую.
Обработанная информация выдается должностным лицам
непосредственно на их автоматизированные средства управле-
ния и контроля (на устройства печати и отображения индивиду-
ального пользования) либо на устройства выдачи коллективного
пользования (автоматизированные устройства управления, уст-
ройства регистрации графической информации, устройства на-
глядного отображения коллективного пользования и т. п.).
На объектах автоматизированных систем обработки инфор-
мации и управления накапливаются и хранятся большие объемы
информации, как документированной (в виде обычных докумен-
тов), так и па электронных, магнитных и лазерных носителях.
Документированная информация содержит:
•	ведомость учета хранимых документов;
•	табуляграммы учета информации, хранимой на машинных
носителях;
•	документы, прошедшие обработку на объекте информаци-
онной системы;
•	ведомость регистрации запросов должностных лиц и обслу-
живающего персонала на получение справок из базы доку-
ментов и решение задач;
•	ведомость регистрации выдаваемой информации и другие
документы.
На информационных носителях хранятся:
•	информационные массивы общего информационного поля;
•	архивные данные;
•	программные блоки, файлы, тома.
Информационные массивы общего информационного поля
используются для выдачи различных справок по запросам, а так-
же для информационного обеспечения расчетных задач.
В состав архивной информации входит информация, которая
в данный момент в работе системы не участвует, но может пона-
добиться для восстановления или замены массивов, документи-
рования работы системы и т. д.
Информационное единство в автоматизированной системе
управления обеспечивается следующим путем:
•	создания системы классификации и кодирования инфор-
мации;
24
Раздел I. Автоматизированные системы обработки информации...
•	разработки и внедрения унифицированных систем доку-
ментации;
•	унификации принципов построения нормативов и их об
новлсния;
•	унификации системы показателей для обеспечения сопо-
ставимости во времени и по различным качественным и
количественным признакам;
•	регламентации потоков информации по направленности,
объему, периодичности, достоверности и срочности;
•	унификации порядка формирования и обработки инфор-
мации.
Примером классификации и унификации информации мо-
жет служить приведенный на рис. 4 состав информационной
базы информационной системы.
Физическое представление информации и процессы ее обра-
ботки говорят о том, что реализация системы защиты информа-
ции должна быть направлена также на защиту содержащих ее
аппаратных и программных средств, составляющих автоматизи-
рованную систему обработки информации. Из этого не следует,
что предметом защиты являются только ресурсы вычислитель-
ной системы, как иногда считаю! многие специалисты.
Понятие «ресурсы» в широком смысле этого слова подразу-
мевает «запасы чего-либо, возможности и т. д.». В этом смысле в
вычислительных системах под «ресурсами» понимают программ-
ные и аппаратные средства обработки, хранения и передачи ин-
формации, которых может хватить или не хватить вообще или в
данный момент времени. Поэтому понятие «ресурсы» не может
иметь описанные выше свойства информации и некоторые
свойства средств ее обработки. Как можно заметить, предмет за-
щиты в этом случае выходит за рамки этого понятия. Некоторые
специалисты это почувствовали и ввели понятие «информацион-
ные ресурсы», еще более усугубив положение.
В буквальном смысле это понятие с учетом сказанного ранее
приобретает значение «информационных запасов». Информация
нс материальна и нс может быть расходным материалом (исклю-
чение составляют «запасы знаний» — но это совсем другое поня-
тие). Некорректность применения такого понятия очевидна.
Кроме того, информация может быть защищена без аппарат-
ных и программных средств защиты с помощью криптографиче-
ского преобразования. При этом нарушитель имеет доступ к ап-
Рис. 4. Структура информационной базы информационной системы и системы управления:
ИС — информационная система и системы управления
Глава 1. Предмет безопасности информации
26
Раздел I. Автоматизированные системы обработки информации...
паратным и программным средствам, а к информации доступа
не имеет.
Информация — это предмет собственности. Она может быть
собственностью владельца информационной системы; государ-
ства; той или иной организации, фирмы, частной или общест-
венной; личной собственностью человека, доверившего ее вла-
дельцу информационной системы. А там, где наступает и конча-
ется право собственности, должны быть четкость, ясность и
определенность. Соблюдение гарантий этих прав и обеспечивает
безопасность информации.
Глава 2
ОБЪЕКТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Классификация объектов информационной
безопасности
Автоматизированные системы обработки информации (АСОИ)
или автоматизированные системы обработки информации и
управления (АСОИУ), в настоящее время интегрированно назы-
ваемые просто информационными системами (ИС), получили
различное воплощение. Для цельности изложения материала в
данном учебном пособии примем за основу классификацию
АСОИУ по видам со структурой, представленной на рис. I.
Столь широкий диапазон рассматриваемых систем выбран
не только по причине общей проблемы информационной безо-
пасности, но и потому, что все перечисленные виды АСОИУ
могут входить в состав одной и той же региональной или гло-
бальной информационной сети или автоматизированной систе-
мы управления.
Очевидно, что концепция безопасности информации, теория
и основные принципы построения ее зашиты в них должны
быть едиными.
Такому подходу способствует также и то, что ввод-вывод,
хранение, обработка и передача информации во всех видах сис-
тем строятся на базе типовых методов и средств. Поиск подоб-
ных методов и средств в обеспечении безопасности информации
Глава 2. Объекты информационной безопасности
27
Рис. 1. Классификация автоматизированных систем обработки информации
и управления по способу построения
также является основной задачей при проектировании информа-
ционной системы.
Для детального исследования и представления указанных
систем с позиций возможного несанкционированного доступа к
информации и постановки задачи рассмотрим элементы их по-
строения, начиная с компьютера как основного базового эле-
мента. Ниже рассмотрены структурные схемы и основные прин-
ципы построения перечисленных выше автоматизированных
систем обработки информации и управления.
28 Раздел I. Автоматизированные системы обработки информации...
Информационные системы с централизованной обработкой
информации
Классическая структурная схема компьютера представлена
на рис. 2.
Арифметико-логическое устройство производит арифметиче-
ские и логические преобразования над поступающими в него
машинными словами, т. е. кодами определенной длины, пред-
ставляющими собой числа или другой вид информации.
Память хранит информацию, передаваемую из других уст-
ройств, в том числе поступающую в компьютер извне через уст-
ройство ввода, и выдает во все другие устройства информацию,
необходимую для протекания вычислительного процесса. Па-
мять компьютера в большинстве случаев состоит из двух сущест-
венно различающихся по своим характеристикам частей: быст-
родействующей основной, или оперативной (внутренней), па-
мяти и сравнительно медленно действующей, но способной
хранить значительно больший объем информации внешней па-
Рис. 2. Классическая структурная схема компьютера (обобщенная, включая
персональный компьютер)
Глава 2. Объекты информационной безопасности
29
мяти. Непосредственно в вычислительном процессе участвует
только оперативная память, и лишь по окончании отдельных
этапов вычислений из внешней памяти в оперативную память
передается информация, необходимая для следующего этапа ре-
шения задачи.
Управляющее устройство (УУ) автоматически (без участия
человека) управляет вычислительным процессом, посылая всем
другим устройствам сигналы, предписывающие им те или иные
действия. В частности, управляющее устройство указывает опе-
ративной памяти, какие слова должны быть переданы в арифме-
тико-логическое и в другие устройства, включает арифмети-
ко-логическое устройство на выполнение нужной операции и
помещает полученный результат в оперативную память.
Последовательность арифметических и логических опера-
ций, которые надо произвести над исходными данными и про-
межуточными результатами для получения решения задачи, на-
зывают алгоритмом решения задачи численным методом. Поэто-
му алгоритм можно задать указанием, какие следует произвести
операции, в каком порядке и над какими словами. Описание ал-
горитма в форме, воспринимаемой компьютером, называется
программой. Программа состоит из отдельных команд. Команды
должны быть закодированы в цифровом виде.
Перед решением задачи на компьютере программа и исход-
ные данные должны быть помещены в ее память. Предваритель-
но эта информация заносится на магнитные диски или другие
носители. Затем с помощью устройства ввода программа и ис-
ходные данные считываются и переносятся в оперативную па-
мять. Информация может вводиться в оперативную память не-
посредственно с клавиатуры, сенсорного устройства, сканера
или других устройств ввода информации.
Устройство вывода служит для выдачи из компьютера ре-
зультатов обработки информации, например, путем печатания
их на печатных устройствах или отображения на экране дисплея.
С помощью дистанционного пульта управления оператор пус-
кает и останавливает компьютер, а при необходимости может
вмешиваться в процесс выполнения задачи.
Средства программного обеспечения и аппаратные средства
являются двумя взаимосвязанными компонентами компьютер-
ной техники.
Система программного (математического) обеспечения ком-
пьютера представляет собой комплекс программных средств,
30 Раздел I. Автоматизированные системы обработки информации...
в котором можно выделить операционную систему, комплект
программ технического обслуживания и прикладных программ
(рис. 3).
Операционные системы являются важнейшей и центральной
частью программного обеспечения компьютера и предназначены
для эффективного управления внутренними (системными) про-
цессами компьютера, планирования работы и распределения ре-
сурсов компьютера, организации выполнения программ при раз-
личных режимах работы компьютера, облегчения взаимодейст-
вия с ним оператора.
о
о
X
S
СЗ
CL.
о
Рис. 3. Структура программного обеспечения компьютера
Аппаратные средства
компьютера
Глава 2. Объекты информационной безопасности
31
Операторы не имеют прямого доступа к устройствам компью-
тера. Связь операторов с компьютером (точнее, с ее аппаратными
средствами) производится с помощью операционной системы,
обеспечивающей определенный уровень взаимодействия челове-
ка с компьютером. Уровень взаимодействия в первую очередь
определяется уровнем программно-аппаратного интерфейса (ин-
терфе йсной программы).
Комплект программ технического обслуживания, предназна-
ченный для уменьшения трудоемкости эксплуатации компьюте-
ра, содержит программы проверки работоспособности компью-
тера и отдельных ее устройств, определения (диагностирования)
мест отказов.
Прикладные программы (приложения) представляют собой
программы и интегрированные программные среды, предназна-
ченные для решения определенных задач (проектных, науч-
но-технических, планово-экономических и др.), а также для рас-
ширения функций операционной системы (управления базами
данных, реализации режимов распределенной обработки дан-
ных, режимов реального времени и др.).
Аппаратные средства компьютера и операционная система,
его программное обеспечение в совокупности образуют однома-
шинную систему обработки данных.
Исторически первыми и до сих пор широко распространен-
ными являются одномашинные системы обработки данных, по-
строенные на базе единственного компьютера с традиционной
однопроцессорной структурой (хотя прогресс в многопроцес-
сорных конструкциях персональных компьютеров скоро эту си-
туацию кардинально изменит). Однако производительность и
надежность существующего парка компьютеров оказываются
удовлетворительными не для всего спектра применений. Поста-
новщикам задач, решаемых на компьютерах, всегда не хватало
оперативной памяти, емкости накопителей и быстродействия
обработки данных. Поэтому для повышения надежности и про-
изводительности несколько компьютеров стали связывать между
собой, образуя многомашинный компьютерный (вычислитель-
ный) комплекс. В двухмашинном вычислительном комплексе
связь чаще всего осуществляется через адаптер, обеспечиваю-
щий обмен данными между каналами ввода-вывола двух компь-
ютеров (рис. 4) и передачу сигналов прерывания. Заметим, что
дальнейшее развитие данного вида коммутации машин получи-
ло в виде компьютерных сетей.
32
Раздел I. Автоматизированные системы обработки информации...
Рис. 4. Компьютерный комплекс с прямой связью
между компьютером
Лучшие условия для взаимодействия процессов обработки
информации те, когда все процессоры имеют доступ ко всему
объему данных, хранимых в оперативных запоминающих устрой-
ствах, и могут взаимодействовать со всеми периферийными уст-
ройствами комплекса. Компьютерный комплекс, содержащий
несколько процессоров с общей оперативной памятью и перифе-
рийными устройствами, называется многопроцессорным комплек-
сом. Принцип построения таких комплексов иллюстрируется
рис. 5. Данный вариант развития — создание многопроцессорных
компьютеров с параллельной обработкой задач — в настоящее
время является более прогрессивным. Аппаратно задачи построе-
ния таких систем уже решены, задержка только за оптимальными
и эффективными алгоритмами параллельных вычислений и их
программной реализацией.
Рис. 5. Многопроцессорный вычислительный комплекс
Процессоры, модули оперативной памяти и каналы вво-
да-вывода, к которым подключены периферийные устройства,
объединяются в единый комплекс с помощью средств коммуни-
каций и коммутаций, обеспечивающих доступ каждого процес-
сора к любому модулю оперативной памяти и каналу ввода-вы-
вода, а также возможность передачи данных между последними.
Глава 2. Объекты информационной безопасности
33
Многомашинные и многопроцессорные компьютерные ком-
плексы или комплексы обработки информации рассматриваются
как базовые средства для создания систем обработки информа-
ции и обмена различного назначения. Поэтому в состав компь-
ютерного комплекса принято включать только аппаратные сред-
ства и общесистемное (базовое), но не прикладное программное
обеспечение, связанное с конкретной областью применения
комплекса. На последнее обстоятельство с позиций завершенно-
сти построения системы защиты информации обратим внима-
ние, так как в дальнейшем будет рассматриваться вопрос о защи-
щенных и незащищенных системах обработки информации.
Система обработки информации и данных, настроенная на
решение задач конкретной области применения, называется ин-
формационной (компьютерной) системой или системой обработки
информации. Компьютерная система включает в себя аппаратные
средства и программное обеспечение, ориентированные на ре-
шение определенной совокупности задач. В компьютерную сис-
тему могут быть включены, помимо компьютерных комплексов,
и другие аппаратные средства (например, системы получения и
обработки цифрового видео).
Все последние поколения компьютеров самого различного
назначения развиваются в направлении создания адаптивных
компьютерных систем, гибко приспосабливающихся к решаемым
задачам. Адаптация компьютерной системы с целью приспособ-
ления ее к структуре реализуемого алгоритма достигается за счет
изменения конфигурации системы, которое в современных ком-
пьютерах происходит на уровне операционной системы, с мини-
мальным объемом удаленной коммутации. При этом соединения
между процессорами, а также модулями памяти и периферийны-
ми устройствами устанавливаются динамически в соответствии с
потребностями задач, обрабатываемых системой в текущий мо-
мент времени. В связи с этим адаптивные компьютерные системы
иначе называют системами с динамической структурой. За счет
адаптации достигается высокая производительность в широком
классе задач и обеспечивается устойчивость системы к отказам.
В зависимости от ориентирования компьютерных систем на
конкретные задачи в настоящее время существует несколько на-
правлений, по которым они развиваются и при реализации ко-
торых наблюдается большое многообразие связей между эле-
ментами системы (для персональных компьютеров это происхо-
дит уже в пределах системной платы компьютера). Это системы
34
Раздел I. Автоматизированные системы обработки информации...
с конвейерной обработкой информации, матричные системы,
ассоциативные системы, однородные системы и среды, функ-
ционально распределенные системы, системы с перестраивае-
мой структурой.
Для получения данных из компьютера или компьютерного
комплекса, расположенных на значительном расстоянии от
пользователя, применяются системы телеобработки информа-
ции, схема одной из которых приведена на рис. 6.
Рис. 6. Система телеобработки информации и данных
В этих системах пользователи (абоненты) взаимодействуют с
системой посредством терминалов (абонентских пунктов), под-
ключаемых через каналы связи к средствам обработки информа-
ции, — компьютер и комплекс обработки информации. Данные
передаются по каналам связи в форме сообщений — блоков ин-
формации или данных, несущих в себе, кроме собственно ин-
формации или данных, системную информацию, необходимую
для управления процессами передачи и зашиты информации и
данных от искажений. Программное обеспечение систем телеоб-
работки содержит специальные средства, необходимые для
управления аппаратными средствами, установления связи между
компьютерами и объектами, передачи информации и данных
между ними и организации взаимодействия пользователей с
программами обработки информации и данных.
С ростом масштабов применения компьютерной техники в
обработке информации и обмене ею на расстоянии возникла
необходимость объединения сосредоточенных систем обработ-
ки данных в компьютерные (информационные, вычислительные}
сети. Обобщенная структура компьютерной сети представлена
на рис. 7.
Целесообразность создания компьютерных сетей обусловли-
вается возможностью использования территориально-рассредо-
точенными пользователями программного обеспечения и ин-
Компьютер
Центр
Коллективного
Пользования
(ЦКП)
.МЭЙНФРЕЙМ
Терминал
(Персональный
компьютер )
Компьютер
Терминал
в' (Персональный
компьютер )
-----4=
Терминал
(Персональный
компьютер )
L—.□
 I
Терминал
< Персональна!
компьютер )
=1--------
Терминал
(Персональный
компьютер)
КОМПЛЕКС АБОНЕНТСКОГО ПУНКТ А
Глава 2. Объекты информационной безопасности
Рис. 7. Обобщенная структура компьютерной сети (автоматизированной системы управления)
36
Раздел I. Автоматизированные системы обработки информации...
формационных баз, находящихся в различных компьютерных
центрах сети, а также возможностью организации распределен-
ной обработки информации и данных путем привлечения про-
граммно-аппаратных ресурсов нескольких компьютерных цен-
тров сети для решения особо сложных задач. Компьютерную
сеть можно рассматривать как систему с распределенными но
территории аппаратными, программными и информационными
ресурсами. Возможна реализация на основе компьютерных сетей
распределенного (децентрализованного) банка информации и
данных, отдельные информационные базы которого создаются в
местных компьютерных центрах, например в процессе функцио-
нирования автоматизированной системы управления отдельных
предприятий и объединений, а при решении задач более высо-
кого уровня управления используются как единая база данных и
информации.
Другая возможность — это создание централизованного бан-
ка информации и данных, к которому имеют доступ многочис-
ленные, в том числе находящиеся на значительном расстоянии,
абоненты через свои терминалы, абонентские пункты и терми-
налы местных систем коллективного пользования. По такому
принципу сформированы глобальные системы железной дороги,
авиаперевозок и т. п.
Объединение в сеть компьютеров нескольких компьютерных
центров способствует повышению надежности функционирова-
ния компьютерных средств, так как создается возможность ре-
зервирования одних компьютерных центров за счет технических
ресурсов других центров.
Основу составляют крупные компьютеры (мэйнфрэймы)
(Центры Коллективного Пользования — ЦКП), объединяемые
сетью передачи информации. Эти компьютеры, называемые
главными компьютерами (машинами), осуществляют основные
функции по выполнению программ пользователей, сбору, хране-
нию, выдаче информации. Сеть передачи информации (СПИ)
образуют каналы связи и Узлы (центры) Коммутации и Мар-
шрутизации (УКМ), в которых Связные Процессоры (СП) или
м погон роцессорн ые сервер ы-марш руги заторы yr i ра вля ют выбо-
ром маршрутов передачи данных в сети.
Головные Компьютеры — Серверы (ГС) или главные вычис-
лительные машины (ГВМ) подсоединяются к сети (точнее, к со-
ответствующим компьютерам-серверам) непосредственно через
точки стандартного стыка, если обеспечена совместимость по
Глава 2. Объекты информационной безопасности
37
физическим сигналам (управляющим и информационным) и
форматам информации, или с помощью Интерфейсных Процес-
соров (ИП), или Интерфейсных Серверов (ИС). В последнем
случае интерфейсный процессор или сервер может выполнять и
некоторые функции по предварительной обработке данных:
•	преобразование кодов передаваемой (принимаемой) ин-
формации;
•	контроль правильности полученных сообщений и др.
Терминалы пользователей (обычно это персональный компь-
ютер с ограничением функционала) подключаются либо к голов-
ному серверу (вычислительного центра коллективного пользова-
ния), либо непосредственно к связному процессору. Для под-
ключения к сети группы терминалов, удаленных от главной
компьютерной машины и связного процессора, используются
терминальные процессоры (терминальные концентраторы), на-
зываемые Абонентскими Пунктами (АП). В этом случае отпада-
ет необходимость выделения каждому терминалу отдельного ка-
нала связи.
В качестве терминалов используются телетайпы, телеграф-
ные аппараты, аппараты печати билетов, дисплеи, графопо-
строители и другие устройства ввода-вывода, а также их комби-
нации. В настоящее время в качестве терминала все чаще ис-
пользуют Персональные Компьютеры (ПК).
Административное управление в компьютерных сетях вклю-
чает в себя планирование и учет работы отдельных компьютеров
сети, анализ и учет работы сети передачи информации и данных
(трафик), проведение измерений в сети и т. п. Эти функции воз-
лагаются на один или несколько специализированных головных
компьютеров-серверов сети, которые называют административ-
ным комплексом.
Классификация информационных
компьютерных сетей
По функциональному назначению различают сети: информа-
ционные, предоставляющие пользователю в основном информа-
ционное обслуживание; вычислительные, выполняющие главным
образом решение задач с обменом данными и программами меж-
ду электронно-вычислительными машинами (ЭВМ) сети, и сме-
шанные информационно - вычислительные.
38
Раздел I. Автоматизированные системы обработки информации...
По размещению информации в сети разделяют сети с цен-
трализованным банком данных, формируемым в одном из узлов
сети, и с распределенным банком данных, состоящим из отдель-
ных локальных банков, расположенных в узлах сети.
По степени территориальной рассредоточенности можно
выделить крупномасштабные, или глобальные, информационные
и вычислительные сети, охватывающие территорию страны, не-
скольких стран с расстояниями между узлами сети, измеряе-
мыми тысячами километров; региональные сети, охватывающие
определенные регионы — город, район, область и т. п.; локаль-
ные информационные и вычислительные сети с максимальным
расстоянием между узлами сети не более нескольких кило-
метров.
По числу головных компьютеров-серверов или главных вы-
числительных машин следует различать сети с одним и с не-
сколькими головными компьютерами. К последним относятся
вычислительные системы с телеобработкой, которые представля-
ют собой комплексы, состоящие из компьютерной машины и
удаленных абонентских пунктов (АП), связанных с помощью ка-
налов и аппаратуры передачи информации и данных.
По типу используемых компьютеров выделяют однородные
сети, содержащие программно-совместимые компьютеры, и не-
однородные, если машины сети программно несовместимы. На
практике сети часто являются неоднородными.
По методу передачи данных различают компьютерные сети
с коммутацией каналов, с коммутацией сообщений, с коммутацией
пакетов и со смешанной коммутацией; с маршрутизацией данных,
с селекцией данных. Для современных сетей характерно исполь-
зование коммутации пакетов.
Коммутация пакетов является развитием метода коммутации
сообщений. Она позволяет добиться дальнейшего увеличения
пропускной способности сети, скорости и надежности передачи
данных.
Поступающее от абонента сообщение разбивается на пакеты,
имеющие фиксированную длину, например I Кбайт. Пакеты ме-
тятся служебной информацией-заголовком, указывающим адрес
пункта отправления, адрес пункта назначения и номер пакета в
сообщении.
В сети передачи информации и данных с коммутацией паке-
тов используются два способа передачи данных между абонента-
ми: дейтаграммный и виртуальный каналы.
Глава 2. Объекты информационной безопасности
39
Дейтаграммный способ — передача информации и данных как
отдельных, не связанных между собой пакетов.
Важным достоинством дейтаграммного способа коммутации
пакетов является возможность одновременной передачи пакетов
одного и того же сообщения разными маршрутами, что умень-
шает время и увеличивает надежность передачи сообщения. При
передаче короткими пакетами уменьшается вероятность появле-
ния ошибок и время занятости каналов повторными передачами.
Однако при этом наблюдаются случаи обгона сообщений. При-
вязка сообщений ко времени их выдачи и нумерация позволяют
это обнаружить. При дейтаграммном способе не гарантируется
очередность и надежность доставки пакетов.
Виртуальный канал — передача данных в виде последователь-
ностей связанных в цепочки пакетов. Организация виртуального
канала между двумя процессами равносильна выделению им ду-
плексного канала связи, по которому данные передаются в их ес-
тественной последовательности. Виртуальный канал сохраняет
все вышеописанные преимущества коммутации пакетов в отно-
шении скорости передачи и мультиплексирования, но требует
предварительной процедуры установления соединений. По
окончании сеанса связи канал распадается и возвращает ресурсы
для установления новых виртуальных соединений.
В компьютерных сетях ее абоненты (вычислительные систе-
мы) оснащаются специальными программными средствами ад я
сетевой обработки данных. К ним предъявляются требования по
сохранению работоспособности сети при изменении ее структу-
ры, при отказах отдельных компьютеров, каналов и узлов связи;
обеспечению возможности работы компьютеров с терминалами
различных типов и взаимодействию разнотипных компьютеров.
Важным признаком классификации компьютерных сетей
(КС) является их топология. Топологическая структура компью-
терной сети оказывает значительное влияние на ее пропускную
способность, устойчивость сети к отказам ее оборудования, на
логические возможности и стоимость сети. В настоящее время
наблюдается большое разнообразие в топологических структурах
компьютерных сетей (рис. 8).
Топология крупных компьютерных сетей может представлять
собой комбинацию нескольких топологических решений.
К концу 70-х годов в сфере обработки данных широкое рас-
пространение наряду с ЭВМ общего назначения получили мини-
и микроЭВМ и начали применяться персональные компьютеры.
40
Раздел I. Автоматизированные системы обработки информации...
Рис. 8. Топологические структуры компьютерных сетей:
а — одинарная многоточечная линия; 6 — петлевая (кольцевая) сеть; в — звездо-
образная сеть; г — полносвязная сеть; д — древовидная сеть
Глава 2. Объекты информационной безопасности
41
При этом для обработки данных в рамках одной организации или
ее подразделения использовалось большое число ЭВМ, каждая
из которых обслуживала небольшую группу пользователей,
а микроЭВМ и персональные компьютеры — отдельных пользо-
вателей. В то же время коллективный характер труда требовал
оперативного обмена данными между пользователями, т. е. объ-
единения ЭВМ и компьютеров в единый комплекс — локальную
вычислительную сеть (локальная компьютерная сеть). Локальной
называется информационная или вычислительная сеть, системы
которой расположены на небольшом расстоянии друг от друга.
Как правило, локальная сеть объединяет в себе компьютеры и
другие устройства компьютерной техники, расположенные в од-
ном помещении, здании или группе зданий на расстоянии не бо-
лее чем 1—2 км друг от друга. В настоящее время основными
единицами такой сети являются персональные компьютеры раз-
ных платформ и мощности, а также компьютеры-серверы, пре-
доставляющие определенные сетевые сервисы и являющиеся го-
ловными компьютерами в сети. Локальные вычислительные сети
в настоящее время называют локальными компьютерными сетя-
ми (ЛКС), так же как ЭВМ повсеместно называют Компьютера-
ми. Обращаем внимание, что в нормативной и законодательной
базе все-таки сохраняются термины ЭВМ и локальная вычисли-
тельная сеть, что накладывает определенные ограничения на ис-
пользование данной терминологии при формировании админи-
стративных и организационных документов. Пример локальной
сети приведен на рис. 9.
Моноканал
Рис. 9. Локальная есть
Сопрягаются компьютеры с помощью моноканала — едино-
го для всех компьютеров сети канала передачи данных. В моно-
42
Раздел I. Автоматизированные системы обработки информации...
канале наиболее широко используются витая пара проводов, ко-
аксиальный кабель или волоконно-оптическая линия, а также
все чаще используется радиоканал. Компьютеры сопрягаются с
моноканалом с помощью сетевых адаптеров (СА) или контрол-
леров, регулирующих операции ввода-вывода данных через мо-
ноканал. Наличие в сети единственного канала существенно
упрощает процедуры установления соединений и обмена данны-
ми между компьютерами. В состав локальной компьютерной
сети могут включаться и компьютеры общего назначения.
Данная топология была единственной на начальном этапе
развития локальных компьютерных сетей. Затем появились и
другие схемы соединений технических средств в локальной сети:
звездообразная, кольцевая, смешанная и др. Подробнее персо-
нальный компьютер и локальные вычислительные сети как объ-
екты защиты информации рассмотрены в специальных главах
ниже. Это сделано на основании нижеследующего подхода.
Персональные компьютеры и локальные вычислительные
сети в настоящее время получили очень широкое распростране-
ние, почти все новые разработки автоматизированных систем
обработки данных и информации ведутся на их основе. Однако с
позиций безопасности информации это не означает, что основ-
ные идеи и принципы се ввода-вывода, хранения, обработки и
передачи изменились настолько, чтобы это принципиально по-
влияло на возможные каналы несанкционированного преднаме-
ренного доступа к информации и концепцию ее защиты. В этом
смысле произошли лишь пространственные перемещения цен-
трализованной обработки информации, увеличились ее объемы
и усложнилась техника ее обработки.
Исходя из этих позиций персональный компьютер можно
рассматривать как миниатюрный комплекс средств автоматиза-
ции с централизованной обработкой данных, который в своем
составе содержит те же самые средства ввода-вывода, хранения и
обработки информации: терминал — клавиатуру и дисплей; ком-
пьютер — системный блок и программное обеспечение; дистан-
ционное запоминающее устройство (внешнее) — НЖМД и
НГМД; принтер; аппаратуру передачи данных — сетевой адаптер.
Локальная вычислительная сеть с позиций безопасности ин-
формации содержит те же, что и обычная сеть, комплексы
средств автоматизации (ПЭВМ, т. е. ПК) и каналы связи (линии
связи). В локальной компьютерной сети применяются тс же
протоколы связи открытых систем (за исключением физическо-
Глава 2. Объекты информационной безопасности
43
го и канальных уровней). Конечно, техническая реализация этих
элементов другая. Но с позиций внешних подходов к циркули-
рующей в ней информации достаточно того, что локальная ком-
пьютерная сеть так же, как и обычная сеть, содержит два эле-
мента: узлы с централизованной обработкой информации и ли-
нии (каналы) связи с различной схемой соединений (см. рис. 8).
Забегая вперед, к ним следует добавить еще и третий элемент
сети, встроенный в узлы, — ее средства управления, за которы-
ми находится владелец данной сети или его представитель (про-
вайдер).
Автоматизированные системы управления
Автоматизированные системы управления в сложившемся в
настоящее время понимании отличаются от компьютерных сетей
наличием средств, решающих задачи управления каким-либо
процессом. Например, процессом производства каких-либо из-
делий, процессом управления предприятием, отраслью, народ-
ным хозяйством и т. д.
Различают два типа управления: системы управления техни-
ческими устройствами и производственными процессами и сис-
темы административно-организационного управления. В первых
объектами управления являются различные технические устрой-
ства (самолет, станок, домна, ракета и т. д.), во вторых — кол-
лективы людей и организационные задачи.
Автоматизированные системы административно-организаци-
онного управления предназначены для комплексной автоматиза-
ции всех или большинства основных функций органов управле-
ния: сбора и анализа информации, планирования и принятия
решений, доведения решений до исполнителей и контроля ис-
полнения. Этим они отличаются от автономного использования
технических средств или автоматизации отдельных подсистем
управления.
Автоматизированные системы административно-организаци-
онного управления представляют собой сложные комплексы кол-
лективов специалистов, технических средств, математического,
программного, информационного и лингвистического обеспече-
ния, предназначенные для сбора, переработки и выдачи инфор-
мации. Общая структура таких автоматизированных систем обыч-
но соответствует иерархической структуре органов управления и
44
Раздел I. Автоматизированные системы обработки информации...
принятым в них процессам управления. Обычно автоматизиро-
ванные системы административно-организационного управления
представляют собой ряд автоматизированных объектов при орга-
нах управления различных уровней (производственный участок,
цех, завод и т. д.), объединенных единой системой обмена данны-
ми — автоматизированной системой связи. Каждый автоматизи-
рованный объект, в свою очередь, включает информационно-вы-
числительный комплекс объекта, значительное число автомати-
зированных рабочих мест административных работников с
устройствами формирования запросов, ввода и выдачи информа-
ции, средства математического обеспечения и технические уст-
ройства, обеспечивающие процесс функционирования объекта.
Объекты автоматизированной системы управления условно
разделяются на основные и вспомогательные. К основным отно-
сятся управляющие объекты и объекты управления. Управляю-
щий объект является источником управляющего воздействия,
направленного на достижение поставленной цели управления.
Объект управления является исполнителем управляющих воз-
действий, получаемых от управляющего объекта.
Вспомогательные объекты служат для автоматизации обра-
ботки и передачи информации, циркулирующей в системе.
К ним относятся вычислительные центры, узлы коммутации со-
общений, объекты связи и т. п. Вычислительные центры, на ко-
торых реализуются информационно-расчетные процессы в инте-
ресах органов управления системы, территориально могут разме-
щаться как на основных объектах, так и на некотором удалении
от них. Центры коммутации сообщений и другие объекты связи
совместно с каналами связи предназначены для обеспечения ав-
томатизации обмена информацией между объектами системы.
Наиболее распространенные структурные конфигурации ав-
томатизированных систем управления:
•	централизованная с непосредственным подчинением объ-
ектов центральному пункту управления;
•	централизованная с автономными подсистемами;
•	иерархическая с последовательными связями;
•	иерархическая с последовательно-параллельными связями.
Поскольку последняя структура АСУ содержит указанные
выше варианты структур, она представлена на рис. 10.
Указанные на рис. 10 объекты связаны между собой или по
прямым каналам связи, или через узлы коммутации сообщений
сети обмена данными (на рисунке не показаны). Так как в боль-
Глава 2. Объекты информационной безопасности
45
Рис. 10. Иерархическая конфигурация автоматизированной системы управления
с последовательно-параллельными связями
ших автоматизированных системах управления объекты системы
территориально могут быть удалены друг от друга на большие
расстояния (до сотен и тысяч километров), преимущественно
используются узлы коммутации сообщений, которые обеспечи-
ваю! иерархию связей и одновременно в целом сокращаю! вре-
мя доведения команд с верхнего управляющего объекта до ис-
полнителя в низшей ступени иерархии системы, а также с низ-
шей ступени до верхней.
Организация проектирования автоматизированной
системы обработки информации и данных
Кратко рассмотрим основные положения при проектирова-
нии автоматизированной системы обработки данных и инфор-
мации. Данный материал необходим для общего знакомства с
основными положениями при проектировании. Специалист по
эксплуатации приходит в систему, уже запущенную в работу, и
ему необходимо хотя бы понимать начальные условия ввода в
эксплуатацию системы, а таковым является проектное решение.
Проектирование автоматизированных систем обработки дан-
ных и информации — создание комплекта конструкторской и
программной документации, необходимой для производства и
эксплуатации. Цель проектирования, назначение проектируемой
46
Раздел I. Автоматизированные системы обработки информации...
системы, исходные данные и технические требования устанавли-
ваются техническим заданием. В его технических требованиях
задаются: функции системы, состав и характеристики источни-
ков и приемников данных, а также их территориальное размеще-
ние; технические характеристики системы — производитель-
ность, емкость памяти, надежность, стоимость, массогабаритные
и энергетические; необходимые режимы функционирования;
условия эксплуатации и другие факторы, существенные для сис-
тем того или иного назначения.
Стадии проектирования автоматизированной системы обра-
ботки данных и информации установлены ГОСТ 2.103—68:
•	техническое предложение;
•	эскизный проект;
•	технический проект;
•	рабочая конструкторская документация.
На основе технического проекта создается комплект рабочей
конструкторской документации, по которой подготавливается
опытный образец системы.
На опытном образце производятся испытания на предмет
соответствия его требованиям технического задания. По резуль-
татам испытаний производится доработка конструкторской до-
кументации и опытного образца системы. Далее в зависимости
от характера и объема доработок на опытном образце проводит-
ся проверка доработок или повторные испытания. После поло-
жительных результатов испытаний в зависимости от назначения
системы и ее сложности опытный образец с эксплуатационной
документацией передается в эксплуатацию или конструкторская
документация — на запуск системы в серийное производство.
При испытаниях опытного образца системы проверяются
штатные аппаратные и программные средства, а при прие-
мо-сдаточных испытаниях на за воде-изготовителе используются
специальные технологические и контрольно-проверочные про-
грамм ы.
Специальная технология испытаний предусмотрена на опыт-
ных образцах компьютерных сетей и больших автоматизирован-
ных системах управления. Указанные испытания проводятся по-
этапно:
1)	автономные испытания элементов сети (АСУ);
2)	испытания фрагмента сети (АСУ) с минимальной конфи-
гурацией, позволяющей выполнять основные функции;
3)	испытания полного состава сети (АСУ).
Глава 2. Объекты информационной безопасности
47
Условия и режимы эксплуатации автоматизированной
системы обработки информации и данных
Эксплуатация компьютерной системы состоит из техниче-
ского и системотехнического обслуживания и использования ее
по прямому назначению.
Техническое обслуживание заключается в обеспечении рабо-
тоспособности системы путем создания требуемых условий экс-
плуатации и проведения профилактических и ремонтно-восста-
новительных работ. Для повышения эффективности техниче-
ского обслуживания в системах предусматриваются средства
накопления данных об ошибках, сбоях и отказах. Данные нака-
пливаются путем регистрации состояния системы в момент
ошибки, обнаруживаемой встроенными средствами контроля
или программами. Регистрация данных производится операци-
онной системой в специальном системном журнале — области
накопителя на магнитных дисках. Данные из системного журна-
ла периодически или при необходимости выводятся на печать и
используются обслуживающим персоналом для выявления ис-
точников ошибок, сбоев и отказов с целью проведения профи-
лактических и ремонтно-восстановительных работ.
Системотехническое обслуживание заключается в обеспече-
нии эффективности использования системы с целью снижения
стоимости обработки данных, повышения производительности
системы, качества обслуживания пользователей и др.
В зависимости от назначения и характера задач по обработке
информации можно выделить три основных вида эксплуатации
компьютерных систем, имеющих принципиальное значение для
состава должностных лиц и характера доступа к информации:
1)	с закрытым доступом; организация-потребитель использу-
ет компьютерную систему полностью в своих интересах; при
этом обслуживающий персонал, включая технический и опера-
тивный состав, является сотрудниками данной организации.
Например: АСОНУ по управлению предприятием;
2)	с ограниченным доступом; организация-потребитель ком-
пьютерной системы сочетает свои интересы с интересами других
организаций и частных лиц.
Например: Информационный или вычислительный центр;
3)	с открытым доступом; организация-потребитель компью-
терной сети (автоматизированной системы управления) оказыва-
48
Раздел I. Автоматизированные системы обработки информации...
ет услуги населению. Например: электронная библиотека, бан-
ковская финансово-кредитная автоматизированная система.
Системы с открытым доступом называются так условно в
том смысле, что любой человек может воспользоваться их услу-
гами. На самом же деле каждая автоматизированная система об-
работки информации и данных имеет и закрытую часть, касаю-
щуюся обработки се собственной информации, которая может
быть закрыта для посторонних лиц. Банки и подобные им фи-
нансовые структуры несут также юридическую ответственность
за информацию, доверяемую им их клиентами, т. е. персональ-
ные данные.
Глава 3
ПОТЕНЦИАЛЬНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
Постановка задачи
Исследование и анализ многочисленных случаев воздействий
на информацию и несанкционированного доступа к ней показы-
вают, что их можно разделить на случайные и преднамеренные.
Преднамеренные угрозы часто путем их систематического при-
менения могут быть приведены в исполнение через случайные
путем долговременной массированной атаки несанкционирован-
ными запросами или вирусами.
Последствия, к которым приводит реализация угроз:
•	разрушение (утрата) информации;
•	модификация (изменение информации на ложную, которая
корректна по форме и содержанию, но имеет другой смысл);
•	ознакомление с ней посторонних лиц.
Цена указанных событий может быть самой различной: от
невинных недоразумений до сотен тысяч долларов и более.
Предупреждение приведенных последствий в информацион-
ной системе и есть основная цель создания системы безопасно-
сти информации.
Для создания средств защиты информации необходимо
определить природу угроз, формы и пути их возможного прояв-
ления и осуществления в информационной системе. Для реше-
Глава 3. Потенциальные угрозы безопасности информации в ИС
49
ния поставленной задачи все многообразие угроз и путей их воз-
действия приведем к простейшим видам и формам, которые
были бы адекватны их множеству в информационной системе.
Случайные угрозы
Информация в процессе ввода, хранения, обработки, вывода
и передачи подвергается различным случайным воздействиям.
В результате таких воздействий на аппаратном уровне происхо-
дят физические изменения уровней сигналов в цифровых кодах,
несущих информацию.
При этом наблюдаются в одном или двух, трех и т. д. разря-
дах изменения 1 на 0 или 0 на 1, или то и другое вместе, но в
разных разрядах, следствием этого в итоге является изменение
значения кода на другое. Далее, если применяемые для этой
цели средства функционального контроля способны обнаружить
эти изменения (например, контроль по модулю 2 легко обнару-
живает однократную ошибку), производится браковка данного
кода, а устройство, блок, модуль или микросхема, участвующие
в обработке, объявляются неисправными. Если функциональ-
ный контроль отсутствует или не способен обнаружить неис-
правность на данном этапе обработки, процесс обработки про-
должается по ложному пути, т. е. происходит модификация ин-
формации. В процессе дальнейшей обработки в зависимости от
содержания и назначения ложной команды возможна либо пе-
ресылка информации по ложному адресу, либо передача лож-
ной информации адресату, либо стирание или запись другой
информации в оперативном запоминающем устройстве или дис-
танционном запоминающем устройстве (внешнем), т. е. возни-
кают нежелательные события: разрушение (утрата), модифика-
ция и утечка информации.
На программном уровне в результате случайных воздействий
может произойти изменение алгоритма обработки информации
на непредусмотренный, характер которого тоже может быть раз-
личным: в лучшем случае — остановка информационного или
вычислительного процесса, а в худшем — его модификация.
Если средства функционального контроля ее не обнаруживают,
последствия модификации алгоритма или данных могут пройти
незамеченными или привести также к разрушению информации,
а при перепутывании адреса устройства — к утечке информации.
50
Раздел I. Автоматизированные системы обработки информации...
При программных ошибках могут подключаться программы вво-
да-вывода и передачи их на запрещенные устройства.
Причинами случайных воздействий при эксплуатации авто-
матизированной системы могут быть:
•	отказы и сбои аппаратуры;
•	помехи на линиях связи от воздействий внешней среды;
•	ошибки человека как звена системы;
•	схемные и системотехнические ошибки разработчиков;
•	структурные, алгоритмические и программные ошибки;
•	аварийные ситуации и другие воздействия.
Частота отказов и сбоев аппаратуры увеличивается при вы-
боре и проектировании системы, слабой в отношении надежно-
сти функционирования аппаратуры. Помехи на линиях связи за-
висят от правильности выбора места размещения технических
средств информационной системы относительно друг друга и по
отношению к аппаратуре и агрегатам соседних систем.
При разработке сложных автоматизированных систем увели-
чивается число схемных, системотехнических, структурных, ал-
горитмических и программных ошибок. На их количество в про-
цессе проектирования оказывает большое влияние много других
факторов: квалификация разработчиков, условия их работы, на-
личие опыта и др.
На этапах изготовления и испытаний на качество входящей в
информационную систему аппаратуры влияют полнота и качест-
во документации, по которой ее изготавливают, технологическая
дисциплина и другие факторы.
К ошибкам человека как звена системы следует относить
ошибки человека как источника информации, человека-опера-
тора, неправильные действия обслуживающего персонала и
ошибки человека как звена, принимающего решения.
Ошибки человека могут подразделяться на логические (непра-
вильно принятые решения), сенсорные (неправильное воспри-
ятие оператором информации) и оперативные, или .моторные
(неправильная реализация решения). Интенсивность ошибок че-
ловека может колебаться в широких пределах: от 1—2 % до
15—40 % и выше общего числа операций, выполняемых при ре-
шении задачи.
Хотя человек как элемент системы обладает по сравнению с
техническими средствами рядом преимуществ (адаптируемо-
стью, обучаемостью, эвристичностью, избирательностью, спо-
собностью к работе в конфликтных ситуациях), он в то же время
Глава 3. Потенциальные угрозы безопасности информации в ИС
51
имеет ряд недостатков, основными из которых являются: утом-
ляемость, зависимость психологических параметров от возраста,
чувствительность к изменениям окружающей среды, зависи-
мость качества работы от физического состояния, эмоциональ-
ность.
Для расчета достоверности выходной информации важны
статистические данные по уровню ошибок человека как звена
системы. Интенсивность ошибок человека-оператора составляет
2 • Ю’2—4- 10“\ Количество ошибок при работе человека-опера-
тора, точнее, вероятность ошибок зависит от общего количества
кнопок, количества кнопок в ряду, числа кнопок, которые необ-
ходимо нажимать одновременно, и расстояния между краями
кнопок.
Немаловажное значение имеют также ошибки человека как
звена системы, принимающего решение. Особенно важное зна-
чение проблема борьбы с ошибками такого рода приобретает в
автоматизированных информационных системах управления ад-
министративного типа. Ошибки человека как звена системы,
принимающего решение, определяются неполной адекватностью
представления человеком реальной ситуации и свойством чело-
века с заранее определенной установкой действовать по ранее
намеченной программе. Например, руководитель, будучи зара-
нее уверен, что мастер завысил требуемое количество дефицит-
ного материала, уменьшает соответствующую заявку и тем са-
мым вводит в систему ошибочные данные.
Другой важной особенностью человека является стремление
к построению упрощенной модели рассматриваемой ситуации.
Неверное упрощение конкретной ситуации, исключение из нее
важных моментов и принятое при этом решение могут оказаться
ошибочными.
К угрозам случайного характера следует также отнести ава-
рийные ситуации, которые могут возникнуть на объекте разме-
щения автоматизированной информационной системы. К ава-
рийным ситуациям относятся:
•	отказ функционирования информационной системы в це-
лом, например выход из строя электропитания и осве-
щения;
•	стихийные бедствия: пожар, наводнение, землетрясение,
ураганы, удары молнии, обвалы и т. д.;
•	отказ системы жизнеобеспечения на объекте эксплуатации
информационной системы.
52
Раздел I. Автоматизированные системы обработки информации...
Вероятность этих событий связана прежде всего с правиль-
ным выбором места размещения информационной системы или
ее элементов, включая географическое положение, и организа-
цией противопожарных мероприятий.
Преднамеренные угрозы
Преднамеренные угрозы связаны с различными действиями
человека, причинами которых может быть достаточно большой
спектр его состояний: определенное недовольство своей жизнен-
ной ситуацией, сугубо материальный интерес или простое раз-
влечение с самоутверждением своих способностей и т. д. Мы не
рассматриваем данные причины состояния человека.
Наша задача — предупреждение, обнаружение и блокировка
возможных действий злоумышленника в информационной сис-
теме. Потенциальные угрозы с этой стороны будут рассмотрены
только в техническом аспекте.
Для постановки более конкретной задачи проанализируем
объект защиты информации на предмет ввода-вывода, хранения
и обработки информации и возможностей нарушителя по досту-
пу к информации при отсутствии средств защиты в данной авто-
матизированной системе.
В качестве объекта защиты согласно классификации выби-
раем компьютерную систему, которая может быть элементом
компьютерной сети или большой автоматизированной системы
управления. Для компьютерных систем в этом случае характер-
ны следующие штатные (законные) каналы доступа к инфор-
мации:
•	терминалы (рабочие станции, персональные компьютеры)
пользователей;
•	терминал (сервер или специализированная рабочая стан-
ция) администратора системы;
•	терминал (рабочая станция) оператора функционального
контроля;
•	средства отображения информации;
•	средства документирования информации;
•	средства загрузки программного обеспечения в компьютер-
ный комплекс;
•	носители информации (оперативное запоминающее уст-
ройство, дистанционное запоминающее устройство, уст-
Глава 3. Потенциальные угрозы безопасности информации в ИС
53
ройство резервирования и архивирования, бумажные носи-
тели);
•	внешние каналы связи.
Имея в виду, что при отсутствии зашиты нарушитель может
воспользоваться как штатными, так и другими физическими ка-
налами доступа, назовем возможные каналы несанкционирован-
ного доступа (ВКНСД) в компьютерной системе, через которые
возможно получить доступ к аппаратуре, программному обеспе-
чению и осуществить хищение, разрушение, модификацию ин-
формации и ознакомление с нею:
•	все перечисленные выше штатные средства при их исполь-
зовании законными пользователями не по назначению и за
пределами своих полномочий;
•	все перечисленные выше штатные средства при их исполь-
зовании посторонними лицами;
•	технологические пульты управления;
•	внутренний монтаж аппаратуры;
•	линии связи между аппаратными средствами данной ком-
пьютерной системы;
•	побочное электромагнитное излучение информации с ап-
паратуры системы;
•	побочные наводки информации по сети электропитания и
заземления аппаратуры;
•	побочные наводки информации на вспомогательных и по-
сторонних коммуникациях;
•	отходы обработки информации в виде бумажных, магнит-
ных и лазерных носителей, брошенные в мусорную корзину.
Для наглядности на рис. 1 представлены рисунок типового
объекта автоматизированной обработки информации с центра-
лизованной обработкой данных и потенциальные каналы не-
санкционированного доступа к информации. Обозначения на
рисунке:
1	— несанкционированный доступ к терминалам и персо-
нальным компьютерам;
2	— несанкционированный доступ к средствам отображения
информации;
3	— несанкционированный доступ к носителям информации;
4	— несанкционированный доступ к средствам загрузки про-
грамм ного обеспечения;
5	— несанкционированный доступ к информации при ре-
монте и профилактике аппаратуры;
БАЗА ДАННЫХ И
ИНФОРМАЦИИ
НА НОСИТЕЛЯХ
Компьютерная есть
5 6 9 12
Л?
СЕРВЕРЫ
ОБЕСПЕЧЕНИЯ
РЕЗЕРВИРОВАНИЕ |
ДАНфдХ И &
ИНФОРМАЦИИ
НА НОСИТЕЛЯХ |
з S
а
I i
I S
n S
а
ТЕЛЕФОННАЯ
СВЯЗЬ
Телефонная линия
Шины электропитания
Шина заземления
8^ Каналы связи
Антомализированная
телефонная станция
Электропитание и
заземление
Шина заземления
Шипы электропитания
Телефонная линия
Компьютерная сеть
ТАБЛО
Раздел I. Автоматизированные системы обработки информации...
Рис. 1. Состав типовой аппаратуры автоматизированной системы обработки информации и данных и возможные каналы
несанкционированного доступа к информации
Глава 3. Потенциальные угрозы безопасности информации в ИС
55
6	— несанкционированный доступ к внутреннему монтажу
аппаратуры;
7	— несанкционированный доступ к линиям связи;
8	— несанкционированный доступ к каналам связи;
9	— несанкционированный доступ к информации за счет
побочного электромагнитного излучения информации;
10	— несанкционированный доступ к информации за счет
наводок на цепях электропитания и заземления;
11	— несанкционированный доступ к информации за счет
наводок на цепях вспомогательной и посторонней аппаратуры;
12	— несанкционированный доступ к технологическим
пультам;
13	— доступ к отходам носителей информации.
Очевидно, что при отсутствии законного пользователя, кон-
троля и разграничения доступа к терминалу квалифицирован-
ный нарушитель легко воспользуется его функциональными воз-
можностями для несанкционированного доступа к информации
путем ввода соответствующих запросов или команд. При нали-
чии свободного доступа в помещения можно визуально наблю-
дать информацию на средствах отображения и документирова-
ния, а на последних похитить бумажный носитель, снять лиш-
нюю копию, а также похитить другие носители с информацией:
листинги, магнитные ленты, диски, флэш-носители и т. д. Осо-
бую опасность представляет собой бесконтрольная загрузка про-
граммного обеспечения в компьютер, в котором могут быть из-
менены данные, алгоритмы или введена программа «троянский
конь» — программа, выполняющая дополнительные незаконные
функции: запись информации на посторонний носитель, переда-
чу в каналы связи другого абонента компьютерной сети, внесе-
ние в систему компьютерного вируса и т. д. При отсутствии раз-
граничения и контроля доступа к технологической и оператив-
ной информации возможен доступ к оперативной информации
со стороны терминала функционального контроля. Опасной яв-
ляется ситуация, когда нарушителем является пользователь ком-
пьютерной системы, который по своим функциональным обя-
занностям имеет законный доступ к одной части информации, а
обращается к другой за пределами своих полномочий.
Со стороны законного пользователя существует много спосо-
бов нарушать работу информационной системы, злоупотреблять
сю, извлекать, модифицировать или уничтожать информацию.
Для этой цели могут быть использованы привилегированные ко-
56
Раздел I. Автоматизированные системы обработки информации...
манды ввода-вывода, отсутствие контроля законности запроса и
обращений к адресам памяти запоминающих устройств и т. д.
При неоднозначной идентификации ресурсов нарушитель может
подавить системную библиотеку своей библиотекой, а модуль, за-
гружаемый из его библиотеки, может быть введен в супервизор-
ном режиме. Свободный доступ позволит ему обращаться к чу-
жим файлам и банкам данных и изменить их случайно или пред-
намеренно.
При техническом обслуживании (профилактике и ремонте)
аппаратуры могут быть обнаружены остатки информации на
магнитной ленте или дисках, поверхностях дисков и других но-
сителях информации. Стирание информации обычными метода-
ми при этом нс всегда эффективно. Ес остатки могут быть легко
прочитаны. При транспортировании носителя по неохраняемой
территории существует опасность его перехвата и последующего
ознакомления посторонних лиц с секретной информацией.
Не имеет смысла создание системы контроля и разграниче-
ния доступа к информации на программном уровне, если не
контролируется доступ к пульту управления компьютера, внут-
реннему монтажу аппаратуры, кабельным соединениям.
Нарушитель может стать незаконным пользователем системы
в режиме разделения времени, определив порядок работы закон-
ного пользователя либо работая вслед за ним по одним и тем же
линиям связи. Он может также использовать метод проб и оши-
бок и реализовать «дыры» в операционной системе, прочитать
пароли. Без знания паролей он может осуществить «селектив-
ное» включение в линию связи между терминалом и головным
компьютером (сервером); без прерывания работы законного
пользователя может продлить ее от его имени, аннулировав сиг-
налы отключения законного пользователя.
Процессы обработки, передачи и хранения информации ап-
паратными средствами автоматизированной системы обеспечи-
ваются срабатыванием логических элементов, построенных на
базе полупроводниковых приборов, выполненных чаще всего в
виде интегральных схем.
Срабатывание логических элементов обусловлено высоко-
частотным изменением уровней напряжений и токов, что приво-
дит к возникновению в эфире, цепях питания и заземления, а
также в параллельно расположенных цепях и индуктивностях
посторонней аппаратуры электромагнитных полей и наводок,
несущих в амплитуде, фазе и частоте своих колебаний признаки
Глава 3. Потенциальные угрозы безопасности информации в ИС
57
обрабатываемой информации. Использование нарушителем раз-
личных приемников может привести к их приему и утечке ин-
формации. С уменьшением расстояния между приемником на-
рушителя и аппаратными средствами вероятность приема сигна-
лов такого рода увеличивается.
Непосредственное подключение нарушителем приемной ап-
паратуры и специальных датчиков к цепям электропитания и за-
земления, к каналам связи также позволяет совершить несанк-
ционированное ознакомление с информацией, а несанкциони-
рованное подключение к каналам связи передающей аппаратуры
может привести и к модификации информации.
Особо следует остановиться на угрозах, которым могут под-
вергаться каналы и линии связи компьютерной сети.
Предположим, что нарушитель может располагаться в неко-
торой точке сети, через которую должна проходить вся интере-
сующая его информация. Например, в межсетевых условиях на-
рушитель может принять вид шлюза в некоторой промежуточной
сети, которая обеспечивает единственный путь соединения между
двумя процессами, являющимися концами интересующего нару-
шителя соединения, как показано на рис. 2. В этом случае, не-
смотря на то, что сеть-источник (А) и сеть-адресат (Г) защищены,
нарушитель может воздействовать на соединение, так как оно
проходит через шлюз, соединяющий сети Б и В. В общем случае
предполагается, что нарушитель может занимать позицию, позво-
ляющую осуществлять пассивный и активный перехват.
В случае пассивного перехвата нарушитель только следит за
сообщениями, передаваемыми по соединению, без вмешательст-
ва в их поток. Наблюдение нарушителя за данными (прикладно-
го уровня) в сообщении позволяет раскрыть содержание сообще-
ний, Нарушитель может также следить за заголовками сообще-
ний, даже если данные не понятны ему, с целью определения
места размещения и идентификаторов процессов, участвующих
в передаче данных. Нарушитель может определить длины сооб-
щений и частоту их передачи для определения характера переда-
ваемых данных, т. е. провести анализ потока сообщений.
Нарушитель может также заниматься активным перехватом,
выполняя множество действий над сообщениями, передаваемы-
ми по соединению. Эти сообщения могут быть выборочно изме-
нены, уничтожены, задержаны, переупорядочены, сдублированы
и введены в соединение в более поздний момент времени. Нару-
шитель может создавать поддельные сообщения и вводить их в
58
Раздел I. Автоматизированные системы обработки информации...
Рис. 2. Схема возможного подключения нарушителя к компьютерной сети
соединение. Подобные действия можно определить как измене-
ние потока и содержания сообщений.
Кроме того, нарушитель может сбрасывать все сообщения
или задерживать их. Подобные действия можно классифициро-
вать как прерывание передачи сообщений.
Попытки использования записи предыдущих последователь-
ностей сообщений по инициированию соединений классифици-
руются как инициирование ложного соединения.
Сформулируем пять основных категорий угроз безопасности
информации и данных в компьютерных сетях:
1)	раскрытие содержания передаваемых сообщений;
2)	анализ трафика, позволяющий определить принадлеж-
ность отправителя и получателя данных к одной из групп поль-
зователей сети, связанных общей задачей;
3)	изменение потока сообщений, что может привести к нару-
шению режима работы какого-либо объекта, управляемого с
удаленного компьютера;
4)	неправомерный отказ в предоставлении услуг;
5)	несанкционированное установление соединения.
Глава 3. Потенциальные угрозы безопасности информации в ИС
59
Данная классификация не противоречит определению тер-
мина «безопасность информации» и делению потенциальных
угроз на утечку, модификацию и утрату информации.
Угрозы 1 и 2 можно отнести к утечке информации, угрозы 3
и 5 — к ее модификации, а угрозу 4 — к нарушению процесса
обмена информацией, т. е. к ее потере для получателя.
В компьютерных сетях нарушитель может применять сле-
дующие стратегии:
I)	получить несанкционированный доступ к секретной ин-
формации;
2)	выдать себя за другого пользователя, чтобы снять с себя
ответственность или же использовать его полномочия с целью
формирования ложной информации, изменения законной ин-
формации, применения ложного удостоверения личности, санк-
ционирования ложных обменов информацией или же их под-
тверждения;
3)	отказаться от факта формирования переданной инфор-
мации;
4)	утверждать о том, что информация получена от некото-
рого пользователя, хотя на самом деле она сформирована самим
же нарушителем;
5)	утверждать то, что получателю в определенный момент
времени была послана информация, которая на самом деле не
посылалась (или посылалась в другой момент времени);
6)	отказаться от факта получения информации, которая на
самом деле была получена, или утверждать о другом времени ее
получения;
7)	незаконно расширить свои полномочия по доступу к ин-
формации и ее обработке;
8)	незаконно изменить полномочия других пользователей
(расширить или ограничить, вывести или ввести других лиц);
9)	скрыть факт наличия некоторой информации в другой
информации (скрытая передача одной в содержании другой ин-
формации);
10)	подключиться к линии связи между другими пользовате-
лями в качестве активного ретранслятора;
11)	изучить, кто, когда и к какой информации получает до-
ступ (даже если сама информация остается недоступной);
12)	заявить о сомнительности протокола обеспечения ин-
формацией из-за раскрытия некоторой информации, которая
согласно условиям протокола должна оставаться секретной;
60
Раздел I. Автоматизированные системы обработки информации...
13)	модифицировать программное обеспечение путем исклю-
чения или добавления новых функций;
14)	преднамеренно изменить протокол обмена информацией
с целью его нарушения или подрыва доверия к нему;
15)	помешать обмену сообщениями между другими пользо-
вателями путем введения помех с целью нарушения аутентифи-
кации сообщений.
Анализ последних возможных стратегий нарушителя в ком-
пьютерных сетях говорит о том, насколько важно знать, кого
считать нарушителем. При этом в качестве нарушителя рассмат-
ривается не только постороннее лицо, но и законный пользова-
тель. По-видимому, эти задачи следует рассматривать отдельно.
С этих позиций приведенные выше пять видов угроз характерны
для поведения постороннего нарушителя. Тогда из числа послед-
них угроз можно отнести к пяти упомянутым выше видам сле-
дующие угрозы: 1, 10, 11, 15.
Анализ остальных угроз свидетельствует о том, что задачу за-
щиты от них можно условно разделить на задачи двух уровней:
пользователей и элементов сети, с которыми работают пользова-
тели сети. К уровню элемента сети можно отнести угрозы под
номерами 2, 7, 8, 13 и 14. Уровень взаимоотношений пользова-
телей называется уровнем доверия одного пользователя другому.
Для обеспечения гарантий этого доверия, очевидно, потребуют-
ся специальные средства и критерии оценки их эффективности.
Контрольные вопросы
1.	Определите понятие «информация». Приведите классификацию информации
по уровню важности для организации. Определите содержание конфиденци-
альности информации.
2.	Опишите основные пути информации в ее жизненном цикле.
3.	Что содержит в себе состав информационной базы информационной сис-
темы?
4.	Каково устройство компьютерного комплекса с прямой связью между компь-
ютером? Что такое многопроцессорный комплекс?
5.	Объясните принцип работы системы телеобработки информации и данных.
6.	Приведите классификацию информационных сетей.
7.	Опишите возможные структуры организации автоматизированных систем
управления.
8.	Перечислите последствия реализации угроз информационной безопасности.
Раздел II
МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ
Глава 1
КРАТКИЙ ОБЗОР МЕТОДОВ ОБЕСПЕЧЕНИЯ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Основными методами, проверенными временем и не теряю-
щими своей актуальности, принято считать:
•	ограничение доступа;
•	разграничение доступа;
•	разделение доступа (привилегий);
•	криптографическое преобразование информации;
•	контроль и учет доступа;
•	законодательные меры.
Указанные методы осуществлялись чисто организационно
или с помощью технических средств.
С появлением автоматизированной обработки информации
изменился и дополнился новыми видами физический носи-
тель информации и усложнились технические средства ее об-
работки.
С усложнением обработки, увеличением количества техниче-
ских средств, участвующих в ней, увеличиваются количество и
виды случайных воздействий, а также возможные каналы не-
санкционированного доступа. С увеличением объемов, сосредо-
точением информации, увеличением количества пользователей и
62
Раздел II. Методы обеспечения безопасности информации...
другими указанными выше причинами возрастает вероятность
преднамеренного несанкционированного доступа к информа-
ции. В связи с этим развиваются старые и возникают новые до-
полнительные методы защиты информации в компьютерных
системах:
•	функционального контроля, обеспечивающие обнаружение
и диагностику отказов, сбоев аппаратуры и ошибок челове-
ка, а также программные ошибки;
•	повышения достоверности информации;
•	защиты информации от аварийных ситуаций;
•	контроля доступа к внутреннему монтажу аппаратуры,
линиям связи и технологическим органам управления;
•	разграничения и контроля доступа к информации;
•	идентификации и аутентификации пользователей, техни-
ческих средств, носителей информации и документов;
•	защиты от побочного излучения и наводок информации.
Рассмотрим каждый из методов подробнее и оценим его воз-
можности в плане дальнейшего их использования при проекти-
ровании и эксплуатации конкретных средств защиты информа-
ции в информационных системах и системах обработки данных:
компьютерных системах, сетях и автоматизированных системах
управления.
Глава 2
ОГРАНИЧЕНИЕ ДОСТУПА
Ограничение доступа заключается в создании некоторой
физической замкнутой преграды (периметра) вокруг объекта
зашиты с организацией контролируемого доступа лиц, связан-
ных с объектом зашиты по своим функциональным обязанно-
стям.
Ограничение доступа к комплексам средств автоматизации
(КСА) обработки информации заключается:
•	в выделении специальной территории для размещения
комплекса средств автоматизации;
•	сооружении по периметру зоны специальных ограждений с
охранной сигнализацией;
•	сооружении специальных зданий или других сооружений;
Глава 2. Ограничение доступа
63
•	выделении специальных помещений в здании;
•	создании контрольно-пропускного режима на территории,
в зданиях и помещениях.
Задача средств ограничения доступа — исключить случайный
и преднамеренный доступ посторонних лиц на территорию раз-
мещения комплекса средств автоматизации и непосредственно к
аппаратуре. В указанных целях создастся защитный контур, за-
мыкаемый двумя видами преград: физической и контрольно-про-
пускной. Такие преграды часто называют системой охранной сиг-
нализации и системой контроля доступа.
Традиционные средства контроля доступа в защищаемую
зону: изготовление и выдача допущенным лицам специальных
пропусков с размещенной на них фотографией личности вла-
дельца и сведений о нем. Данные пропуска могут храниться у
владельца или непосредственно в пропускной кабине охраны.
В последнем случае допущенное лицо называет фамилию и свой
номер либо набирает его на специальной панели кабины при
проходе через турникет; пропускное удостоверение выпадает из
гнезда и поступает в руки работника охраны, который визуально
сверяет личность владельца с изображением на фотографии, на-
званную фамилию с фамилией на пропуске. Эффективность за-
щиты данной системы выше первой. При этом исключается по-
теря пропуска, его перехват и подделка. Кроме того, есть резерв в
повышении эффективности защиты с помощью увеличения ко-
личества проверяемых параметров. Однако основная нагрузка по
контролю при этом ложится на человека, а он, как известно, мо-
жет ошибаться.
В настоящее время применяются биометрические методы
аутентификации человека, когда в качестве идентификаторов
используются отпечатки пальцев, ладони, голос, личная под-
пись, сетчатки глаз и т. д.
Совершенствование контрольно-пропускной системы ведет-
ся также в направлении совершенствования конструкции про-
пуска-удостоверения личности путем записи кодовых значений
паролей.
Физическая преграда защитного контура, размещаемая по
периметру охраняемой зоны, снабжается охранной сигнализа-
цией.
В настоящее время ряд предприятий выпускает электронные
системы для защиты государственных и частных объектов от
проникновения в них посторонних лиц. Гарантировать эффек-
64
Раздел II. Методы обеспечения безопасности информации...
тивность системы охранной сигнализации можно только в том
случае, если обеспечены надежность всех ее составных элемен-
тов и их согласованное функционирование. При этом имеют
значение тип датчика, способ оповещения или контроля, поме-
хоустойчивость, а также реакция на сигнал тревоги. Местная
звуковая или световая сигнализация может оказаться недоста-
точной, поэтому местные устройства охраны целесообразно под-
ключить к специализированным средствам централизованного
управления, которые при получении сигнала тревоги высылают
специальную группу охраны.
Следить за состоянием датчиков может автоматическая систе-
ма, расположенная в центре управления, или сотрудник охраны,
который находится на объекте и при световом или звуковом сиг-
нале принимает соответствующие меры. В первом случае местные
охранные устройства подключаются к центру через телефонные
линии, а специализированное цифровое устройство осуществляет
периодический опрос состояния датчиков, автоматически наби-
рая номер присмоотвстчика. расположенного на охраняемом объ-
екте. При поступлении в центр сигнала тревоги автоматическая
система включает сигнал оповещения.
Датчики сигналов устанавливаются на различного рода
ограждениях, внутри помещений, непосредственно на сейфах
и т. д.
При разработке комплексной системы охраны конкретного
объекта учитывают его специфику: внутреннюю планировку зда-
ния, окон, входной двери, размещение наиболее важных техни-
ческих средств.
Все эти факторы влияют на выбор типа датчиков, их распо-
ложение и определяют ряд других особенностей данной систе-
мы. По принципу действия системы тревожной сигнализации
классифицируются следующим образом:
•	традиционные (обычные), основанные на использовании
цепей сигнализации и индикации в комплексе с различны-
ми контактами (датчиками);
•	ультразвуковые:
•	прерывания луча;
•	телевизионные;
•	радиолокационные;
•	микроволновые;
•	прочие.
Глава 3. Контроль доступа к аппаратуре
65
Глава 3
КОНТРОЛЬ ДОСТУПА К АППАРАТУРЕ
В целях контроля доступа к внутреннему монтажу, линиям свя-
зи и технологическим органам управления используется аппаратура
контроля вскрытия аппаратуры. Это означает, что внутренний мон-
таж аппаратуры и технологические органы и пульты управления за-
крыты крышками, дверцами или кожухами, на которые установле-
ны датчики. Датчики срабатывают при вскрытии аппаратуры и вы-
дают электрические сигналы, которые по цепям сбора поступают на
централизованное устройство контроля. Установка такой системы
имеет смысл при наиболее полном перекрытии всех технологиче-
ских подходов к аппаратуре, включая средства загрузки программ-
ного обеспечения, пульт управления компьютера и внешние кабель-
ные соединители технических средств, входящих в состав компью-
терной системы. В идеальном случае для систем с повышенными
требованиями к эффективности защиты информации целесообраз-
но аппаратные средства закрывать крышками под механический за-
мок с датчиком или ставить под контроль включение также штат-
ных средств входа в систему — терминалов пользователей.
Контроль вскрытия аппаратуры необходим не только в инте-
ресах защиты информации от несанкционированного доступа,
но и для соблюдения технологической дисциплины в целях
обеспечения нормального функционирования компьютерной
системы, потому что часто при эксплуатации параллельно реше-
нию основных задач производится ремонт или профилактика
аппаратуры, и может оказаться, что случайно забыли подклю-
чить кабель или с пульта компьютера изменили программу обра-
ботки информации. С позиций защиты информации от несанк-
ционированного доступа контроль вскрытия аппаратуры защи-
щает от следующих действий:
•	изменения и разрушения принципиальной схемы компью-
терной системы и аппаратуры;
•	подключения постороннего устройства;
•	изменения алгоритма работы компьютерной системы путем
использования технологических пультов и органов управ-
ления;
•	загрузки посторонних программ и внесения программных
«вирусов» в систему;
•	использования терминалов посторонними лицами и т. д.
66
Раздел II. Методы обеспечения безопасности информации...
Основная задача систем контроля вскрытия аппаратуры —
перекрытие на период эксплуатации всех нештатных и техноло-
гических подходов к аппаратуре. Если последние потребуются в
процессе эксплуатации системы, выводимая на ремонт или про-
филактику аппаратура перед началом работ отключается от ра-
бочего контура обмена информацией, подлежащей защите, и
вводится в рабочий контур под наблюдением и контролем лиц,
ответственных за безопасность информации.
Доступ к штатным входам в систему (терминалам) контроли-
руется с помощью контроля выдачи механических ключей поль-
зователям, а доступ к информации — с помощью системы опо-
знания и разграничения доступа, включающей применение ко-
дов паролей, соответствующие функциональные задачи
программного обеспечения и специального терминала службы
безопасности информации.
Указанный терминал и устройство контроля вскрытия аппа-
ратуры входят в состав рабочего места службы безопасности ин-
формации, с которого осуществляется централизованный кон-
троль доступа к аппаратуре и информации и управление се за-
щитой на данной компьютерной системе.
Глава 4
РАЗГРАНИЧЕНИЕ И КОНТРОЛЬ ДОСТУПА
К ИНФОРМАЦИИ В СИСТЕМЕ
Разграничение доступа в информационной системе заключа-
ется в разделении информации, циркулирующей в ней, на части
и организации доступа к ней должностных лиц в соответствии с
их функциональными обязанностями и полномочиями.
Задача разграничения доступа: сокращение количества долж-
ностных лиц, нс имеющих к ней отношения при выполнении
своих функций, т. с. защита информации от нарушителя среди
допущенного к ней персонала.
При этом деление информации может производиться по сте-
пени важности, секретности, по функциональному назначению,
по документам и т. д.
Принимая во внимание, что доступ осуществляется с различ-
ных технических средств, начинать разграничение можно путем
разграничения доступа к техническим средствам, разместив их в
Глава 4. Разграничение и контроль доступа к информации в системе
67
отдельных помещениях. Все подготовительные функции техни-
ческого обслуживания аппаратуры, ее ремонта, профилактики,
перезагрузки программного обеспечения и т. д. должны быть
технически и организационно отделены от основных задач сис-
темы. Информационная система в целом, а также комплекс
средств автоматизации и организация их обслуживания должны
быть построены следующим образом:
•	техническое обслуживание комплекса средств автоматиза-
ции в процессе эксплуатации должно выполняться отдель-
ным персоналом без доступа к информации, подлежащей
защите;
•	перезагрузка программного обеспечения и всякие его изме-
нения должны производиться специально выделенным для
этой цели проверенным специалистом;
•	функции обеспечения безопасности информации должны
выполняться специальным подразделением в организа-
ции — владельце комплекса средств автоматизации, компь-
ютерной сети, автоматизированной системы управления
или информационной системы в целом;
•	организация доступа пользователей к устройствам памяти
(хранения) информационной системы должна обеспечи-
вать возможность разграничения доступа к информации,
хранящейся на них, с достаточной степенью детализации и
в соответствии с заданными уровнями (политиками) пол-
номочий пользователей;
•	регистрация и документирование технологической и опера-
тивной информации должны быть разделены.
Разграничение доступа пользователей-потребителей инфор-
мационной системы может осуществляться также по следующим
параметрам:
•	по виду, характеру, назначению, степени важности и сек-
ретности информации;
•	способам ее обработки: считать, записать, внести измене-
ния, выполнить команду;
•	условному номеру терминала;
•	времени обработки и др.
Принципиальная возможность разграничения по указанным
параметрам должна быть обеспечена проектом информационной
системы. А конкретное разграничение при эксплуатации систе-
мы устанавливается потребителем и вводится в систему его под-
разделением, отвечающим за безопасность информации.
68
Раздел II. Методы обеспечения безопасности информации...
В указанных целях при проектировании и планировании экс-
плуатации базового информационного и вычислительного ком-
плекса с учетом комплекса средств автоматизации производятся:
•	разработка или адаптация операционной системы с воз-
можностью реализации разграничения доступа к информа-
ции, хранящейся в памяти вычислительного комплекса;
•	изоляция областей доступа;
•	разделение базы данных на группы;
•	процедуры контроля перечисленных функций.
При проектировании и эксплуатации комплекса средств ав-
томатизации, автоматизированной системы управления и ин-
формационной системы в целом (сети) на их базе производятся:
•	разработка и реализация функциональных задач по разгра-
ничению и контролю доступа к аппаратуре и информации
как в рамках данного комплекса средств автоматизации,
так и информационной системы в целом;
•	разработка аппаратных средств идентификации и аутенти-
фикации пользователя;
•	разработка программных средств контроля и управления
разграничением доступа;
•	разработка отдельной эксплуатационной документации на
средства идентификации, аутентификации, разграничения
и контроля доступа.
В качестве идентификаторов личности для реализации разгра-
ничения широко распространено применение кодов паролей, ко-
торые хранятся в памяти пользователя и комплекса средств авто-
матизации. В помощь пользователю в системах с повышенными
требованиями большие значения кодов паролей записываются на
специальные носители — электронные ключи или карточки.
Глава 5
РАЗДЕЛЕНИЕ ПРИВИЛЕГИЙ НА ДОСТУП
Разделение привилегий на доступ к информации заключает-
ся в том, что из числа допущенных к ней должностных лиц вы-
деляется группа, которой предоставляется доступ только при од-
новременном предъявлении полномочий всех членов группы.
Задача указанного метода — существенно затруднить предна-
меренный перехват информации нарушителем. Примером такого
Глава 6. Идентификация и установление подлинности объекта
69
доступа может быть сейф с несколькими ключами, замок которо-
го открывается только при наличии всех ключей. Аналогично в
информационной системе может быть предусмотрен механизм
разделения привилегий при доступе к особо важным данным с
помощью кодов паролей.
Данный метод несколько усложняет процедуру, но обладает
высокой эффективностью защиты. На его принципах можно ор-
ганизовать доступ к данным с санкции вышестоящего лица по
запросу или без него.
Сочетание двойного криптографического преобразования
информации и метода разделения привилегий позволяет обеспе-
чить высокоэффективную защиту информации от преднамерен
ного несанкционированного доступа.
Кроме того, при наличии дефицита в средствах, а также в
целях постоянного контроля доступа к ценной информации со
стороны администрации потребителя информационной системы
в некоторых случаях возможен вариант использования права на
доступ к информации нижестоящего руководителя только при
наличии его идентификатора и идентификатора его заместителя
или представителя службы безопасности информации. При этом
информация выдается только на дисплей руководителя, а на
дисплей подчиненного — только информация о факте ее вызова.
Глава 6
ИДЕНТИФИКАЦИЯ И УСТАНОВЛЕНИЕ ПОДЛИННОСТИ
ОБЪЕКТА (СУБЪЕКТА)
Объект идентификации и установление подлинности
Идентификация — это присвоение какому-либо объекту или
субъекту уникального образа, имени или числа. Установление
подлинности (аутентификация) заключается в проверке, являет-
ся ли проверяемый объект (субъект) в самом деле тем, за кого
себя выдает.
Конечная цель идентификации и установления подлинности
объекта в компьютерной системе — допуск его к информации
ограниченного пользования в случае положительного исхода
70
Раздел II. Методы обеспечения безопасности информации...
проверки или отказ в допуске в случае отрицательного исхода
проверки.
Объектами идентификации и установления подлинности в
компьютерной системе могут быть:
•	человек (оператор, пользователь, должностное лицо);
•	техническое средство (терминал, дисплей, компьютер, ком-
плекс средств автоматизации);
•	документы (распечатки, листинги и др.);
•	носители информации (магнитные ленты, диски и др.);
•	информация на дисплее, табло и т. д.
Установление подлинности объекта может производиться че-
ловеком, аппаратным устройством, программой, компьютерной
системой и т. д.
В компьютерных системах применение указанных методов в
целях защиты информации при се обмене предполагает конфи-
денциальность образов и имен объектов.
При обмене информацией между человеком и компьютером
(а при удаленных связях обязательно), компьютерными и вычис-
лительными системами в сети рекомендуется предусмотреть вза-
имную проверку подлинности полномочий объекта или субъек-
та. В указанных целях необходимо, чтобы каждый из объектов
(субъектов) хранил в своей памяти, недоступной для посторон-
них, список образов (имен) объектов (субъектов), с которыми
производится обмен информацией, подлежащей защите.
Идентификация и установление подлинности
личности
В повседневной жизни идентификатором личности является
его внешний вид: фигура, форма головы, черты лица, характер,
его привычки, поведение и другие свойственные данному чело-
веку признаки, которые создают образ данного человека и кото-
рые сознательно или подсознательно мы приобретаем в процес-
се общения с ним и храним в своей памяти. При появлении че-
ловека по этим признакам мы узнаем или нс узнаем в нем
своего знакомого. С течением времени после длительного пере-
рыва постепенно те или иные признаки стираются из нашей па-
мяти. У каждого человека эти признаки формируют различные
образы одного и того же человека, в чем-то совпадающие или не
Глава 6. Идентификация и установление подлинности объекта
71
совпадающие. С течением времени меняется также сам чело-
век — объект идентификации. Изложенные обстоятельства и
трудности технической реализации средств идентификации ука-
занных признаков в компьютерной технике заставляют искать
другие пути решения задачи.
Известно, что отпечатки пальцев и очертания ладони руки,
тембр голоса, личная подпись и другие элементы личности но-
сят индивидуальный характер и сохраняются на протяжении
всей жизни человека. В настоящее время в этом направлении на
рынке достаточно много решений и все зависит от уровня по-
ставленной задачи и объема ее финансирования.
Здесь существуют две задачи, которые необходимо решить
одновременно. Для выполнения первой задачи (допуска) не тре-
буется большого объема информации об образе (скажем даже,
что чем меньше, тем лучше), а для выполнения второй (отказа) —
информацию об образе необходимо увеличить на максимально
возможную величину.
Современные системы распознавания образа и возможно-
сти техники вполне соответствуют уровню развития данных
технологий, хотя пока остаются довольно дорогостоящими ре-
шениями.
Кроме того, системы идентификации и установления под-
линности личности, основанные на антропометрических и фи-
зиологических данных человека, не отвечают самому важному
требованию: конфиденциальности, так как записанные на физи-
ческие носители данные хранятся постоянно и фактически явля-
ются ключом к информации, подлежащей защите, а постоянный
ключ в конце концов становится доступным.
Типичным примером простой и распространенной системы
аутентификации является система «ключ—замок», в которой
владелец ключа является объектом установления подлинности.
Но ключ можно потерять, похитить или снять с него копию, так
как идентификатор личности физически от нее отделен. Система
«ключ—замок» имеет локальное применение. Однако в сочета-
нии с другими системами аутентификации и в условиях пони-
женных требований она применяется до сих пор. В электромеха-
ническом замке вместо ключа может применяться код.
Одним из распространенных методов аутентификации явля-
ется присвоение лицу или другому объекту уникального имени
или числа — пароля — и хранение его значения в компьютерной
системе. При входе в вычислительную систему пользователь вво-
72
Раздел II. Методы обеспечения безопасности информации...
дит через терминал свой код пароля, вычислительная система
сравнивает его значение со значением, хранящимся в своей па-
мяти, и при совпадении кодов открывает доступ к разрешенной
функциональной задаче, а при несовпадении — отказывает в
нем. Типичный пример процедуры идентификации и установле-
ния подлинности пользователя приведен на рис. 1.
Наиболее высокий уровень безопасности входа в систему
достигается разделением кода пароля на две части: одну, запо-
минаемую пользователем и вводимую вручную, и вторую, разме-
щаемую на специальном носителе — карточке, устанавливаемой
Нис. 1. Типичная процедура идентификации и установления подлинности
пользователя
Глава 6. Идентификация и установление подлинности объекта
73
пользователем на специальное считывающее устройство, связан-
ное с терминалом. В этом случае идентификатор связан с лично-
стью пользователя, размер пароля может быть легко запоминае-
мым, и при хищении карточки у пользователя будет время для
замены кода пароля и получения новой карточки.
На случай защиты запоминаемой части пароля от получения
ее нарушителем путем физического принуждения пользователя,
возможно, будет полезно в компьютерной системе предусмот-
реть механизм тревожной сигнализации, основанный на приме-
нении ложного пароля. Ложный пароль запоминается пользова-
телем одновременно с действительным и сообщается преступни-
ку в вышеупомянутой ситуации.
Однако, учитывая опасность, которой подвергается жизнь
пользователя, необходимо в компьютерной системе одновремен-
но со скрытой сигнализацией предусмотреть механизм обяза-
тельного выполнения требований преступника, воспользовавше-
гося средствами аутентификации законного пользователя.
Кроме указанных методов паролей, в компьютерных систе-
мах в качестве средств аутентификации применяют методы «за-
прос-ответ» и «рукопожатия».
В методе «запрос—ответ» набор ответов на «т» стандартных
и «п» ориентированных на пользователя вопросов хранится в
компьютере и управляется операционной системой. Когда поль-
зователь делает попытку включиться в работу, операционная
система случайным образом выбирает и задаст ему некоторые
(или все) из этих вопросов. Правильные ответы пользователя на
указанные вопросы открывают доступ к системе.
Для исключения некоторых недостатков описанных выше
методов операционная система может потребовать, чтобы поль-
зователь доказал свою подлинность с помощью корректной об-
работки алгоритмов. Эту часть называют процедурой в режиме
«рукопожатия», она может быть выполнена как между двумя
компьютерами, так и между пользователем и компьютером.
Методы «запрос—ответ» и «рукопожатия» в некоторых случа-
ях обеспечивают большую степень безопасности, но вместе с тем
являются более сложными и требующими дополнительных за-
трат времени. Как и обычно, здесь нужно найти компромисс ме-
жду требуемой степенью безопасности и простотой использова-
ния. При сложном использовании пользователь будет искать
пути упрощения процедуры и в итоге найдет их, но за счет сни-
жения эффективности средства защиты.
74
Раздел II. Методы обеспечения безопасности информации...
Идентификация и установление подлинности
технических средств
Следующей ступенью при организации системы защиты ин-
формации в компьютерной системе могут быть идентификация
и установление подлинности терминала (рабочей станции), с ко-
торого входит в систему пользователь. Данная процедура также
может осуществляться с помощью паролей. Пароль можно ис-
пользовать не только для аутентификации пользователя и терми-
нала по отношению к системе, но и для обратного установления
подлинности компьютера по отношению к пользователю. Это
важно, например, в компьютерных сетях, когда связь осуществ-
ляется с территориально удаленными объектами. В этом случае
применяются одноразовые пароли или более сложные системы
шифрования информации.
Подробнее эти вопросы будут рассмотрены в последующих
разделах.
Идентификация и установление подлинности
документов
В компьютерных системах в качестве документов, являю-
щихся продуктом информационной системы и содержащих сек-
ретную информацию, могут быть распечатки с печатающих уст-
ройств, листинги, перфоленты, а также магнитные ленты, диски
и другие долговременные постоянные запоминающие устройства
в виде физических носителей.
Здесь подлинность документа необходимо рассматривать с
двух позиций.
•	получения документа, сформированного непосредственно
данной компьютерной системой и на аппаратуре ее доку-
ментирования;
•	получения готового документа с удаленных объектов ком-
пьютерной сети или автоматизированной системы управ-
ления.
В первом случае подлинность документа гарантируется ком-
пьютерной системой, имеющей средства защиты информации от
несанкционированного доступа, а также физическими характе-
ристиками печатающих устройств, присущими только данному
Глава 6. Идентификация и установление подлинности объекта
75
устройству. Однако в ответственных случаях этого может ока-
заться недостаточно. Применение криптографического преобра-
зования информации в этом случае является эффективным сред-
ством. Информация, закрытая кодом пароля, известным только
передающему ее липу и получателю, не вызывает сомнения в ее
подлинности. Если код пароля, применяемый в данном случае,
используется только передающим лицом и вводится им лично,
можно утверждать, что пароль является его личной подписью.
Криптографическое преобразование информации для иден-
тификации и установления подлинности документа во втором
случае, когда документ транспортировался по неохраняемой тер-
ритории с территориально удаленного объекта или продолжи-
тельное время находился на хранении, также является наиболее
эффективным средством. Однако при отсутствии необходимого
для этой цели оборудования невысокие требования к защите ин-
формации иногда позволяют использовать более простые сред-
ства идентификации и установления подлинности документов:
опечатывание и опломбирование носителей документов с обес-
печением их охраны. При этом к носителю должны прилагаться
сопроводительные документы с подписями ответственных долж-
ностных лиц, заверенными соответствующими печатями.
При неавтоматизированном обмене информацией подлин-
ность документа удостоверяется личной подписью человека, ав-
тора (авторов) документа. Проверка подлинности документа в
этом случае обычно заключается в визуальной проверке совпаде-
ния изображения подписи на документе с образцом подлинника.
При этом подпись располагается на одном листе вместе с текстом
или частью текста документа, подтверждая тем самым подлин-
ность текста. В особых случаях при криминалистической экспер-
тизе проверяются и другие параметры подлинности документа.
При автоматизированной передаче документов по каналам
связи, расположенным на неконтролируемой территории, меня-
ются условия передачи документа. В этих условиях даже если
сделать аппаратуру, воспринимающую и передающую изображе-
ние подписи автора документа, его получатель получит не под-
линник, а всего лишь копию подписи, которая в процессе пере-
дачи может быть подвергнута повторному копированию для ис-
пользования при передаче ложного документа. Поэтому при
передаче документов по каналам связи в компьютерной сети ис-
пользуется криптографическое преобразование информации и
специальная технология по стандарту цифровой подписи.
76
Раздел II. Методы обеспечения безопасности информации...
Область использования цифровой подписи чрезвычайно ши-
рока — от проведения финансовых и банковских операций до
контроля за выполнением международных договоров и охраны
авторских прав.
При этом участники обмена документами нуждаются в защи-
те от следующих преднамеренных несанкционированных дей-
ствий:
•	отказа отправителя от переданного сообщения;
•	фальсификации (подделки) получателем полученного сооб-
щения;
•	изменения получателем полученного сообщения;
•	маскировки отправителя под другого абонента.
Обеспечение защиты каждой стороны, участвующей в обме-
не, осуществляется с помощью введения специальных протоко-
лов. Для верификации сообщения протокол должен содержать
следующие обязательные положения:
•	отправитель вносит в передаваемое сообщение свою циф-
ровую подпись, представляющую собой дополнительную
информацию, зависящую от передаваемых данных, имени
получателя сообщения и некоторой закрытой информации,
которой обладает только отправитель;
•	получатель сообщения должен иметь возможность удосто-
вериться, что полученная в составе сообщения подпись
есть правильная подпись отправителя;
•	получение правильной подписи отправителя возможно
только при использовании закрытой информации, которой
обладает только отправитель;
•	для исключения возможности повторного использования
устаревших сообщений верификация должна зависеть от
времени.
Подпись сообщения представляет собой способ шифрования
сообщения с помощью криптографического преобразования. За-
крываемым элементом в преобразовании является код ключа.
Если ключ подписи принадлежит конечному множеству ключей,
если это множество достаточно велико, а ключ подписи опреде-
лен методом случайного выбора, то полная проверка ключей
подписи для пар сообщение—получатель с компьютерной точки
зрения эквивалентна поиску ключа. Практически подпись явля-
ется паролем, зависящим от отправителя, получателя и содержа-
ния передаваемого сообщения. Для предупреждения повторного
использования подпись должна меняться от сообщения к сооб-
Глава 6. Идентификация и установление подлинности объекта
77
щению. Получатель сообщения, несмотря на неспособность со-
ставить правильную подпись отправителя, тем не менее должен
иметь возможность удостоверить для себя ее правильность или
неправильность. Поскольку вопрос обеспечения подлинности
передаваемых документов и сообщений более актуален для тер-
риториально рассредоточенных информационных систем и тес-
но связан с принципами построения в них системы защиты ин-
формации, его решение рассмотрено в следующих разделах, по-
священных сетям и автоматизированным системам управления
как составляющим информационных систем.
Идентификация и установление подлинности информации
на средствах ее отображения и печати
В компьютерных системах с централизованной обработкой
информации и относительно невысокими требованиями к защите
установление ее подлинности на технических средствах отображе-
ния и печати гарантируется наличием системы защиты информа-
ции данной компьютерной системы. Однако с усложнением ком-
пьютерных систем по причинам, указанным выше, вероятность
возникновения несанкционированного доступа к информации и
се модификации существенно увеличивается. Поэтому в более от-
ветственных случаях отдельные сообщения или блоки информа-
ции подвергаются специальной защите, которая заключается в
создании средств повышения достоверности информации и крип-
тографического преобразования. Установление подлинности по-
лученной информации, включая отображение на табло и термина-
лах, заключается в контроле положительных результатов обеспе-
чения достоверности информации и результатов дешифрования
полученной информации до отображения ее на экране. Подлин-
ность информации на средствах ее отображения тесно связана с
подлинностью документов. Поэтому все положения, приведенные
в предыдущем подразделе, справедливы и для обеспечения под-
линности ее отображения. Достоверность информации на средст-
вах отображения и печати в случае применения указанных средств
защиты зависит от надежности функционирования средств, до-
ставляющих информацию на поле отображения после окончания
процедур проверки ее достоверности. Чем ближе к полю отобра-
жения (бумажному носителю) эта процедура приближается, тем
достовернее отображаемая информация.
78
Раздел II. Методы обеспечения безопасности информации...
Глава 7
КРИПТОГРАФИЧЕСКОЕ ПРЕОБРАЗОВАНИЕ
ИНФОРМАЦИИ
Краткий обзор и классификация методов
шифрования информации
Защита информации методом криптографического преобра-
зования заключается в преобразовании ее составных частей
(слов, букв, слогов, цифр) с помощью специальных алгоритмов
либо аппаратных решений и кодов ключей, т. е. в приведении ее
к неявному виду. Для ознакомления с шифрованной информаци-
ей применяется обратный процесс — декодирование (дешифро-
вание). Использование криптографии является одним из распро-
страненных методов, значительно повышающих безопасность
передачи данных в компьютерных сетях, данных, хранящихся в
устройствах памяти, и при обмене информацией между удален-
ными объектами.
Для преобразования (шифрования) обычно используется не-
который алгоритм или устройство, реализующее заданный алго-
ритм, которые могут быть известны широкому кругу лиц. Управ-
ление процессом шифрования осуществляется с помощью пе-
риодически меняющегося кода ключа, обеспечивающего каждый
раз оригинальное представление информации при использова-
нии одного и того же алгоритма или устройства. Знание ключа
позволяет просто и надежно расшифровать текст. Однако без
знания ключа эта процедура может быть практически невыпол-
нима даже при известном алгоритме шифрования.
Даже простое преобразование информации является весьма
эффективным средством, дающим возможность скрыть се смысл
от большинства неквалифицированных нарушителей.
Структурная схема шифрования информации представлена
на рис. 1.
Коды и шифры использовались в течение многих веков за-
долго до появления компьютера. Между кодированием и шифро-
ванием не существует отчетливого различия. Заметим только, что
в последнее время на практике слово «кодирование» применяют
в целях цифрового представления информации при се обработке
на технических средствах, а «шифрование» — при преобразова-
Глава 7. Криптографическое преобразование информации
79
Ключ
Ключ
Шифр
Приемник
Рис. 1. Шифрование информации
Открытый
11ередатчик
Открытый
текст
нии информации для защиты от несанкционированного доступа.
В настоящее время некоторые методы шифрования хорошо про-
работаны и являются классическими.
Классификация криптографических методов преобразования
информации приведена на рис. 2.
Для построения средств защиты информации от несанкцио-
нированного доступа необходимо иметь представление о некото-
рых традиционных методах шифрования: подстановки, переста-
новки, комбинированных и др.
Основные требования, предъявляемые к методам защитного
преобразования:
1)	применяемый метод должен быть достаточно устойчивым
к попыткам раскрыть исходный текст, имея только зашифрован-
ный текст;
2)	объем ключа нс должен затруднять его запоминание и пе-
реем л ку;
3)	алгоритм преобразования информации и ключ, используе-
мые для шифрования и дешифрования, не должны быть очень
сложными: затраты на защитные преобразования должны быть
приемлемы при заданном уровне сохранности информации;
4)	ошибки в шифровании не должны вызывать потерю ин-
формации. Из-за появления ошибок передачи шифрованного
сообщения по каналам связи не должна исключаться возмож-
ность надежной расшифровки текста на приемном конце;
5)	длина зашифрованного текста нс должна превышать дли-
ну исходного текста;
6)	необходимые временные и стоимостные ресурсы на шиф-
рование и дешифрование информации определяются требуемой
степенью защиты информации.
Перечисленные требования характерны в основном для тра-
диционных средств защитных преобразований. С развитием уст-
ройств памяти, позволяющих с большей плотностью записывать
80
Раздел II. Методы обеспечения безопасности информации...
Рис. 2. Классификация криптографических методов преобразования информации
Глава 7. Криптографическое преобразование информации
81
и надежно хранить длительное время большие объемы информа-
ции, ограничение на объем ключа может быть значительно сни-
жено. Появление и развитие электронных элементов позволили
разработать недорогие устройства, обеспечивающие преобразо-
вание информации.
Однако увеличение скоростей передачи информации пока
еще значительно отстает от скорости ее обработки. Это несоот-
ветствие позволяет в значительной мере ослабить требование 3
без ущерба для практически достижимой скорости передачи.
В условиях применения компьютеров снизились актуальность и
жесткость требования 4. Действительно, при существующей на-
дежности аппаратуры и развитых методах обнаружения и ис-
правления ошибок это требование может быть снижено. Кроме
того, технология передачи данных, принятая в компьютерных
сетях и автоматизированных системах управления, предусматри-
вает повторную передачу информации в случае обнаружения
ошибок передачи сообщения.
Множество современных методов защитных преобразова-
ний можно разделить на четыре большие группы: перестанов-
ки, замены (подстановки), аддитивные и комбинированные
методы.
Методы перестановки и подстановки обычно характеризуют-
ся короткой длиной ключа, а надежность их защиты определяет-
ся сложностью алгоритмов преобразования.
Для аддитивных методов характерны простые алгоритмы
преобразования, а их надежность основана на увеличении длины
ключа.
Все перечисленные методы относятся к так называемому
симметричному шифрованию: один и тот же ключ используется
для шифрования и дешифрования.
Кроме этого, используются методы несимметричного шиф-
рования: один ключ для шифрования (открытый), второй — для
де ш ифрован ия (закрыты й).
Методы перестановки. Суть методов перестановки состоит в
том, что входной поток исходного текста делится на блоки, в ка-
ждом из которых выполняется перестановка символов.
Перестановки в классической криптографии обычно получа-
ются в результате записи исходного текста и чтения шифрован-
ного текста по разным путям геометрической фигуры.
Простейшим примером перестановки является запись исход-
ного текста по строкам некоторой матрицы и чтение его по
82
Раздел II. Методы обеспечения безопасности информации...
столбцам этой матрицы. Последовательность заполнения строк
и чтения столбцов может быть любой и задается ключом. Таким
образом, для матрицы размерностью 8x8 (длина блока 64 сим-
вола) возможно 1,6 х 109 ключей, что позволяет на современных
компьютерах путем перебора расшифровать заданный текст. Од-
нако для матрицы размерностью 16x16 (длина блока 256 симво-
лов) имеется 1,4 х 102ь ключей, и перебор их с помощью совре-
менных средств весьма затруднителен.
Примером применения метода перестановки может быть
также восьмиэлементная таблица (рис. 3), обладающая совокуп-
ностью маршрутов, носящих название маршрутов Гамильтона.
Последовательность заполнения таблицы каждый раз соответст-
вует нумерации ее элементов. Если длина шифруемого текста не
кратна числу элементов, то при последнем заполнении в свобод-
ные элементы заносится произвольный символ. Выборка из таб-
лицы для каждого заполнения может выполняться по своему
маршруту, при этом маршруты могут использоваться как после-
довательно, так и в порядке, задаваемом ключом.
Общий вид
Маршрут 1
Рис. 3. Вариант схемы маршрутов
Для методов перестановки характерны простота алгоритма,
возможность программной реализации и низкий уровень защи-
ты, так как при большой длине исходного текста в шифрован-
ном тексте проявляются статистические закономерности ключа,
что и позволяет его быстро раскрыть. Другой недостаток этих
методов — легкое раскрытие, если удастся направить в систему
для шифрования несколько специально подобранных сообще-
ний. Так, если длина блока в исходном тексте равна К символам,
то для раскрытия ключа достаточно пропустить через шифро-
вальную систему К- 1 блоков исходного текста, в которых вес
символы, кроме одного, одинаковы.
Глава 7. Криптографическое преобразование информации
83
Существуют и другие способы перестановки, которые можно
реализовать программным и аппаратным путем. Например, реа-
лизованный аппаратным путем блок перестановки, который для
преобразования информации использует электрические цепи, по
которым она передается параллельным способом (рис. 4). Преоб-
разование текста заключается в «перепутывании» порядка разря-
дов в цифровой кодограмме путем изменения электрического
монтажа схемы в блоке. Для дешифрования на приемном пункте
устанавливается другой блок, восстанавливающий порядок цепей.
Рис. 4. Блок перестановок
Методы замены (подстановки). Методы шифрования заменой
(подстановкой) заключаются в том, что символы исходного тек-
ста (блока), записанные в одном алфавите, заменяются символа-
ми другого алфавита в соответствии с принятым ключом преоб-
разования.
Одним из простейших методов является прямая замена ис-
ходных символов их эквивалентом из вектора замен. Для очеред-
ного символа исходного текста отыскивается его местоположе-
ние в исходном алфавите. Эквивалент из вектора замены выби-
рается как отстоящий на полученное смещение от начала
алфавита. При дешифровании поиск производится в векторе за-
мен, а эквивалент выбирается из исходного алфавита. Получен-
ный таким методом текст имеет сравнительно низкий уровень
защиты, так как исходный и шифрованный тексты имеют оди-
наковые статистические характеристики.
84
Раздел II. Методы обеспечения безопасности информации...
Более стойкой в отношении раскрытия является схема шиф-
рования, основанная на использовании таблицы Вижинера
(рис. 5). Таблица представляет собой квадратную матрицу с чис-
лом элементов К, где К — количество символов в алфавите.
В первой строке матрицы записываются буквы в порядке оче-
редности их в алфавите, во второй — та же последовательность
букв, но со сдвигом влево на одну позицию, в третьей — со
сдвигом на две позиции и т. д. Освободившиеся места справа за-
полняются вытесненными влево буквами, записываемыми в ес-
тественной последовательности.
АБВГДЕ............................ЭЮЯ
БВГДЕЖ.......................... К)ЯА
ВГДЕЖЗ........................... ЯАБ
ГДЕЖЗИ........................... АБВ
ДЕЖЗИК........................... БВГ
ЕЖЗИКЛ........................... ВГД
ЯАБВГД..............................БЭЮ
Рис. 5. Таблица шифрования
Для шифрования текста устанавливается ключ, представляю-
щий собой некоторое слово или набор букв. Далее из полной
матрицы выбирается подматрица шифрования, включающая, на-
пример, первую строку и строку матрицы, начальной буквой ко-
торой являются последовательно буквы ключа (рис. 6), например
МОРЕ.
Процесс шифрования включает следующую последователь-
ность действий (рис. 7):
•	под каждой буквой шифруемого текста записываются бук-
вы ключа, повторяющие ключ требуемое число раз;
•	шифруемый текст по подматрице заменяется буквами, рас-
положенными на пересечениях линий, соединяющих бук-
вы текста первой строки подматрицы и буквы ключа, нахо-
дящейся под ней.
Так, под первой буквой шифруемого текста («3») оказалась
буква «М» ключа. В первой строке подматрицы находим букву
«3» и выбираем из данной колонки подматрицы букву в той
Глава 7. Криптографическое преобразование информации
85
ШИФРУЕМЫМ ТЕКСТ
КЛЮЧ
ТЕКСТ ПОСЛЕ ЗАМЕНЫ
ЗАШИФРОВАННЫЙ ТЕКСТ
3 И Щ И Г А ИНФОРМАЦИИ
М О Р Е М О Р Е М О Р Е М О Р Е
У О И О Э О ШТ Я Ы Я С М Г Ш О
УОИО эошт яыяс мгшо
Рис. 6. Механизм шифрования заменой
А Б В Г Д Е Ж 3 И К Л М Н О П Р С Г У Ф X Ц Ч Ш ЩЪ Ы Ь Э Ю Я
МИОПРСТУФХЦЧШЩЪЫЬЭЮЯАБВГДЕЖЗИКЛ
О П Р С Т У Ф X Ц Ч III Щ Ъ Ы Б Э Ю Я А Б В Г Д Е Ж 3 И К Л М Н
Р С Т У Ф X Ц Ч Ш Щ Ъ Ы Ь Э Ю Я А Б В Г Д Е Ж 3 И К Л М Н О П
ЕЖЗИКЛМНОПРСТУФХЦЧШЩЪЫЬЭЮЯАБВГД
Рис. 7. Ключ шифрования
строке, которая соответствует букве «М» ключа. Такой буквой
оказалась буква «У».
Далее выполняется замена исходной буквы «3» на «У» в вы-
ходном тексте. Выходной текст делится на группы, например по
четыре знака.
Для этого алгоритма может быть составлена компьютерная
программа.
Раскрыть текст, полученный по данному алгоритму, только
на основе статистических характеристик языка невозможно, так
как одни и те же символы открытого текста могут быть замене-
ны различными символами шифрованного текста. С другой сто-
роны, различные буквы открытого текста могут быть заменены
одинаковыми знаками шифрованного текста.
Для дешифрования необходимо знать ключ, который может
быть введен пользователем со своего терминала или хранится в
памяти компьютера в зашифрованном виде. Для шифрования
ключа можно использовать другую систему шифрования.
Расшифровка текста выполняется в следующей последова-
тельности (рис. X):
•	над буквами шифрованного текста сверху последовательно
записываются буквы ключа;
•	в строке подматрицы таблицы Вижинсра для каждой буквы
ключа отыскивается буква, соответствующая знаку шифро-
86
Раздел II. Методы обеспечения безопасности информации...
КЛЮЧ	МОРЕ	МОРЕ	МОРЕ	МОРЕ
ЗАШИФРОВАННЫЙ ТЕКСТ	УОИО	ЭОШТ	ЯЫЯС	МГШО
РАСШИФРОВАННЫЙ ТЕКСТ ЗАЩИ		ТАИН	ФОРМ	АЦИИ
ИСХОДНЫЙ ТЕКСТ
ЗАЩИТА ИНФОРМАЦИИ
Рис. 8. Механизм дешифрования
ванного текста. Находящаяся над ней буква первой строки
и будет знаком расшифрованного текста;
•	полученный текст группируется в слова по смыслу.
Один из недостатков шифрования по таблице Вижинера —
это ненадежность шифрования при небольшой длине ключа и
сложность формирования длинных ключей. Так как в ключе не
допускается повторение букв (в противном случае шифрование
будет неоднозначным), а сам ключ должен легко запоминаться,
последовательность букв, не имеющих определенного смысла,
запомнить трудно.
С целью повышения надежности шифрования текста ис-
пользуется усовершенствованный вариант таблицы Вижинера,
который заключается в следующем:
•	во всех (кроме первой) строках таблицы буквы алфавита
располагаются в произвольном порядке;
•	выбирается десять (нс считая первой) строк, пронумеро-
ванных натуральными числами от 0 до 9;
•	в качестве ключа используются величины, выраженные
бесконечным рядом чисел (например, основание натураль-
ных логарифмов е = 2.7182818285..., число ПИ = 3,14159...).
Шифрование и расшифрование осуществляются в той же
последовательности, что и в случае простой таблицы Вижинера.
Частным случаем метода замены, обеспечивающим надежное
шифрование информации, является использование алгебры мат-
риц (например, правила умножения матрицы на вектор). Это
правило, как известно, заключается в следующем:
Ч|
^21
<Д31
Я|2
^22
*32
Я13
^23
^33 )
'«11*1
«21*1
<«31*1
+ а12Ьг + а|363
+ ^22*2 + «23*3
+ «32*2 + «33*3,
«2
ч«3,
В соответствии с этим
вать в качестве основы для
правилом матрицу можно использо-
шифрования, знаками вектора мо-
Глава 7. Криптографическое преобразование информации
87
гут быть символы шифруемого текста, а знаками вектора резуль-
тата С|— символы зашифрованного текста.
Для шифрования буквенных сообщений необходимо прежде
всего заменить знаки алфавита их цифровыми эквивалентами,
которым может быть порядковый номер буквы в алфавите.
Для дешифрования используются те же правила умножения
матрицы на вектор, только в качестве основы берется обратная
матрица, а в качестве умножаемого вектора — соответствующее
количество чисел шифрованного текста. Цифрами вектора-ре-
зультата будут цифровые эквиваленты знаков исходного текста.
Нетрудно видеть, что процедуры шифрования и дешифрова-
ния строго формализованы, что позволяет сравнительно легко
запрограммировать их для автоматической реализации в компь-
ютере. Причем важно, что шифрование и дешифрование осуще-
ствляются по одной и той же процедуре умножения матрицы на
вектор, т. е. для них может использоваться одна и та же про-
грамма. Недостатком же является то, что для шифрования и де-
шифрования каждой буквы требуется выполнить несколько
арифметических действий, что увеличивает время обработки ин-
формации.
Существуют и другие методы подстановки. Приведенные
выше методы подстановки относятся к моноалфавитным подста-
новкам, которые можно представить как числовые преобразова-
ния букв исходного текста, рассматриваемых как числа. Каждая
буква в тексте умножается на некоторое число (называемое деся-
тичным коэффициентом) и прибавляется к некоторому другому
числу (коэффициенту сдвига):
С = (аР + б) mod Л,
где а — десятичный коэффициент; S — коэффициент сдвига.
Получающееся число уменьшается по правилу вычитания
модуля Л, где А — размер алфавита, и зашифрованный текст
формируется из соответствующих ему алфавитных эквивалентов.
В целях маскировки естественной частотной статистики ис-
ходного языка применяется многоалфавитная подстановка, ко-
торая также бывает нескольких видов.
Аддитивные методы. В качестве ключа в аддитивных методах
используется некоторая последовательность букв того же алфа-
вита и такой же длины, что и в исходном тексте. Шифрование
выполняется путем сложения символов исходного текста и ключа
88
Раздел II. Методы обеспечения безопасности информации...
по модулю, равному числу букв в алфавите (так, если использует-
ся двоичный алфавит, то производится сложение по модулю два).
Примером такого же метода является гаммированис — нало-
жение на исходный текст некоторой последовательности кодов,
называемой гаммой. Процесс наложения осуществляется сле-
дующим образом:
•	символы исходного текста и гамма представляются в дво-
ичном коде и располагаются один под другим;
•	каждая пара двоичных знаков заменяется одним двоичным
знаком шифрованного текста в соответствии с принятым
алгоритмом;
•	полученная последовательность двоичных знаков шифро-
ванного текста заменяется символами алфавита в соответ-
ствии с выбранным кодом.
Если ключ шифрования выбирается случайным образом, на-
пример, формируется с помощью датчика псевдослучайных чи-
сел, то раскрыть информацию, не зная ключа, практически не-
возможно.
Однако на практике длина ключа ограничена возможностя-
ми компьютерной техники и аппаратуры обмена данными, а
именно выделяемыми объемами памяти, временем обработки
сообщения, а также возможностями аппаратуры подготовки и
записи кодов ключей.
Выбор метода преобразования
Изложенные сведения по методам шифрования информации
не претендуют на глубокий анализ и полноту описания методов,
так как это не является задачей данной книги. Однако их приме-
нение в построении защиты возможно, что требует некоторой
оценки и сравнения методов.
Большинство искусственных языков (и все естественные
языки) имеет характерное частотное распределение букв и дру-
гих знаков. Например, Е — наиболее часто встречающаяся буква
в английском языке, а цифра 2 — наиболее редкая. Это вовсе не
говорит о том, что не будут попадаться английские (исходные)
сообщения, в которых другая буква будет встречаться чаще, чем
Е, и реже, чем 2. Но для очень большого числа сообщений могут
быть установлены определенные характерные частоты. Многие
сообщения, зашифрованные методом перестановки или одноал-
Глава 7. Криптографическое преобразование информации
89
фавитной подстановки, сохраняют характерные частотные рас-
пределения и, таким образом, дают криптоаналитику путь к рас-
крытию шифра.
Криптоаналитики часто используют индекс соответствия
(ИС) для определения того, находятся ли они на правильном
пути. Теоретически ожидаемое значение ИС для английского
языка определяется выражением
N - т
- 1)
0,066 + 0,038^—^,
m(N -1)
где N — длина сообщения в буквах; т — число алфавитов.
Шифровки, которые дают значения ИС, большие, чем 0,066
(для английского языка), сами сообщают о том. что, вероятно,
использовалась одноалфавитная подстановка, давая, таким обра-
зом, криптоаналитикам превосходный инструмент для того, что-
бы приступить к разгадке шифра.
Если индекс соответствия находится между 0,052 и 0,066, то,
вероятно, был использован двухалфавитный шифр подстановки,
если между 0,052 и 0,047 — трехалфавитный, и т. д. Криптоана-
литик берет наиболее часто встречающийся символ и предпола-
гает, что это пробел, затем берет следующий наиболее частый
символ и предполагает, что это «Е» и т. д. С помощью компью-
тера это делается быстро и аккуратно.
Дело усложняется, когда криптоаналитик сталкивается с рав-
номерным распределением символов (ИС = 0,038 для английско-
го языка, 1/26 = 0,038, где 26 — число букв в английском алфа-
вите), которое получается при использовании многоалфавитной
подстановки.
Принципиальное значение для надежности шифрования
имеет длина кода ключа, т. е. отношение его длины к длине за-
крываемого им текста. Чем больше оно приближается к едини-
це, тем надежнее шифрование. При этом следует иметь в виду,
что это отношение распространяется нс только на данное сооб-
щение, переданное однократно по назначению, но и на все ос-
тальные сообщения, закрытые этим же кодом ключа и переда-
ваемые постоянно и периодически в течение времени его суще-
ствования до замены новым значением. Это объясняется тем,
что мы не знаем времени подключения нарушителя к линии
связи и поэтому заранее предполагаем наиболее опасный вари-
ант, когда он подключен постоянно. В этом случае при много-
90
Раздел II. Методы обеспечения безопасности информации...
кратном повторении кода ключа по всей длине текста существу-
ет опасность его раскрытия статистическим методом. Вероят-
ность этого события зависит не только от указанного выше
отношения, но и от выбранного метода шифрования.
Поясним это на простом примере цифрового текста, закры-
того цифровым кодом ключа методом гаммирования.
1.	Закрытое многозначное число 1001 1000 1011 1010 1101
1100 получено путем поразрядного сложения по модулю 2 числа
с однозначным числом К, т. е. шифрование числа
Х1Х2Х3Х4Х5Х6 ключом К можно представить в виде системы урав-
нений:
Х} © К = 1001;
Х2 © К = 1000;
Х3 © К =1011;
Л4 ® К =1010;
Х5 © К =1101;
Х6 Ф К = 1100.
2.	Исходя из условия, что X принимает десятичные значения
от 0 до 9, для поиска неизвестного К определим все возможные
значения Х{ и К, сумма которых по модулю 2 приводит к резуль-
тату 1001:
¥	0000	0001	0010	ООН	0100	0101	ОНО	0111	1000	1001
z ' ~ 1001	1001	1001	1001	1001	1001	1001	1001	1001	1001
К = 1001	КХЛ	1001	1001	1001	1001	1001	1001	1001	1001
3.	Аналогично определим АГ для чисел 1000, 1011, 1101 и 1100.
4.	Анализируя полученные значения К для каждого из чисел
и исключая значения более 9, определим значение, которое при-
сутствует в каждом из десятков результатов.
Это значение будет равно 1001, т. е. в десятичном счислении
9. Следовательно, код ключа К =9, а искомое число 012345.
Приведенный пример говорит о слабой эффективности ме-
тода гаммирования при малой длине кода ключа. Другие методы
наложения в этом отношении также могут быть слабы, так как
при этом лишь усложняется математическое уравнение системы
с несколькими неизвестными и увеличивается объем вычисле-
Глава 7. Криптографическое преобразование информации
91
ний при их решении, что современной математике и компью-
терной технике не составляет особого труда.
Для повышения эффективности шифрования применяются
«длинный» ключ; «двойной» ключ, где два ключа добавлялись по
модулю два к исходному тексту; шифрование псевдослучайным
ключом, где ключ так изменяется с каждым словом, как это
обеспечивалось генератором псевдослучайных чисел. Применя-
ются и другие методы использования ключей.
Интересным и эффективным способом является применение
уравнения — генератора псевдослучайных чисел.
Современные достижения математики позволяют с помощью
уравнения — генератора псевдослучайных чисел получить шифр
с «бесконечным» ключевым словом, располагая относительно
малой длиной самого ключа. Реализация этого метода заключа-
ется в том, что в вычислительную систему закладывается специ-
альный алгоритм, который при получении кода ключа (порож-
дающего числа Т) вырабатывает по определенному закону
(уравнению) с каждым тактом новое псевдослучайное число, це-
почка из которых накладывается на закрываемый текст, и таким
образом из «короткого» ключа получается «длинный» и жестко
связанный с ним второй ключ. Например, если использованное
порождающее число было 4372, то последовательность будет вы-
глядеть следующим образом:
Го = 4372. Двумя средними числами являются 37.
Квадратом 37 является 1369.
Г, = 1369. Двумя средними цифрами являются 36.
Квадрат 36 — число 1296.
Т2= 1296. Двумя средними цифрами являются 29.
Квадрат 29 — число 841.
Г3 = 0841.
... и т. д.
Это выглядит достаточно разумно, пока нс будет обнаруже-
но, что из всех 100 возможных чисел, которые могут быть возве-
дены в квадрат:
62	числа вырабатывают последовательности, которые вырож-
даются в 00, 00, 00, ...;
19 чисел вырабатывают последовательности, которые вырож-
даются в 10, 10, 10, ...;
15 чисел вырабатывают последовательности, которые вырож-
даются в 60, 60, 60, ...;
92
Раздел II. Методы обеспечения безопасности информации...
3 числа вырабатывают последовательности, которые вырож-
даются в 24, 57, 24, 57, 24, 57, ...;
1 число вырабатывает последовательность, которая вырожда-
ется в 50, 50, 50, ... .
Для нас важно, чтобы генераторы псевдослучайных чисел
были воспроизводимыми, хотя в то же время они должны выра-
батывать числа, которые «кажутся случайными». На основе тео-
рии групп было разработано несколько типов таких генераторов.
В настоящее время наиболее доступными являются конгруэнт-
ные генераторы. На основе их строгого определения можно сде-
лать математически корректное заключение о том, какими свой-
ствами должны обладать выходные сигналы этих генераторов с
учетом периодичности и случайности.
Одним из хороших конгруэнтных генераторов является ли-
нейный конгруэнтный генератор псевдослучайных чисел. Этот
генератор вырабатывает последовательность псевдослучайных
чисел Г,, Т2, Г3, ..., Тт9 ..., используя соотношение
Т( + 1 = (аТ+ с) mod m,
где Т. — исходная величина, выбранная в качестве порождающе-
го числа; а и с — константы.
Указанное уравнение генерирует псевдослучайные числа с
определенным периодом повторения, зависящим от выбранных
значений а и с. Значение ш обычно устанавливается равным 2Л-1
или 2Л, где b — длина слова компьютера в битах.
Эффективным методом шифрования является комбиниро-
ванный метод. Комбинация основных методов шифрования —
перестановки и подстановки — дает в результате сложное преоб-
разование, называемое производным шифром. Этот шифр облада-
ет более сильными криптографическими возможностями, чем
отдельная перестановка и подстановка. Этот метод используется
в федеральном стандарте NBS США, называемом также стандар-
том DES, и отечественном стандарте ГОСТ 28147—89, введен-
ном в действие с июля 1990 г.
Стандарт DES построен на комбинированном использова-
нии перестановки, замены и гаммирования, причем каждый
блок шифруемых данных длиной 32 бита последовательно под-
вергается 15-кратному преобразованию, а в качестве ключа, ко-
торый служит для генерирования последовательности знаков
случайной гаммы, используется последовательность в 56 бит. Та-
кой ключ дает 101ь различных комбинаций гаммы.
Глава 7. Криптографическое преобразование информации
93
Алгоритм DES нашел широкое применение во многих сфе-
рах деловой жизни но следующим причинам:
1)	до настоящего времени никто не указал какую-либо фун-
даментальную слабость алгоритма;
2)	он утвержден в качестве национального стандарта. Кроме
того, правительство установило программы проверки и освиде-
тельствования, гарантирующие соответствие стандарту. Таким
образом, DES стал наиболее широко признанным механизмом
криптографической зашиты несекретных данных для массового
применения;
3)	различные варианты его исполнения (программный,
микропрограммный и аппаратный) позволяют удовлетворить
потребности разнообразных пользователей как по скоростным
показателям, так и экономическим. Наиболее широко DES ис-
пользуется при хранении и передаче данных между различны-
ми системами обработки информации; в почтовых системах, в
электронных системах чертежей и при электронном обмене
коммерческой информацией с помощью алгоритма DES можно
зашифровывать файлы компьютера для их хранения.
Сам процесс криптографического закрытия данных может
осуществляться как программно, так и аппаратно, однако аппа-
ратная реализация обладает по сравнению с программной рядом
преимуществ:
•	высокая производительность;
•	упрошенная организация обработки информации и т. д. Во
многих странах налажено промышленное производство ап-
паратуры для шифрования.
Специалистами сформирована следующая система требова-
ний к алгоритму шифрования:
1)	зашифрованный текст должен поддаваться чтению только
при наличии ключа шифрования;
2)	число операций, необходимых для определения использо-
ванного ключа шифрования по фрагменту шифрованного текста
и соответствующего ему открытого текста, должно быть не мень-
ше общего числа возможных ключей;
3)	знание алгоритма шифрования не должно влиять на на-
дежность защиты;
4)	незначительные изменения ключа шифрования должны
приводить к существенному изменению вида зашифрованного
текста;
94
Раздел II. Методы обеспечения безопасности информации...
5)	незначительные изменения шифруемого текста должны
приводить к существенному изменению вида зашифрованного
текста даже при использовании одного и того же ключа;
6)	структурные элементы алгоритма шифрования должны
быть неизменными;
7)	в процессе шифрования должен осуществляться постоян-
ный контроль за шифруемыми данными и ключом шифрования;
8)	дополнительные биты, вводимые в текст в процессе
шифрования, должны быть полностью и надежно скрыты в
шифрованном тексте;
9)	длина шифрованного текста должна быть равной длине
исходного открытого текста;
10)	нс должно быть простых и легко устанавливаемых зави-
симостей между ключами, последовательно используемых в про-
цессе шифрования;
11)	любой ключ из множества возможных должен обеспечи-
вать надежную защиту информации;
12)	алгоритм должен допускать как программную, так и ап-
паратную реализацию; при этом изменение длины ключа не
должно вести к ухудшению характеристик алгоритма.
Последним достижением криптографии стала система с от-
крытым ключом.
В криптографии с открытым ключом предусмотрено два
ключа, каждый из которых невозможно вычислить из другого.
Один ключ (открытый) используется отправителем для шифро-
вания информации, другим (закрытым) — получатель расшиф-
ровывает полученный шифротекст.
Криптографические системы с открытым ключом использу-
ют необратимые или односторонние функции, которые облада-
ют следующими свойствами: при заданном значении X относи-
тельно просто вычислить значение /(х), однако если у=/(х),
то нет простого пути для вычисления значения X. Другими сло-
вами, чрезвычайно трудно рассчитать значение обратной функ-
ции f 4(у).
Исследование необратимых функций проводилось в основ-
ном по трем направлениям:
1)	дискретное возведение в степень;
2)	умножение простых чисел;
3)	комбинаторные задачи, в частности задача об укладке ранца.
Диффи и Хеллман исследовали функцию дискретного возве-
дения в степень, в результате этого получили новый алгоритм
Глава 7. Криптографическое преобразование информации
95
криптографического закрытия информации, позволяющий при-
менять два ключа: открытый для шифрования, закрытый для
расшифрования информации. Система открытого ключа позво-
лила решить проблему рассылки ключей пользователям при од-
новременном выполнении требований по стойкости защиты.
Р. Л. Ри вестом, А. Шамиром и Л. Адельманом предложен ме-
тод с ключом общего пользования для более высокой степени
защиты, основанный на применении необратимой функции с
потайным ходом, которая определяется как семейство обрати-
мых функций.
Криптография с открытым ключом наиболее эффективна при
шифровании передаваемых данных, а не данных, хранящихся в
запоминающем устройстве. Кроме того, она прекрасно подходит
для замены обычной подписи электронной, так называемой циф-
ровой подписью, применяемой в системах электронных платежей
и при передаче сообщений с помощью устройств телесвязи.
В табл. 1 описываются сильные и слабые стороны классиче-
ского криптографического алгоритма DES и криптографическо-
го алгоритма с открытым ключом RSA (название от первых букв
фамилий авторов).
Таблица 7. Характеристики криптографических алгоритмов
Характеристика	DES	RSA
Скорость работы	Быстрая	Медленная
Используемая функция	Перестановка и подстановка	Возведение в степень
Длина ключа, бит	56	300...600
Наименее затратный крипто- анализ	Перебор по всему ключевому пространству	Разложение модуля
Временные затраты на крип- тоанализ	Столетия	Зависят от длины ключа
Время генерации ключа	Миллисекунды	Десятки секунд
Тип ключа	Симметричный	Асимметричный
В заключение следует, однако, отметить, что в результате
проведенных исследований по проверке надежности алгоритма
DES Национальное агентство по безопасности США с 1 января
1988 г. прекратило поддержку этого стандарта. Бурное развитие
96
Раздел II. Методы обеспечения безопасности информации...
криптографии с ключом общего пользования позволяет надеять-
ся на существенное упрощение программно-аппаратной реали-
зации устройств шифрования, базирующихся на принципах от-
крытого ключа.
Глава 8
ЗАЩИТА ИНФОРМАЦИИ ОТ УТЕЧКИ ЗА СЧЕТ ПОБОЧНОГО
ЭЛЕКТРОМАГНИТНОГО ИЗЛУЧЕНИЯ И НАВОДОК
(ПЭМИН)
Потенциальные угрозы
Работа средств компьютерной техники сопровождается элек-
тромагнитными излучениями и наводками на соединительные
проводные линии, цепи «питания», «земля», возникающими
вследствие электромагнитных воздействий в ближней зоне излу-
чения, в которую могут попадать также провода вспомогатель-
ной и посторонней аппаратуры. Электромагнитные излучения,
даже если они отвечают допустимым техническим нормам, не
являются безопасными с точки зрения утечки секретной инфор-
мации и несанкционированного доступа к ней.
В некоторых случаях информацию, обрабатываемую компь-
ютерными средствами, можно восстановить путем анализа элек-
тромагнитных излучений и наводок. Для этого необходимы их
прием и декодирование. Одно время считалось очень трудным
делом расшифровать информацию, содержащуюся в излучении,
и что поэтому восстановление информации после приема под
силу только профессионалам, располагающим очень сложной
аппаратурой обнаружения и декодирования. Однако исследова-
ния показали, что восстановление информации от некоторых
компьютерных средств возможно с помощью общедоступных ра-
диоэлектронных средств. В частности, при восстановлении ин-
формации с дисплеев можно использовать обычный черно-бе-
лый телевизор, в котором сделаны незначительные усовершенст-
вования. Если дисплей является элементом компьютерной
системы, то он может оказаться самым слабым ее звеном, кото-
рое сведет на нет все меры по увеличению безопасности излуче-
ний, принятые во всех остальных частях системы.
Глава 8. Защита информации от утечки...
97
Применение в компьютерной технике импульсных сигналов
прямоугольной формы и высокочастотной коммутации приво-
дит к тому, что в спектре излучений будут компоненты с часто-
тами вплоть до СВЧ. Хотя энергетический спектр сигналов убы-
вает с ростом частоты, но эффективность излучения при этом
увеличивается, и уровень излучений может оставаться постоян-
ным до частот нескольких гигагерц. Резонансы из-за паразитных
связей могут вызывать усиление излучения сигналов на некото-
рых частотах спектра.
Методы и средства защиты информации от побочного
электромагнитного излучения и наводок информации
В целях защиты секретной информации от утечки за счет по-
бочного электромагнитного излучения и наводок производится
измерение уровня опасных сигналов на расстоянии от источника
(дисплея, печатающего устройства, кабеля и т. д.). Замеры про-
изводят в нескольких точках на разных расстояниях от источни-
ка с помощью специальной приемной аппаратуры (например,
анализатора спектра IIP 8586 А в диапазоне 30... 100 МГц в режи-
ме с полосой пропускания 10 кГц и пиковым детектированием).
Если уровень сигнала на границе установленной зоны превысил
допустимые значения, применяют защитные меры.
Защитные меры могут носить различный характер в зависи-
мости от сложности, стоимости и времени их реализации, кото-
рые определяются при создании конкретной компьютерной сис-
темы. Такими мерами могут быть: доработка аппаратуры с целью
уменьшения уровня сигналов, установка специальных фильтров,
параллельно работающих аппаратных генераторов шума, специ-
альных экранов и другие меры. В числе этих мер большие наде-
жды возлагаются на применение в линиях и каналах связи воло-
конно-оптических кабелей, которые обладают следующими пре-
имуществами: отсутствием электромагнитного излучения во
внешнюю среду, устойчивостью к внешним электромагнитным
излучениям, большой помехозащищенностью, скрытностью пе-
редачи, малыми габаритами (что позволяет прокладывать их ря-
дом с уже существующими кабельными линиями), устойчиво-
стью к воздействиям агрессивной среды.
С точки зрения защиты информации волоконно-оптические
кабели имеют еще одно преимущество: подключение к ним с це-
98
Раздел II. Методы обеспечения безопасности информации...
лью перехвата передаваемых данных представляет собой значи-
тельно более сложную задачу, чем подключение к обычному
проводу или кабелю с помощью индуктивных датчиков и прямо-
го подключения. Однако замена одного кабеля другим связана с
введением электрооптических и оптико-электрических преобра-
зователей, на которые и перекладывается проблема обеспечения
безопасности информации.
Глава 9
МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
ОТ СЛУЧАЙНЫХ ВОЗДЕЙСТВИЙ
В целях защиты функционирования информационных сис-
тем и систем автоматизации управления от случайных воздейст-
вий применяются уже известные средства повышения надежно-
сти аппаратуры и программного обеспечения комплекса средств
автоматизации, а для защиты информации — средства повыше-
ния ее достоверности. Для предотвращения аварийной ситуации
применяю гея специальные меры.
Методы и средства повышения надежности компьютерных
систем и достоверности информации в настоящее время доста-
точно хорошо разработаны, по этим вопросам имеется обшир-
ная литература.
Первые методы и средства косвенным образом помогают су-
щественно сократить влияние случайных воздействий и на ин-
формацию.
Мы остановимся лишь на введении в проблему и основных
ее моментах, имеющих непосредственное отношение к обеспе-
чению безопасности информации в рамках поставленной задачи
и необходимых для анализа и выработки подхода к средствам
повышения надежности с позиций безопасности информации,
обрабатываемой в системе.
Проблема надежности автоматизированных систем решается
тремя путями:
•	повышением надежности деталей и узлов;
•	построением надежных систем из менее надежных элемен-
тов за счет структурной избыточности (дублирование,
утроение элементов, устройств, подсистем и т. п.);
Глава 9. Методы и средства защиты информации ...
99
•	применением функционального контроля с диагностикой
отказа, увеличивающего надежность функционирования
системы путем сокращения времени восстановления отка-
завшей аппаратуры.
Задачами функционального контроля (ФК) системы явля-
ются: своевременное обнаружение сбоев, неисправностей и
программных ошибок, исключение их влияния на дальнейший
процесс обработки информации и указание места отказавшего
элемента, блока программы с целью последующего быстрого
восстановления системы.
Существующие методы функционального контроля компью-
терных систем могут быть разделены на программный, аппарат-
ный и комбинированный (сочетание программного с аппарат-
ным).
Сравнительная характеристика методов функционального
контроля учитывает следующие факторы:
•	надежность обнаружения;
•	возможность исправления ошибок после сбоев без вмеша-
тельства оператора;
•	время, затрачиваемое на устранение случайных ошибок;
•	количество дополнительного оборудования;
•	способы применения: параллельно или с прерыванием об-
работки информации;
•	влияние контроля на быстродействие компьютерной систе-
мы или ее производительность;
•	указание места неисправности с необходимой точностью.
Программный контроль делится на:
•	программно-логический;
•	алгоритмический;
•	тестовый.
Наиболее распространенная форма программно-логического
контроля — это двойной счет со сравнением полученных резуль-
татов. Алгоритмический контроль заключается в том, что задача,
решенная по какому-либо алгоритму, проверяется повторно по
сокращенному алгоритму с достаточной степенью точности.
Программно-логический контроль позволяет надежно обна-
руживать сбои и для его осуществления не требуется дополни-
тельного оборудования. Олнако при нем более чем вдвое снижа-
ется производительность компьютера, не обнаруживаются систе-
матические сбои, нельзя указать место отказа и тем более сбоя,
требуется дополнительная емкость памяти для программы вы-
100
Раздел II. Методы обеспечения безопасности информации...
числений. При алгоритмическом контроле производительность
компьютера выше, в остальном он обладает теми же недостатка-
ми и, кроме того, имеет ограниченное применение, так как нс
всегда удается найти для основного алгоритма сокращенный, ко-
торый был бы значительно короче основного.
Тестовый контроль, как правило, применяется для провер-
ки работоспособности комплекса средств автоматизации с по-
мощью испытательных программ.
Тестовый контроль в отличие от программно-логического
проверяет не процесс переработки информации, а пребывание
комплекса средств автоматизации или его части в работоспособ-
ном состоянии. Кроме того, тестовый контроль не всегда обна-
руживает сбои и во время проверки не может решать задачи по
рабочей программе.
В настоящее время широкое применение находят методы ап-
паратного схемного контроля и комбинированный метод.
Аппаратный контроль в отличие от программного может
обеспечивать указание о наличии сбоя или неисправности непо-
средственно в момент его возникновения. Аппаратный контроль
в комплексе средств автоматизации делится на:
•	контроль по модулю;
•	контроль при дублировании оборудования;
•	контроль при троировании оборудования с использовани-
ем мажоритарных элементов.
Контроль по модулю основывается на следующих принципах.
Из теории чисел известно, что целое положительное число мож-
но представить в виде сравнения:
Л = rtf(mod Л/)	(1)
(считается, что А сравнимо с остатком га модуля Л/), которое
устанавливает следующее соотношение между числами Л, ги и М:
А =М1 + га,
где Л, Л/, I и га — целые числа; Л — любое контролируемое «-раз-
рядное число; М — модуль, или делитель; / — частное; га — оста-
ток от деления Л на модуль М (контрольный код числа Л).
При данном метоле контроля каждому контролируемому
члену придается еще т дополнительных разрядов, в которые за-
писывается контрольный код, т. с. остаток га. Если записать вес
числа в виде сравнения (1), то после этого их можно будет скла-
Глава 9. Методы и средства защиты информации ...
101
дьтвать, перемножать, а результаты записывать в виде подобных
сравнений:
У. л = X r«S mod м(2>
1=1	1=1
П 4- = П<mod м )•	(3>
/=1	Г=1
Выражения (2) и (3) означают, что сумма (произведение) чи-
сел сравнима с суммой (произведением) остатков этих чисел по
модулю Л/.
Техническая реализация контроля по модулю заключается
в разработке специальных схем, которые в технической литера-
туре получили название «сверток». Эффективность контроля
повышается с увеличением модуля. Однако с увеличением М
непропорционально возрастает количество дополнительного
оборудования и усложняются схемы контроля. Широкое рас-
пространение в компьютерных схемах получил контроль по
модулю 2.
Дублирование оборудования позволяет путем сравнения вы-
ходных сигналов обнаружить отказ аппаратуры. Высокая эффек-
тивность такого контроля основывается на том, что вероятность
одновременного отказа двух одинаковых элементов исчезающе
мата. Недостатком этого метода яаляется не всегда имеющаяся
возможность определить, какой из каналов является исправным,
и поэтому, чтобы процесс функционирования оставался исправ-
ным, приходится одновременно в каждом из каналов применять
методы контроля, например контроль по модулю.
Троирование оборудования с элементами «голосования» по-
зволяет наряду с увеличением вероятности безотказной работы
увеличить и достоверность функционирования с помощью ма-
жоритарных элементов. Данный метод требует, разумеется, уве-
личения объемов оборудования.
В настоящее время существует много разнообразных методов
контроля, имеющих в зависимости от конкретных требований и
условий различную степень применяемости. Некоторые из этих
методов являются специализированными для определенных ти-
пов устройств и систем. Другие — приспособлены для проверки
определенных видов операций и применяются в различных ти-
пах устройств.
102
Раздел II. Методы обеспечения безопасности информации...
Поскольку результат воздействия на информацию зависит от
количества ошибок в данный момент времени, рассмотрим ве-
роятность появления этих событий.
Ввод, хранение и обработка информации в комплексах
средств автоматизации осуществляются с помощью кодов чисел
и слов по определенному алгоритму. Появление сбоев приводит
к тому, что в коде может возникнуть одиночная или групповая
ошибка (двухкратная, трехкратная и т. д.). Ошибка может счи-
таться одиночной, если она возникла в одном разряде кода числа
или слова. Считая ошибки в каждом разряде кода независимыми,
можно определить вероятность появления ошибки 1-й кратности
при известной вероятности искажения одного разряда двоичного
кода. В этом случае ошибки в каждом из разрядов подчиняются
биноминальному распределению вероятностей. Вероятность по-
явления однократной ошибки в л-разрядном двоичном коде мо-
жет быть определена из выражения
Л = nq(l-qY~\
где q — вероятность появления ошибки в отдельном разряде в
течение одной операции.
Вероятность появления двукратной ошибки
п «(л-1) 2/1	\п-2
р2 =	- g (1 -g) 
Вероятность появления ошибок 1-й кратности
Р, =
Однако оценка значения Р., аналитическим путем связана с
трудностями, которые зависят от причин, вызывающих сбои.
Получение статистического материала о сбоях каждого разряда
также является проблемным вопросом.
Р, может быть получено по более удобной формуле
Р _ /?MpZon -ии ргоп
' /!
где Гоп — длительность одной операции; цр — интенсивность от-
казов оборудования, участвующего в передаче и хранении каж-
дого разряда двоичного кода.
С увеличением кратности ошибки вероятность ее появления
уменьшается. Вероятность появления ошибки с кратностью Z-4
пренебрежимо мала. Для оценки эффективности аппаратного
Глава 9. Методы и средства защиты информации ...
103
контроля необходимо знать вероятность обнаружения (пропус-
ка) ошибок различной кратности при выбранном методе контро-
ля. В связи с этим общая вероятность пропуска ошибки
Р = У РР
пр	I M.npi
/=|
где Р{ — вероятность появления ошибки /-й кратности; Рмпр/ —
вероятность пропуска ошибки /-й кратности при выбранном ме-
тоде аппаратного контроля.
В настоящее время имеется достаточно учебной литературы
по вероятности обнаружения ошибок различной кратности при
аппаратном контроле по модулю. Вероятность обнаружения до-
полняет до единицы вероятность пропуска ошибок, т. е.
Р = 1 - Р
* М.пр/	л обн*
Например, вероятность появления двукратной ошибки мож-
но вычислить по формуле
2 2.2
р _ п МрЛж -имгоп
Вероятность пропуска двукратной ошибки при контроле по
модулю 3 вычисляется по формуле
Рнр = 0,25л2ц2/2п(1 + 0,166дцрГоп).
Способность средств функционального контроля обеспечить
своевременно (до начала последующей обработки) обнаружение
и блокировку ошибок заданной кратности определяет уровень
достоверности контроля обработки информации. Существенную
роль для качества функционального контроля играет плотность
распределения его средств обнаружения ошибок по всей «пло-
щади» контролируемой компьютерной системы, т. е. полнота ее
охвата функциональным контролем. В связи с этим при созда-
нии компьютерных систем используются следующие показатели
качества функционального контроля:
1)	время обнаружения и локализации отказов аппаратуры с
точностью до съемного элемента:
т
^обн /
’ = —
обн	’
т
104
Раздел II. Методы обеспечения безопасности информации...
где т — число экспериментов; / — номер эксперимента; Го6н, вре-
мя обнаружения отказа в /-м эксперименте;
2)	полнота контроля функционирования компьютерной сис-
темы
где лк. — суммарная интенсивность появления отказов составных
частей, охваченных контролем; Хо — суммарная интенсивность
отказов всех составных частей компьютерной системы;
3)	достоверность контроля
где ло6н — общее число отказов, обнаруженных данной системой
функционального контроля; и , — общее число отказов проведе-
ния функционального контроля при условии появления или ис-
кусственного введения отказов в каждом опыте.
Одним из основных условий эффективного функционирова-
ния информационной системы с комплексом автоматизации яв-
ляется обеспечение требуемого уровня достоверности информа-
ции. Под достоверностью информации в информационной сис-
теме понимают некоторую функцию вероятности ошибки, т. е.
события, заключающегося в том, что реальная информация в
системе о некотором параметре не совпадает в пределах задан-
ной точности с истинным значением.
Необходимая достоверность достигается использованием раз-
личных методов, реализация которых требует введения в системы
обработки информации и данных информационной, временной
или структурной избыточности. Достоверность при обработке
данных достигается путем контроля и выявления ошибок в ис-
ходных и выводимых данных, их локализации и исправления.
Условие повышения достоверности — снижение доли ошибок до
допустимого уровня. В конкретных информационных системах
требуемая достоверность устанавливается с учетом нежелатель-
ных последствий, к которым может привести возникшая ошибка,
и тех затрат, которые необходимы для ее предотвращения.
Методы контроля при обработке информации в информаци-
онной системе классифицируют по различным параметрам: по
количеству операций, охватываемых контролем, — единичный
Глава 9. Методы и средства защиты информации ...
105
(одна операция), групповой (группа последовательных опера-
ций), комплексный (контролируется, например, процесс сбора
данных); по частоте контроля — непрерывный, циклический,
периодический, разовый, выборочный, по отклонениям; по вре-
мени контроля — до выполнения основных операций, одновре-
менно с ними, в промежутках между основными операциями,
после них; по виду оборудования контроля — встроенный, кон-
троль с помощью дополнительных технических средств, бсзап-
паратный; по уровню автоматизации — «ручной», автоматизиро-
ванны й, автомата чес ки й.
Различают системные, программные и аппаратные методы
контроля достоверности.
Системные методы включают:
•	оптимизацию структуры обработки;
•	поддержание характеристик оборудования в заданных пре-
делах;
•	повышение культуры обработки;
•	обучение и стимулирование обслуживающего персонала;
•	создание оптимального числа копий и (или) предыстории
программ исходных и текущих данных;
•	определение оптимальной величины пакетов данных и ско-
рости первичной обработки;
•	процедур доступа к массивам данных и др.
Программные методы повышения достоверности информации
состоят в том, что при составлении процедур обработки данных в
них предусматривают дополнительные операции, имеющие мате-
матическую или логическую связь с алгоритмом обработки дан-
ных. Сравнение результатов этих дополнительных операций с ре-
зультатами обработки данных позволяет установить с определен-
ной вероятностью наличие или отсутствие ошибок. На основании
этого сравнения, как правило, появляется возможность испра-
вить обнаруженную ошибку.
Аппаратные методы контроля и обнаружения ошибок могут
выполнять практически те же функции, что и программные. Ап-
паратными методами обнаруживают ошибки быстрее и ближе к
месту их возникновения, а также ошибки, недоступные для про-
граммных методов.
Все перечисленные методы контроля обработки данных ба-
зируются на использовании определенной избыточности. При
этом различают методы контроля со структурной, временной и
информационной избыточ ностью.
106
Раздел II. Методы обеспечения безопасности информации...
Структурная избыточность требует введения в состав ин-
формационной системы дополнительных элементов (резервиро-
вание информационных массивов и программных модулей, реа-
лизация одних и тех же функций различными программами,
схемный контроль в технических средствах системы и т. д.).
Временная избыточность связана с возможностью неодно-
кратного повторения определенного контролируемого этапа об-
работки данных. Обычно этап обработки повторяют неоднократ-
но и результаты обработки сравнивают между собой. В случае
обнаружения ошибки производят исправления и повторную об-
работку.
Информационная избыточность может быть естественной и
искусственной.
Естественная информационная избыточность отражает
объективно существующие связи между элементами обработ-
ки, наличие которых позволяет судить о достоверности инфор-
мации.
Искусственная информационная избыточность характеризу-
ется введением дополнительных информационных разрядов в
цифровом представлении обрабатываемых данных и дополни-
тельных операций в процедуре их обработки, имеющих матема-
тическую или логическую связь с алгоритмом обработки дан-
ных. На основании анализа результатов дополнительных опера-
ций и процедур обработки данных, а также дополнительных
информационных разрядов выявляется наличие или отсутствие
ошибок определенного типа, а также возможности их исправ-
ления.
В работах по повышению достоверности информации рас-
сматриваются совместно помехоустойчивость и надежность сис-
тем передачи и обработки информации с позиций качества та-
ких систем.
В зависимости от характера информации, особенностей ал-
горитмов системы, а также от задач, стоящих перед ее адресата-
ми, можно определить следующие зависимости содержания ин-
формации от ошибок при ее передаче:
•	смысловой объем информации в сообщении уменьшается
пропорционально числу искаженных разрядов в кодовой
комбинации данного сообщения;
•	искажение одного или нескольких разрядов приводит поч-
ти к полной потере остальной части информации, содержа-
щейся в смысловом отрезке информации в сообщении.
Глава 9. Методы и средства защиты информации ...
107
Проанализируем способность средств функционального кон-
троля и повышения достоверности информации к защите от слу-
чайных разрушений, модификации и утечки информации.
Известно, что отказы, сбои в аппаратуре и ошибки в про-
граммном обеспечении могут привести к нарушению функцио-
нирования компьютерной системы, к разрушению и изменению
информации на ложную. Анализ принятого в современных авто-
матизированных системах представления информации в цифро-
вом виде показывает, что на один байт приходится одна буква,
цифра или символ. Одно слово может занимать в русском языке
от 1 до 20 букв. Каждой букве, цифре и символу присвоены дво-
ичные коды. Таблица кодов составлена так, что пропадание или
появление одной 1 в разрядах приводит к изменению одной бук-
вы (символа, цифры) на другую. При этом можно утверждать,
что в этом случае имеет место однократная ошибка, которая от-
носительно легко обнаруживается простыми средствами аппа-
ратного контроля (например, контролем по модулю 2). В случае
же появления двукратной ошибки в байте могут измениться два
разряда. Контроль по модулю 2 этого не обнаруживает, что уже
может привести к незаметному изменению одной буквы на дру-
гую. В русском языке существуют слова, которые меняют свой
смысл на другой при замене одной буквы другой. Это и есть мо-
дификация информации. При трехкратной ошибке вероятность
этого события, естественно, увеличивается. Правда, вероятность
появления трехкратной ошибки меньше по сравнению с двух-
кратной, но это слабый аргумент, так как ее величина при боль-
шом количестве аппаратных средств, интенсивности и накопле-
нии их отказов может быть весьма ощутимой на большом отрез-
ке времени работы компьютерной системы.
Если рассматривать искажение информации (без ее модифи-
кации) как разрушение информации, условием его возникнове-
ния может считаться однократная ошибка, несмотря на то, что
пропадание одной буквы не всегда ведет к потере информации.
Для возникновения случайной утечки информации при се
обработке в компьютерной системе необходимо, чтобы в резуль-
тате случайных воздействий был перепутан адрес получателя или
в правильный адрес была выдана другая информация, для него
не предназначенная. В первом случае, например, заменилась
одна из букв другой (модификация), во втором — адресация яче-
ек памяти ОЗУ, из которого считывалась информация до сс пе-
редачи получателю (тоже модификация).
108
Раздел II. Методы обеспечения безопасности информации...
Таким образом, можно полагать, что в нашем случае утечка
информации — это частный случай ее модификации. Следова-
тельно, средства функционального контроля в принципе защи-
щают информацию от случайных разрушений, модификации и
утечки. Рассматривая вероятность появления этих событий при
отсутствии функционального контроля, заметим, что для раз-
рушения информации (какой-то ее части) достаточно одно-
кратной ошибки, для модификации и утечки необходимы до-
полнительные условия. Для наступления события, выражающе-
гося в случайной распечатке или отображении информации на
средствах, не предназначенных для этой цели, необходимо,
чтобы из потока ошибок появилась такая, при которой ка-
кая-либо команда изменилась на команду «печать» или «ото-
бражение», и по санкционированной команде информация
была бы взята не по тому адресу из памяти или была направле-
на не на то техническое средство системы. Возможны и другие
ситуации. Для наступления события, выражающегося в моди-
фикации информации, необходимо, чтобы из потока ошибок
появилась такая ошибка или группа ошибок, благодаря кото-
рым действительная информация изменилась бы на ложную,
была бы не обнаружена и подверглась бы дальнейшей обра-
ботке.
Вероятность указанных событий зависит от многих факто-
ров, но, анализируя приведенные относительные условия их на-
ступления, можно дать им некоторую сравнительную оценку.
Вероятность разрушения информации от случайных воздействий
больше, чем ее модификации, а вероятность модификации ин-
формации больше вероятности ее утечки. Эта оценка необходи-
ма для выработки подхода к функциональному контролю с по-
зиций защиты информации, который выражается в предъявле-
нии к средствам функционального контроля дополнительных
требований, выполнение которых может потребовать дополни-
тельных средств. Дополнительные требования заключаются в
реализации уменьшения вероятности модификации и утечки ин-
формации существующими средствами повышения надежности
и достоверности информации. Для выполнения этой задачи в
настоящее время применяются специальные системотехниче-
ские решения:
•	изоляция областей доступа к информации;
•	специальная организация работы с информацией и данны-
ми, хранящимися в памяти компьютерной системы.
Глава 9. Методы и средства защиты информации ...
109
Изоляция областей доступа к информации компьютерной
системы осуществляется также в целях поддержки разграничения
санкционированного доступа.
В целях исключения несанкционированного обмена между
пользователями рекомендуется при проектировании сводить к
минимуму число общих для них параметров и характеристик ме-
ханизма защиты. Несмотря на то, что функции операционной
системы и системы разрешения доступа перекрываются, система
разрешения доступа должна конструироваться как изолирован-
ный программный модуль, т. е. защита должна быть отделена от
функций управления данными. Выполнение этого принципа по-
зволяет программировать систему разрешения доступа как авто-
номный пакет программ с последующей независимой отладкой
и проверкой. Данный пакет программ должен размещаться в за-
щищенном поле памяти, чтобы обеспечить системную локализа-
цию попыток проникновения извне. Всякая попытка проникно-
вения со стороны, в том числе операционной системы, должна
автоматически фиксироваться, документироваться и отвергаться,
если вызов не предусмотрен.
Естественно, что реализация обособленного механизма за-
щиты потребует увеличения объемов программ. При этом может
возникнуть дублирование управляющих и вспомогательных про-
грамм. а также необходимость в разработке самостоятельных вы-
зываемых функций.
Информация, содержащаяся в компьютерной системе, мо-
жет быть поделена между пользователями, что требует размеще-
ния ее в неперссекаюшихся областях, отведенных для ее хране-
ния. В каждой из этих областей хранится совокупность инфор-
мационных объектов, подлежащих в равной степени защите.
В процессе эксплуатации системы необходимо обеспечить на-
дежное разграничение доступа к информации. Для этой цели
помимо организации доступа с помощью системы паролей в
систему при проектировании закладываются дополнительные
меры по изоляции областей доступа, нарушение которых по
причине отказов и программных ошибок не приводило бы к не-
санкционированному доступу к информации. К таким мерам
относится организация обращений процессора к памяти через
регистр дескриптора, содержимое которого определяет границы
доступной в данный момент области памяти путем задания ад-
ресов сс начала и конца. Таким образом, содержимое регистра
является описанием (дескриптором) программы, так как она за-
110
Раздел II. Методы обеспечения безопасности информации...
дает расположение объекта в памяти. Благодаря тому, что все
обращения к памяти проходят через блок проверки дескрипто-
ров, создается некоторый барьер.
В случае наличия в системе общего поля памяти, которое не-
обходимо для решения поставленных задач, схемы защиты до-
пускают обмен информацией между пользователями. Тогда при-
меняются списковые и мандатные схемы защиты. Списковые схе-
мы — те, в которых система охраны снабжается списком всех
лиц, имеющих право доступа к информации (для получения
права доступа достаточно предъявить свой идентификатор).
Мандатные схемы — те, в которых система охраны реализует
только один вид мандата, а пользователь должен иметь набор
мандатов для доступа к каждому из необходимых ему объектов.
В списковой схеме при каждом обращении просмотр списка
повторяется, т. е. доступ сопряжен с процедурой ассоциативного
поиска. В мандатных схемах пользователь сам решает, какой
объект ему нужен, и выбирает необходимый мандат или некото-
рое их количество из тех, к которым он допущен.
Раздельный подход к защите информации от преднамерен-
ного и случайного несанкционированного доступа, рассматри-
ваемый в данном учебном пособии, предполагает отнести мно-
гие уже известные отдельные специальные технические решения
по защите к средствам защиты от случайных воздействий. К ним
можно отнести специальные средства защиты операционной
системы и памяти, приведенные выше.
Анализ изложенного позволяет отметить следующие особен-
ности требований к средствам функционального контроля и по-
вышению достоверности с позиций защиты информации от не-
санкционированного доступа:
•	определенная целенаправленность мероприятий по функ-
циональному контролю и повышению достоверности, вы-
раженная в увязке технического представления информа-
ции с ее смыслом и содержанием;
•	определение зависимости безопасности информации от
кратности ошибок при ее обработке.
Наибольшую опасность составляют многократные ошибки,
приводящие к модификации самой информации и команд, осу-
ществляющих ее обработку. При этом уровень безопасности ин-
формации находится в прямой зависимости от количества одно-
временно возникающих ошибок. Способность средств функцио-
нального контроля к их обнаружению и определяет уровень
Глава 9. Методы и средства защиты информации ...
111
безопасности информации. Поскольку вероятность появления
четырехкратной ошибки относительно мала, то вероятность об-
наружения двух- и трехкратных ошибок и будет мерой безопас-
ности информации от отказов аппаратуры. Сложнее эта пробле-
ма с программными ошибками, заложенными еще на этапе про-
ектирования программного обеспечения. Работы в направлении
выявления подобных ошибок и повышения надежности про-
граммного обеспечения ведутся на протяжении всего жизненно-
го цикла программного обеспечения.
Анализ приведенных средств функционального контроля и
повышения достоверности информации, а также специальных
технических решений показывает, что с увеличением количества
байтов в слове вероятность его модификации от случайных воз-
действий уменьшается, так как увеличивается кодовое расстоя-
ние по отношению к другим словам, командам, сообщениям.
В этом смысле наименее устойчивы короткие слова и особенно
цифры. Приведенный метод защиты от переадресации памяти
одному адресу присваивает дополнительную специальную про-
цедуру и код, что, естественно, уменьшает вероятность случай-
ного формирования такой процедуры и обращений по этому ад-
ресу других процедур и команд. Поэтому в целях повышения
безопасности информации, а следовательно, и надежности ком-
пьютерной системы, может быть, следует пересмотреть методы
кодирования символов, команд и адресов (включая адреса уст-
ройств и процессов) на предмет увеличения кодового расстояния
между ними и уменьшения вероятности превращения одной ко-
манды или адреса в другие, предусмотренные в данной системе
для других целей. Это позволит не разрабатывать некоторые
сложные специальные программы, которые не устраняют причи-
ны и условия появления случайных событий, а лишь обнаружи-
вают их, да и то нс всегда и в неподходящее время, т. с. когда
событие уже произошло и основная задача по его предупрежде-
нию не выполнена.
Проблема защиты информации в информационных системах
от случайных воздействий достойна отдельного и более глубоко-
го изложения. Пока же на уровне комплекса средств автоматиза-
ции она решается косвенным путем за счет повышения надеж-
ности работы аппаратных средств и применения тестирующих
программ. Средствами, решающими непосредственно эту задачу,
являются лишь средства повышения достоверности информации
при ее передаче по каналам связи между удаленными объектами.
112
Раздел II. Методы обеспечения безопасности информации...
Глава 10
МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
ПРИ АВАРИЙНЫХ СИТУАЦИЯХ
Безопасность информации при аварийных ситуациях заклю-
чается в создании средств предупреждения, контроля и органи-
зационных мер по исключению несанкционированного доступа
на комплексе средств автоматизации в условиях отказов его
функционирования, отказов системы защиты информации, сис-
тем жизнеобеспечения людей на объекте размещения и при воз-
никновении стихийных бедствий.
Практика показывает, что хотя аварийная ситуация — собы-
тие редкое (вероятность ее появления зависит от многих при-
чин, в том числе не зависящих от человека, и эти причины мо-
гут быть взаимосвязаны), защита от нес необходима, так как по-
следствия в результате ее воздействия, как правило, могут
оказаться весьма тяжелыми, а потери — безвозвратными. Затра-
ты на безопасность информации при аварийных ситуациях могут
быть относительно малы, а эффект в случае аварии — большим.
Отказ функционирования комплекса средств автоматизации
может повлечь за собой отказ системы обеспечения безопасности
информации, может открыться доступ к ее носителям: магнит-
ным лентам, дискам и т. д., что может привести к преднамерен-
ному разрушению, хищению или подмене носителя. Несанкцио-
нированный доступ к внутреннему монтажу аппаратуры может
привести к подключению посторонней аппаратуры, разрушению
или изменению принципиальной электрической схемы.
Отказ системы жизнеобеспечения может привести к выводу
из строя обслуживающего и контролирующего персонала. Сти-
хийные бедствия — пожар, наводнение, землетрясение, удары
молнии и т. д. — могут также привести к указанным выше по-
следствиям. Аварийная ситуация может быть создана преднаме-
ренно нарушителем. В последнем случае применяются организа-
ционные мероприятия.
На случай отказа функционирования комплекса средств ав-
томатизации подсистема контроля вскрытия аппаратуры снабжа-
ется автономным источником питания. Для исключения безвоз-
вратной потери информации носители информации дублируются
и хранятся в отдельном удаленном и безопасном месте. Для за-
Глава 11. Организационные мероприятия по обеспечению безопасности... 113
щиты от утечки информация должна храниться в закрытом крип-
тографическим способом виде. В целях своевременного приня-
тия мер по защите системы жизнеобеспечения устанавливаются
соответствующие датчики, сигналы с которых поступают на цен-
трализованные системы контроля и сигнализации.
Наиболее частой и типичной естественной угрозой является
пожар. Он может возникнуть по вине обслуживающего персона-
ла, при отказе аппаратуры, а также в результате стихийного бед-
ствия.
Болес подробно и глубоко вопросы защиты от стихийных
бедствий рассмотрены в специальной литературе, в том числе и
учебной.
•<
Глава 11
ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Организационные мероприятия по защите информации в
информационных системах заключаются в разработке и реализа-
ции административных и организационно-технических мер при
подготовке и эксплуатации системы.
Организационные меры, по мнению специалистов, несмотря
на постоянное совершенствование технических мер, составляют
значительную часть (~50 %) системы обеспечения безопасности
информации. Они используются тогда, когда компьютерная сис-
тема не может непосредственно контролировать использование
информации. Кроме того, в некоторых ответственных случаях в
целях повышения эффективности защиты полезно иногда тех-
нические меры продублировать организационными.
Оргмеры по обеспечению информационной безопасности
систем в процессе их функционирования и подготовки охватыва-
ют решения и процедуры, принимаемые руководством организа-
ции-потребителя системы. Хотя некоторые из них могут опреде-
ляться внешними факторами, например законами или правитель-
ственными постановлениями, большинство проблем решается
внутри организации в конкретных условиях.
Составной частью любого плана мероприятий должно быть
четкое указание целей, распределение ответственности и пере-
114
Раздел II. Методы обеспечения безопасности информации...
чень организационных мер зашиты. Конкретное распределение
ответственности и функций по реализации защиты от организа-
ции к организации может изменяться, но тщательное планиро-
вание и точное распределение ответственности являются необ-
ходимыми условиями создания эффективной и жизнеспособной
системы защиты.
Организационные меры по обеспечению безопасности ин-
формации в информационных системах должны охватывать
этапы:
•	проектирования;
•	разработки;
•	изготовления;
•	испытаний;
•	подготовки к эксплуатации;
•	непосредственно эксплуатации системы.
В соответствии с требованиями технического задания в орга-
низации-проектировщике наряду с техническими средствами
разрабатываются и внедряются организационные мероприятия
по обеспечению безопасности информации на этапе создания
системы. Под этапом создания понимаются проектирование, раз-
работка, изготовление и испытание системы. При этом следует
отличать мероприятия по обеспечению безопасности информа-
ции, проводимые организацией-проектировщиком, разработчи-
ком и изготовителем в процессе создания системы и рассчитан-
ные на защиту от утечки информации в данной организации, и
мероприятия, закладываемые в проект и разрабатываемую доку-
ментацию на систему, которые касаются принципов организации
зашиты в самой системе и из которых вытекают организацион-
ные мероприятия, рекомендуемые в эксплуатационной докумен-
тации организацией-разработчиком, на период ввода и эксплуа-
тации системы. Выполнение этих рекомендаций сеть определен-
ная гарантия зашиты информации в информационной системе.
К оргмероприятиям по обеспечению безопасности информа-
ции в процессе создания системы относятся:
•	введение на необходимых участках проведения работ с ре-
жимом секретности;
•	разработка должностных инструкций по обеспечению ре-
жима секретности в соответствии с действующими в стране
инструкциями и положениями;
•	при необходимости выделение отдельных помещений с ох-
ранной сигнализацией и пропускной системой;
Глава 11. Организационные мероприятия по обеспечению безопасности... 115
•	разграничение задач по исполнителям и выпуску докумен-
тации;
•	присвоение грифа секретности материалам, документации,
аппаратуре и хранение их под охраной в отдельных поме-
щениях с учетом и контролем доступа исполнителей;
•	постоянный контроль за соблюдением исполнителями ре-
жима и соответствующих инструкций;
•	установление и распределение ответственных лиц за утечку
информации;
•	другие меры, устанавливаемые главным конструктором при
создании конкретной системы.
Организационные мероприятия, закладываемые в инструк-
цию по эксплуатации на систему и рекомендуемые организа-
ции-потребителю, должны быть предусмотрены на периоды под-
готовки и эксплуатации системы.
Указанные мероприятия как метод обеспечения безопасно-
сти информации предполагают систему организационных мер,
дополняющих и объединяющих перечисленные выше техниче-
ские меры в единую систему безопасности информации. По-
скольку организационные меры являются неотъемлемой частью
системы обеспечения безопасности информации в информаци-
онных системах с комплексами автоматизации обработки ин-
формации, дальнейшее их описание приведено ниже в соответ-
ствующих разделах.
Контрольные вопросы
1.	Приведите основные методы обеспечения безопасности информации?
2.	Опишите основные методы шифрования информации?
3.	Проведите классификацию криптографических методов преобразования ин-
формации? Каким образом осуществляется выбор метода преобразования?
4.	Опишите принципы лежащие в основе методов контроля достоверности?
5.	Раскройте сущность принципа изоляции областей доступа к информации?
6.	Опишите списковые и мандатные схемы защиты?
7.	Приведите основные методы обеспечения безопасности информации при
аварийных ситуациях?
8.	Постройте структуру системы организационных мероприятий по обеспече-
нию безопасности информации?
Раздел III
ПРОЕКТИРОВАНИЕ СИСТЕМЫ ОБЕСПЕЧЕНИЯ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
ОБРАБОТКИ ИНФОРМАЦИИ И ДАННЫХ
Глава 1
КОНЦЕПТУАЛЬНЫЕ ОСНОВЫ ПРОЕКТИРОВАНИЯ
СИСТЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ
Анализ развития концепций систем обеспечения
безопасности информации в информационных системах
Решение проблемы обеспечения безопасности информации в
информационных системах в настоящее время приняло регуляр-
ный характер и осуществляется на промышленной основе с вло-
жением значительных средств. Тем не менее с течением времени
острота проблемы безопасности информации не снижается.
В последние года во всех странах предпринимаются большие
усилия в области защиты информации. В некоторых странах
даже созданы федерации по борьбе с хищениями математиче-
ского обеспечения и информации в информационно-информа-
ционных системах и сетях. Большое число промышленных и
иных фирм специализируется на производстве средств зашиты,
оказании консультационной помощи, проектировании и внедре-
нии механизмов защиты, проведении ревизий и оценке эффек-
тивности защиты.
Глава 1. Концептуальные основы проектирования системы...
117
В развитии процессов и систем обеспечения безопасности
информации можно выделить несколько этапов.
Центральной идеей первого этапа создания системы безопас-
ности являлось намерение обеспечивать надежную защиту ин-
формации механизмами, содержащими в основном технические
и программные средства.
Техническими были названы такие средства, которые реализу-
ются в виде электрических, электромеханических и электронных
устройств. Всю совокупность технических средств было принято
делить на аппаратные и физические. Под аппаратными техниче-
скими средствами защиты понимаются устройства, встраиваемые
непосредственно в аппаратуру информационных систем, или уст-
ройства, которые сопрягаются с аппаратурой данных систем по
стандартному интерфейсу. Физическими средствами названы та-
кие, которые реализуются в виде автономных устройств и систем
(электронно-механическое оборудование охранной сигнализации
и наблюдения, замки на дверях, решетки на окнах и т. п.).
Технические средства — понятие более широкое, к ним мож-
но отнести аппаратные, физические и программные средства, а
к физическим — и аппаратные.
Программные средства защиты — это программы, специаль-
но предназначенные для выполнения функций, связанных с за-
щитой информации.
Указанные средства и составляли основу механизмов систе-
мы безопасности на первом этапе (60-е годы прошлого века). При
этом господствовало убеждение, что основными средствами сис-
темы безопасности информации являются программные, причем
считалось, что программы системы безопасности информации
будут работать эффективнее, если будут включены в состав об-
щесистемных компонентов программного обеспечения. Поэтому
первоначально программные механизмы системы безопасности
включались в состав операционных систем или систем управле-
ния базами данных. Практика показала, что надежность меха-
низмов защиты такого типа является явно недостаточной.
Следующей попыткой расширения рамок и повышения эф-
фективности обеспечения программной системы безопасности
стала организация дифференцированного разграничения доступа
пользователей к информации и данным, находящимся в информа-
ционной системе. Для этого идентифицировались все пользовате-
ли и вес элементы защищаемой информации и данных, устанав-
ливалось каким-либо образом соответствие между идентификато-
118
Раздел III. Проектирование системы обеспечения безопасности...
рами пользователей и идентификаторами элементов информации
и данных и строилась алгоритмическая процедура проверки ло-
яльности каждого запроса пользователя. Испытания и углублен-
ные исследования подобных систем, проведенные в течение не-
скольких лет, установили несколько путей обхода ее механизмов
разгра н и чей и я доступа.
Уникальной по своему содержанию была система безопасно-
сти ресурса (СБР) в операционной системе, разработанной в
фирме IBM. Перед разработчиками была поставлена задача реа-
лизовать три основные функции защиты:
•	изоляцию;
•	контроль доступа;
•	контроль уровня зашиты.
Кроме того, предполагалось, что программная защита будет
дополняться комплексом организационных мер под руково-
дством специального должностного лица — офицера безопасно-
сти. Всесторонние испытания системы безопасности ресурса по-
казали в ней ряд серьезных недостатков.
В итоге специалисты пришли к выводу, что концепция сис-
темы обеспечения безопасности информации, основывающаяся
на концентрации механизмов защиты в рамках операционной
системы, нс отвечает требованиям надежной защиты информа-
ции, особенно в автоматизированных системах обработки ин-
формации и данных и информационных системах с повышен-
ной секретностью.
Для преодоления указанных недостатков разрабатывались
следующие решения:
1)	создание в механизмах защиты специального организую-
щего элемента — ядра безопасности;
2)	децентрализация механизмов защиты, вплоть до создания
элементов, находящихся под управлением пользователей инфор-
мационной системы и систем автоматизации;
3)	расширение арсенала используемых средств обеспечения
безопасности информации.
Развитие концепции, основанной на перечисляемых реше-
ниях, и составило содержание второго этапа (70-е годы прошлого
века). На втором этапе интенсивно развивались средства заши-
ты, особенно технические и криптографические.
Однако, несмотря на все принятые меры, надежная защита
информации опять оказалась недостижимой, о чем красноречи-
во говорили реальные факты злоумышленного доступа к инфор-
Глава 1. Концептуальные основы проектирования системы...
119
мации. К тому же именно в это время была доказана теория (ее
иногда называют теоремой Харрисона) о невозможности решить
для общего случая задачу о безопасности произвольной системы
защиты при общем задании на доступ.
На этом основании в зарубежной печати все чаще стали по-
являться высказывания о том, что вообще нет предпосылок для
надежного обеспечения безопасности информации.
Таким образом, второй период, начавшись с оптимистиче-
ских надежд на реализацию надежного механизма обеспечения
безопасности информации, закончился унылым пессимизмом о
невозможности вообще обеспечить надежную защиту.
Поиски выхода из такого тупикового состояния и составля-
ют основное содержание третьего этапа (с 80-х гг. прошлого века)
развития концепций обеспечения безопасности информации.
При этом генеральным направлением поисков стало неуклонное
повышение системности подхода к самой проблеме зашиты ин-
формации. Понятие системности интерпретировалось прежде
всего в смысле нс просто создания соответствующих механизмов
зашиты, но и в смысле регулярности процесса, осуществляемого
на всех этапах жизненного цикла информационной системы при
комплексном использовании всех имеющихся средств обеспече-
ния безопасности информации.
При этом все средства, методы и мероприятия, используе-
мые для системы обеспечения безопасности информации, не-
пременно и наиболее рациональным образом объединяются в
единый целостный механизм — систему защиты.
В этой системе должны быть по крайней мере четыре защит-
ных пояса:
•	внешний пояс (периметр), охватывающий всю территорию,
на которой расположены сооружения информационной
системы и автоматизированной системы обработки;
•	пояс сооружений, помещений или устройств информаци-
онной системы;
•	пояс компонентов системы (технических средств, про-
граммного обеспечения, элементов баз данных);
•	пояс технологических процессов обработки информации и
данных (ввод-вывод, внутренняя обработка и т. п.)
Как пример практической реализации системного подхода к
обеспечению безопасности информации является проект систе-
мы защиты, разрабатывавшейся фирмой Honeywell Inc. по кон-
тракту с министерством обороны США.
120
Раздел III. Проектирование системы обеспечения безопасности...
В качестве исходных были приняты три следующих поло-
жения:
1)	система защиты информации разрабатывается и внедряет-
ся одновременно с разработкой самой информационной систе-
мы и ее автоматизированной системой обработки;
2)	реализация функции защиты — преимущественно аппа-
ратная;
3)	должно быть строго доказано обеспечение задаваемого
уровня защиты.
Специалисты центра системных исследований фирмы
Honeywell Inc. заявили, что ими разработан специальный мате-
матический аппарат, позволяющий определять степень защи-
щенности информации и имеющий не меньшее значение, чем
создание компьютера с высоким уровнем защиты. Этот матема-
тический аппарат разработан на основе дальнейшего развития
результатов, полученных в процессе разработки средств защиты
информации для систем Multics и Scomp, а также при создании
фирмой SRI International операционной системы с доказуемой
защищенностью данных.
Большое внимание при разработке систем защиты уделяется
проблемам зашиты программного обеспечения информацион-
ной системы и ее системы автоматизации, что обусловлено ря-
дом обстоятельств.
Во-первых, программное обеспечение играет решающую
роль в качественной обработке информации.
Во-вторых, программы все больше и больше становятся
предметом коммерческой тайны.
В-третьих, программные средства являются одним из наибо-
лее уязвимых компонентов информационных систем.
Особую тревогу вызывает все, что связано с компьютерными
вирусами.
Анализ видов автоматизированных систем обработки
информации и выбор общего подхода к построению
системы ее безопасности
Проблема безопасности информации охватывает широкий
спектр информационных и автоматизированных систем се обра-
ботки — от персонального компьютера и больших информаци-
Глава 1. Концептуальные основы проектирования системы...
121
онных комплексов до глобальных информационных сетей и ав-
томатизированных систем управления различного назначения.
Наряду с известными и необходимыми для выполнения сво-
их задач по прямому назначению характеристиками, такими, как
надежность функционирования, устойчивость к внешним воз-
действиям и скорость обработки информации и данных, каждая
из этих систем должна обеспечивать гарантированную безопас-
ность обрабатываемой информации. Данная характеристика, или
свойство системы, по своему значению не уступает приведен-
ным характеристикам и часто даже превосходит их. Это видно
хотя бы из того, что при отказе функционирования системы
ценная информация в ней должна быть сохранена, т. е. не долж-
на претерпеть никаких изменений, не быть разрушенной или
похищенной и не быть доступной посторонним лицам.
В целях выработки общего подхода к решению этой задачи
для всех видов информационных систем и систем автоматизации
обработки информации и данных рассмотрим их классификацию
по принципам построения, приведенную на рис. 1, гл. 2, разд. I.
Анализ этой классификации (основанной на видах обраще-
ния к информации и данным) позволяет разделить информаци-
онные системы и системы автоматизации обработки информа-
ции и данных на два вида:
•	с централизованной;
•	с децентрализованной обработкой данных.
К информационным системам с централизованной обработ-
кой информации и данных относятся:
•	компьютеры;
•	информационные и вычислительные комплексы и системы.
К информационным системам с децентрализованной обра-
боткой информации и данных относятся:
•	системы телеобработки данных;
•	распределенные системы обработки информации и дан-
ных;
•	информационные и вычислительные сети (сети передачи
информации и данных);
•	автоматизированные системы управления.
При рассмотрении структуры и принципов построения ин-
формационных систем и автоматизированных систем обработки
информации и данных следует обратить внимание на следую-
щую закономерность, вытекающую из последовательного их раз-
вития в сторону усложнения состава технических средств и ум-
122
Раздел III. Проектирование системы обеспечения безопасности...
ножения выполняемых задач: каждый последующий вид подоб-
ных систем может включать все предыдущие.
Информационные и вычислительные системы могут содер-
жать в своем составе информационные и вычислительные ком-
плексы и компьютеры.
Автоматизированные системы управления — информацион-
ные и вычислительные системы, соединенные через информаци-
онную и распределенную вычислительную сеть каналами связи.
Информационная и распределенная вычислительная сеть со-
стоят также из информационных и информационных систем,
соединенных между собой каналами связи.
Только часть этих систем выполняет задачи узлов коммута-
ции сообщений, а остальные — задачи абонентских комплексов.
Таким образом, информационную или информационную систе-
му с позиций безопасности информации можно рассматривать
как некий базовый элемент информационной или информаци-
онной сети и автоматизированной системы управления.
Обобщенная функциональная схема такой системы пред-
ставлена на рис. 1, а.
Общий подход к разработке концепции безопасности ин-
формации для указанных ИС заключается в анализе этого эле-
мента, разработке концептуальных основ защиты информации
на его уровне и затем на уровне информационной сети и авто-
матизированной системы управления.
Такой подход удобен переходом от простого к сложному, а
также и тем, что позволит получить возможность распростране-
ния полученных результатов на персональный компьютер и ло-
кальную компьютерную сеть, рассматривая первую как инфор-
мационную систему с централ изованн ой, а вторую — с децен-
трализованной обработкой информации и данных.
Напомним еше раз, что понятие «информационная система»
используется и в более широком смысле, а также и то, что в по-
следнее время в качестве такого элемента могут выступать ло-
кальные компьютерные сети. Поэтому для представления ин-
формационной системы с децентрализованной обработкой ин-
формации и данных используем известное понятие «комплекс
средств автоматизации обработки информации» (КСА), которое
может включать либо упомянутую информационную систему,
либо локальную вычислительную сеть, либо их сочетание, либо
несколько таких систем. Принадлежность их к одному комплек-
су средств автоматизации обработки информации будет отличать
Глава 1. Концептуальные основы проектирования системы...
123
выполнение обшей задачи, линии связи между собой и общий
выход в каналы связи сети передачи данных, а также расположе-
ние на одной контролируемой владельцем комплекса средств ав-
томатизации обработки информации территории.
Изложенное позволяет в качестве объекта проектирования и
эксплуатации выбрать обобщенную структуру автоматизирован-
ной системы управления, представленную на рис. 1, б. В данном
варианте изображена автоматизированная система управления, в
состав которой могут входить все перечисленные виды инфор-
мационных систем и где комплекс средств автоматизации обра-
ботки информации и управления КСА (УК), аппаратура переда-
чи данных (АПД) остальных комплексов средств автоматизации
обработки информации с каналами связи образуют сеть переда-
чи данных (СПД), комплекс средств автоматизации обработки
информации является управляющим звеном автоматизирован-
а
Рис. 1. Обобщенная функциональная схема информационной системы
с централизованной обработкой информации и данных (а)
124
Раздел III. Проектирование системы обеспечения безопасности...
Рис. 1 (продолжение). Обобщенная структура автоматизированной системы об-
работки информации и управления (б):
КСА — комплекс средств автоматизации; КСА (УК) — комплекс средств автома-
тизации (управляющий комплекс); АП ИД — аппаратура передачи информации и
данных; СПИД — сеть передачи информации и данных
ной системы управления, остальные комплексы средств автома-
тизации обработки информации — управляемые звенья автома-
тизированной системы управления.
Глава 1. Концептуальные основы проектирования системы...
125
Основы теории обеспечения безопасности информации
от несанкционированного доступа
Для постановки задачи рассмотрим некоторые первоначаль-
ные условия. Такие условия для нас будут создавать модель ожи-
даемого поведения потенциального нарушителя.
Модель поведения потенциального нарушителя. Нарушением
считается попытка несанкционированного доступа к любой час-
ти подлежащей защите информации, хранимой, обрабатываемой
и передаваемой в информационной системе.
Поскольку время и место проявления преднамеренного не-
санкционированного доступа предсказать невозможно, целесо-
образно воссоздать некоторую модель поведения потенциально-
го нарушителя, предполагая наиболее опасную ситуацию:
а)	нарушитель может появиться в любое время и в любом
месте периметра информационной системы;
б)	квалификация и осведомленность нарушителя может быть
на уровне разработчика данной системы;
в)	постоянно хранимая информация о принципах работы
системы, включая секретную, нарушителю известна;
г)	для достижения своей цели нарушитель выберет наиболее
слабое звено в защите;
д)	нарушителем может быть нс только постороннее лицо, но
и законный пользователь системы;
е)	нарушитель действует один.
Данная модель позволяет определиться с исходными данны-
ми для построения защиты и наметить основные принципы ее
построения.
Согласно п. «а» необходимо строить вокруг предмета защиты
постоянно действующий замкнутый контур (или оболочку) за-
щиты (периметр).
Согласно п. «б» свойства преграды, составляющие защиту,
должны по возможности соответствовать ожидаемой квалифика-
ции и осведомленности нарушителя.
Согласно п. «в» для входа в систему законного пользователя
необходима переменная секретная информация, известная толь-
ко ему.
Согласно п. «г» итоговая прочность защитного контура опре-
деляется его слабейшим звеном.
126
Раздел III. Проектирование системы обеспечения безопасности...
Согласно п. «д» при наличии нескольких законных пользова-
телей полезно обеспечить разграничение их доступа к информа-
ции в соответствии с полномочиями и выполняемыми функция-
ми. реализуя таким образом принцип наименьшей осведомлен-
ности каждого пользователя с целью сокращения ущерба в
случае, если имеет место безответственность одного из них. От-
сюда также следует, что расчет прочности защиты должен про-
изводиться для двух возможных исходных позиций нарушителя:
•	за пределами контролируемой территории (периметра);
•	внутри нее.
Согласно п. «е» в качестве исходной предпосылки также счи-
таем, что нарушитель один, так как зашита от группы нарушите-
лей — задача следующего этапа исследований. Однако это не ис-
ключает возможности защиты предлагаемыми методами и сред-
ствами и от такого рода ситуаций, хотя подобная задача
значительно сложнее. При этом под группой нарушителей пони-
мается группа людей, выполняющих одну задачу под общим ру-
ководством.
Однако для различных по назначению и принципам по-
строения информационных систем, виду и ценности обрабаты-
ваемой в них информации наиболее «опасная» модель поведе-
ния потенциального нарушителя также может быть различной.
Для военных систем — это уровень разведчика-профессионала,
для коммерческих систем — уровень квалифицированного
пользователя и т. д. Для медицинских систем, например, скорее
всего не потребуется защита от побочного электромагнитного
излучения и наводок, но защита от безответственности пользо-
вателей просто необходима. Очевидно, что для зашиты инфор-
мации от более квалифицированного и осведомленного нару-
шителя потребуется рассмотреть большее количество возмож-
ных каналов несанкционированного доступа и применить
большее количество средств защиты с более высокими показа-
телями прочности.
На основании изложенного для выбора исходной модели по-
ведения потенциального нарушителя целесообразен дифферен-
цированный подход. Поскольку квалификация нарушителя
понятие весьма относительное и приближенное, возможно при-
нять за основу четыре класса безопасности:
1-й класс рекомендуется для защиты жизненно важной ин-
формации, утечка, разрушение или модификация которой мо-
гут привести к большим потерям для пользователя. Прочность
Глава 1. Концептуальные основы проектирования системы...
127
зашиты должна быть рассчитана на нарушителя-професси-
ей нал а;
2-й класс рекомендуется использовать для защиты важной
информации при работе нескольких пользователей, имеющих
доступ к разным массивам данных или формирующих свои фай-
лы, недоступные другим пользователям. Прочность защиты
должна быть рассчитана на нарушителя высокой квалификации,
но нс на взломщика-профессионала;
3-й класс рекомендуется для зашиты относительно ценной
информации, постоянный несанкционированный доступ к кото-
рой путем ее накопления может привести к утечке и более цен-
ной информации. Прочность защиты при этом должна быть рас-
считана на относительно квалифицированного нарушителя-не-
профессионала;
4-й класс рекомендуется для защиты прочей информации, нс
представляющей интереса для серьезных нарушителей. Однако
его необходимость диктуется соблюдением технологической дис-
циплины учета и обработки информации служебного пользова-
ния в целях защиты от случайных нарушений в результате безот-
ветственности пользователей и некоторой подстраховки от слу-
чаев преднамеренного несанкционированного доступа.
Реализация перечисленных уровней безопасности должна
обеспечиваться набором соответствующих средств защиты, пере-
крывающих определенное количество возможных каналов не-
санкционированного доступа в соответствии с ожидаемым клас-
сом потенциальных нарушителей. Уровень безопасности защиты
внутри класса обеспечивается количественной оценкой прочно-
сти отдельных средств защиты и оценкой прочности контура за-
шиты от преднамеренного несанкционированного доступа по
расчетным формулам, вывод которых приведен ниже.
Модель элементарной защиты. В общем случае простейшая
модель элементарной защиты любого предмета может быть в
виде, представленном на рис. 2.
Предмет защиты помещен в замкнутую и однородную защит-
ную оболочку, называемую преградой. Прочность защиты зависит
от свойств преграды. Принципиальную роль играет способность
преграды противостоять попыткам преодоления ее нарушителем.
Свойство предмета защиты — способность привлекать его вла-
дельца и потенциального нарушителя. Привлекательность пред-
мета защиты заключается в его цене. Это свойство предмета за-
щиты широко используется при оценке защищенности информа-
128
Раздел III. Проектирование системы обеспечения безопасности...
Рис. 2. Модель элементарной защиты:
1 — предмет зашиты; 2 — преграда; 3 — прочность преграды
ции в информационных системах. При этом считается, что
прочность созданной преграды достаточна, если стоимость ожи-
даемых затрат на ее преодоление потенциальным нарушителем
превышает стоимость защищаемой информации. Однако возмо-
жен и другой подход.
Известно, что информация со временем теряет свою привле-
кательность и начинает устаревать, а в отдельных случаях ее
цена может упасть до нуля. Тогда за условие достаточности за-
щиты можно принять превышение затрат времени на преодоле-
ние преграды нарушителем над временем жизни информации.
Если обозначить вероятность непреодоления преграды наруши-
телем через Рсзи, время жизни информации через гж, ожидаемое
время преодоления преграды нарушителем через /н, вероятность
обхода преграды нарушителем через Робх, то для случая старения
информации условие достаточности зашиты получим в виде сле-
дующих отношений:
^сзи ~ 1 ’ еСЛИ Гж < И /*обх — 0.
Вероятность Ро6х, равная нулю, отражает необходимость замы-
кания преграды вокруг предмета защиты. Если /ж > /н, а Робх = 0. то
(1)
где Рщ, — вероятность преодоления преграды нарушителем за
время, меньшее /ж.
Глава 1. Концептуальные основы проектирования системы...
129
Для реального случая, когда /4 > /н и PoGx > 0, прочность защи-
ты можно представить в виде
где Р11р = 0, если tx < Р|1р > 0, если /ж > г„.
Однако эта формула справедлива для случая, когда наруши-
телей двое, т. е. когда один преодолевает преграду, а второй ее
обходит. Но в исходной модели поведения потенциального на-
рушителя мы условились, что нарушитель будет в единственном
числе и ему известны прочность преграды и сложность пути ее
обхода. Поскольку одновременно по двум путям он идти не смо-
жет, он выберет один из них — наиболее простой, т. е. по фор-
муле «ИЛИ». Тогда формальное выражение прочности защиты в
целом для данного случая будет соответствовать формуле
ЛЗИ = (1-ЛР)Ь(1-Л6Х),
(2)
где U — знак «ИЛИ».
Следовательно, прочность преграды после определения и
сравнения величин (1 - Рнр) и (1 - Робх) будет равна наименьшему
значению одной из них.
В качестве примера элементарной защиты, рассчитываемого
по формуле (2), может быть названа криптографическая защита
информации, где величина Рнр может определяться путем оцен-
ки вероятности подбора кода ключа, с помощью которого мож-
но дешифровать закрытую данным способом информацию.
Эту величину можно определить по формуле
р = —
нр As ’
(3)
где п — количество попыток подбора кода; А — число символов
в выбранном алфавите кода ключа; S — длина кода ключа в ко-
личестве символов.
Величина Р^к будет зависеть от выбранного метода шифро-
вания, способа применения, полноты перекрытия текста инфор-
мации, существующих методов криптоанализа, а также способа
хранения действительного значения кода ключа и периодично-
сти его замены на новое значение, если информация, закрытая
данным способом, постоянно хранится у ее владельца. Возмож-
130
Раздел III. Проектирование системы обеспечения безопасности...
ны и другие обстоятельства, влияющие на вероятность обхода
криптографической защиты.
Выбор и определение конкретной величины сначала
можно проводить экспертным путем на основе опыта специали-
стов. Величина Робх должна принимать значения от 0 до I. При
Ро6х = 1 защита теряет всякий смысл.
Возможно также, что у одной преграды может быть несколь-
ко путей обхода. Тогда формула (2) примет вид:
= (I - Рнр) и (I - Р^) и (1 -Ро6х2) и ... и (1 - Р1>ы), (4)
где к — число путей обхода преграды, т. е. прочность преграды
равна наименьшему значению, полученному после определения
и сравнения величин:
V1 1 нр/? V1 1 обхР’ ' 1	7 Обх2/’ •••> V1 1 o6xfc/-
В том случае, когда информация, подлежащая защите, не
устаревает или периодически обновляется, т. е. когда неравенст-
во > /н постоянно или же когда обеспечить tH > /ж по каким-ли-
бо причинам невозможно, обычно применяется постоянно дей-
ствующая преграда, обладающая свойствами обнаружения и
блокировки доступа нарушителя к предмету или объекту защи-
ты. В качестве такой зашиты могут быть применены человек
или специальная автоматизированная система обнаружения под
управлением человека.
Очевидно, что параметры этой преграды будут влиять на ее
прочность. Способность преграды обнаруживать и блокировать
несанкционированный доступ должна учитываться при оценке
ее прочности путем введения в расчетную формулу (4) вместо
(1 - Р ) величины Робп — вероятности обнаружения и блокиров-
ки несанкционированного доступа.
Принцип работы автоматизированной преграды основан на
том, что в ней блоком управления производится периодический
контроль датчиков обнаружения нарушителя. Результаты кон-
троля наблюдаются человеком. Периодичность опроса датчиков
автоматом может достигать тысячные доли секунды и менее.
В этом случае ожидаемое время преодоления преграды наруши-
телем значительно превышает период опроса датчиков. Поэтому
такой контроль часто считают постоянным. Но для обнаружения
нарушителя человеком, управляющим автоматом контроля, толь-
ко малого периода опроса датчиков недостаточно.
Глава 1. Концептуальные основы проектирования системы...
Необходимо еше и время на выработку сигнала тревожной
сигнализации, т. е. время срабатывания автомата, так как оно
часто значительно превышает период опроса датчиков и тем са-
мым увеличивает время обнаружения нарушителя. Практика по-
казывает, что обычно сигнала тревожной сигнализации доста-
точно для приостановки действий нарушителя, если этот сигнал
до него дошел. Но поскольку физический доступ к объекту за-
щиты пока еще открыт, дальнейшие действия охраны сводятся к
определению места и организации блокировки доступа наруши-
теля, на что также потребуется время.
Таким образом, условие прочности преграды с обнаружени-
ем и блокировкой несанкционированного доступа можно пред-
ставить в виде соотношения
' Д + ^ср + ZOM + Z6.i
(5)
где Гл — период опроса датчиков; Г.р — время срабатывания тре-
вожной сигнализации; ZOM — время определения места доступа;
7б1 ~ время блокировки доступа.
Если обозначим сумму (	/ + /ом + t6n) через Тобл, получим
соотношение
(6)
где Гобл — время обнаружения и блокировки несанкционирован-
ного доступа.
Процесс контроля несанкционированного доступа и несанк-
ционированных действий нарушителя во времени представлен
на рис. 3.
Из диаграммы на рис. 3 следует, что нарушитель может быть
не обнаружен в двух случаях:
а)	когда /н < Т;
б)	когда Т< t„ < Т^.
В первом случае требуется дополнительное условие — попа-
дание интервала времени z„ в интервал Г, т. с. необходима син-
хронизация действий нарушителя с частотой опроса датчиков
обнаружения. Для решения этой задачи нарушителю придется
скрытно подключить измерительную аппаратуру в момент вы-
полнения несанкционированного доступа к информации, что
132
Раздел III. Проектирование системы обеспечения безопасности...
^обл
Рис. 3. Временная диаграмма контроля несанкционированного доступа
является довольно сложной задачей для постороннего человека.
Поэтому считаем, что свои действия с частотой опроса датчиков
он синхронизировать не сможет и может рассчитывать лишь на
некоторую вероятность успеха, выражающуюся в вероятности
попадания отрезка времени в промежуток времени между им-
пульсами опроса датчиков, равный Т.
Согласно определению геометрической вероятности из курса
теории вероятности получим выражение для определения веро-
ятности успеха нарушителя в следующем виде:
(7)
Тогда вероятность обнаружения несанкционированных дей-
ствий нарушителя будет определяться выражением
(8)
или
(9)
При zH > Т нарушитель будет обнаружен наверняка, т. с.
= 1. Во втором случае, когда Т< /н < 7^,6л, вероятность успеха
Глава 1. Концептуальные основы проектирования системы...
нарушителя будет определяться по аналогии с предыдущим со-
отношением:
(10)
Вероятность обнаружения и блокировки несанкционирован-
ных действий нарушителя:
(Н)
ибл
(12)
При /н > попытка несанкционированного доступа не
имеет смысла, так как она будет обнаружена наверняка. В этом
случае = 1.
Таким образом, расчет прочности преграды со свойствами
обнаружения и блокировки можно производить по формуле
Лэ» = Л» и (1 - Р116х1) и (1 - робх2) и... и (1 - PoW), (13)
где j — число путей обхода этой преграды; U — знак «ИЛИ».
Следует также отметить, что эта формула справедлива также
и для организационной меры защиты в виде периодического
контроля заданного объекта человеком. При этом полагаем, что
обнаружение, определение места несанкционированного досту-
па и его блокировка происходят в одно время — в момент кон-
троля объекта человеком, т. с. Гср = ZOM = /бл = О, 7^,, = Т, где Т —
период контроля человеком объекта защиты. Вероятность обна-
ружения и блокировки действий нарушителя будет определяться
формулой 9.
Для более полного представления прочности преграды в
виде автоматизированной системы обнаружения и блокировки
несанкционированного доступа необходимо учитывать надеж-
ность ее функционирования и пути возможного обхода ее нару-
шителем.
Вероятность отказа системы определяется по известной фор-
муле
(14)
134
Раздел III. Проектирование системы обеспечения безопасности...
где X — интенсивность отказов группы технических средств, со-
ставляющих систему обнаружения и блокировки несанкциони-
рованного доступа; / — рассматриваемый интервал времени
функционирования системы обнаружения и блокировки несанк-
ц и о н и ро ва н н о го доступа.
С учетом возможного отказа системы контроля прочность
преграды будет определяться по формуле
Лзик ~ Л>блО “ Лупе) U (1 - P^i) U (I - U ...
... Ь(1-Робху),	(15)
где Робл и Ртк определяются соответственно по формулам (12)
и (14); Робх и количество путей обхода J определяются эксперт-
ным путем на основе анализа принципов построения системы
контроля и блокировки несанкционированного доступа.
Одним из возможных путей обхода системы обнаружения и
блокировки может быть возможность скрытного отключения на-
рушителем системы обнаружения и блокировки (например, пу-
тем обрыва или замыкания контрольных цепей, подключения
имитатора контрольного сигнала, изменения программы сбора
сигналов и 1. д). Вероятность такого рода событий определяется
в пределах от 0 до 1 методом экспертных оценок на основе ана-
лиза принципов построения и работы системы. При отсутствии
возможности несанкционированного отключения системы вели-
чина его вероятности равна нулю.
Таким образом, подводя итоги, сделаем вывод, что защитные
преграды бывают двух видов:
•	контролируемые человеком;
•	неконтролируемые человеком.
Прочноеть неконтролируемой преграды рассчитывается по
формуле (4), а контролируемой — по формуле (15). Анализ дан-
ных формул позволяет сформулировать первое правило защиты
любого предмета:
Прочность защитной преграды является достаточной, если
ожидаемое время преодоления ее нарушителем больше времени
жизни предмета защиты или больше времени обнаружения и блоки-
ровки его доступа при отсутствии путей скрытного обхода этой
преграды.
Модель многозвенной защиты. Па практике в большинстве
случаев защитный контур состоит из нескольких «соединенных»
Глава 1. Концептуальные основы проектирования системы...
135
между собой преград с различной прочностью. Модель такой за-
щиты из нескольких звеньев представлена на рис. 4.
Рис. 4. Модель многозвенной зашиты:
/ — преграда 1; 2— преграда 2; 3 — предмет зашиты; 4 — прочность преграды;
5 — преграда 3
Примером такого вида защиты может служить помещение, в
котором хранится аппаратура. В качестве преград с различной
прочностью здесь могут служить стены, потолок, пол, окна и за-
мок на двери.
Для информационной системы, модель которой представлена
на рис. 1, «соединение» преград (замыкание контура защиты)
имеет тот же смысл, но иную реализацию. Например, система
контроля вскрытия аппаратуры и система опознания и разграни-
чения доступа, контролирующие доступ к периметру информа-
ционной системы, на первый взгляд, образуют замкнутый защит-
ный контур, но доступ к средствам отображения и документиро-
вания побочному электромагнитному излучению и наводкам
(ПЭМИН), носителям информации и другим возможным кана-
лам несанкционированного доступа к информации нс перекры-
вают и, следовательно, таковыми нс являются. Таким образом, в
контур защиты в качестве его звеньев войдут еще система кон-
троля доступа в помещения, средства защиты от ПЭМИН, шиф-
рование и т. д. Это не означает, что система контроля доступа в
помещение не может быть замкнутым защитным контуром для
другого предмета защиты (например, для того же комплекса
средств автоматизации обработки информации информационной
системы). Все дело в точке отсчета, в данном случае в предмете
136 Раздел III. Проектирование системы обеспечения безопасности...
зашиты, т. е. контур зашиты не будет замкнутым до тех пор, пока
существует какая-либо возможность несанкционированного до-
ступа к одному и тому же предмету защиты.
Формальное описание для прочности многозвенной зашиты
практически совпадает с выражениями (2) и (15), так как нали-
чие нескольких путей обхода одной преграды, не удовлетворяю-
щих заданным требованиям, потребует их перекрытия соответст-
вующими преградами. Тогда выражение для прочности много-
звенной защиты при использовании неконтролируемых преград
может быть представлено в виде:
СЭИ
СЭИ1
Ь U рИ11, U ...
... U Рсзи, U (1 - U (I - Р^2) U... U (1 — P^t),	(16)
где Pcwi — прочность /-й преграды.
Выражение для прочности многозвенной защиты с контро-
лируемыми преградами будет в следующем виде:
сзик
сзик!
U Лзик2 U и...
... и Л1ЙК„ U (1 - Р„бх|) и (1 - />обх2) и ... и (1 - Р^,	(17)
где РСЗИКЛ — прочность л-й преграды.
Здесь следует подчеркнуть, что расчеты итоговых прочностей
зашиты для неконтролируемых и контролируемых преград долж-
ны быть раздельными, поскольку исходные данные для них раз-
личны, и, следовательно, это разные задачи, два разных контура
защиты.
Если прочность слабейшего звена удовлетворяет предъявлен-
ным требованиям контура защиты в целом, возникает вопрос об
избыточности прочности на остальных звеньях данного контура.
Отсюда следует, что экономически целесообразно применять в
многозвенном контуре защиты равнопрочные преграды.
При расчете прочности контура защиты со многими звенья-
ми может случиться, что звено с наименьшей прочностью не
удовлетворяет предъявленным требованиям. Тогда преграду в
этом звене заменяют на более прочную или данная преграда
дублируется еще одной преградой, а иногда двумя и более пре-
градами. По вес дополнительные преграды должны перекрывать
то же количество или более возможных каналов несанкциониро-
Глава 1. Концептуальные основы проектирования системы... 137
ванного доступа, что и первая. Тогда суммарная прочность дуб-
лированных преград будет определяться по формуле
я=1-П(1-^х
(18)
где i = 1, т — порядковый номер преграды; т — количество дуб-
лирующих преград; Л — прочность /-Й преграды.
Иногда участок защитного контура с параллельными (сдуб-
лированными) преградами называют многоуровневой защитой.
В информационной системе защитные преграды часто перекры-
вают друг друга и по причине, указанной выше, и когда специ-
фика возможного канала несанкционированного доступа требует
применения такого средства защиты (например, системы кон-
троля доступа в помещения охранной сигнализации и контроль-
но-пропускного пункта на территории объекта защиты). Это оз-
начает, что прочность отдельной преграды попадающей под
защиту второй, третьей и т. д. преграды, должна пересчитывать-
ся с учетом этих преград по формуле (18). Соответственно может
измениться и прочность слабейшей преграды, определяющей
итоговую прочность защитного контура в целом.
Многоуровневая зашита. В ответственных случаях при повы-
шенных требованиях к защите применяется многоуровневая за-
щита, модель которой представлена на рис. 5.
При расчете суммарной прочности нескольких контуров за-
щиты в формулу (18) вместо Pt включается Рк/ — прочность каж-
Рис. 5. Модель многоуровневой зашиты:
I — 1-й контур защиты; 2 — 2-й контур защиты; 3 — 3-й контур зашиты;
4 — предмет защиты
138
Раздел III. Проектирование системы обеспечения безопасности...
дого контура, значение которой определяется по одной из фор-
мул (16) и (17), т. е. для контролируемых и неконтролируемых
преград опять расчеты должны быть раздельными и произво-
диться для разных контуров, образующих каждый отдельную
многоуровневую защиту. При Рк/ = 0 данный контур в расчет не
принимается. При PKl = 1 остальные контуры защиты являются
избыточными. Подчеркнем также, что данная модель справедли-
ва лишь для контуров защиты, перекрывающих одни и те же ка-
налы несанкционированного доступа к одному и тому же пред-
мету защиты.
Анализ информационной системы как объекта
обеспечения безопасности информации
Анализ существующих в настоящее время систем обработки
информации и данных, а также автоматизированных систем
управления показывает, что с позиций обеспечения безопасно-
сти информации объектом исследования может быть выбрана
информационная система как самостоятельный объект и как
элемент территориально-рассредоточенной информационной
сети или большой автоматизированной системы управления. Не
останавливаясь на конкретных реализациях информационных
систем с централизованной обработкой информации и данных,
имеющих различные принципиальные для обработки информа-
ции решения, построим ее обобщенную модель, представленную
на рис. 6, на котором информация, циркулирующая в информа-
ционной системе, показана как нечто целое, подлежащее защи-
те. Так как физически информация размещается на аппаратных
и программных средствах, последние представлены таким же об-
разом с внешней стороны по отношению к информации.
Предмет информационной безопасности и защиты — ин-
формация, циркулирующая и хранимая в информационной сис-
теме в виде данных, команд, сообщений и т. д., имеющих ка-
кую-либо цену для их владельца и потенциального нарушителя.
При этом за несанкционированный доступ принимаем событие,
выражающееся в попытке нарушителя совершить несанкциони-
рованные действия по отношению к любой ее части.
С позиций входа в систему и выхода из нсс отмстим наибо-
лее характерные для большинства систем, готовых к работе,
Глава 1. Концептуальные основы проектирования системы...
139
Доступ к мусорной корзине
। НСД к паводкам информации
пи цепям электропитания и <
заземления аппаратуры
НСД к внутренней связи и
моптажу аппаратуры
Контролен»,
пропускной пункт
НСД к технологическим
пультам и органам упровлени
НСД к средствам inipywH
у программного обеспечения
/ НСД к электромагнитному
у излучетппо информации
НСД к информации
при выводе
аппаратуры на
ремонт
НСД к информации
со стороны
терыиилиоц
Средства уничтожения
информации
НСД к терминалам, средствам
отображения и
документирования
Система вывода аппаратуры из рабочего
контура обмена информацией
НСД к носителям
I информации
НСД к носителям
НСД к внешним
канатам сняли
Верификация
программного
обеспечения
Система
кош роля
доступа в
помещения
объект
Система
онознании и
разграниче-
ния доступа
Система
контроля
вскрытия
аппаратуры
Illiiip|K>i4iiiiie
данных
НСД к впешппм
каналам связи
I ртища
контролируемой
эоны на территории
объекта
программного ооептечепя
Средства регистрации
и учета документов

Информация
ЙЙ>, Программное
%% обеспечение
Аппаратное
обеспечение
Рис. 6. Модель информационной системы с безопасной обработкой информации:
НСД — несанкционированный доступ; ПО — программное обеспечение
штатные средства ввода, вывода и хранения информации. К ним
относятся следующие средства:
•	терминалы пользователей;
•	средства отображения и документирования информации;
•	средства загрузки программного обеспечения в систему;
•	носители информации: оперативные запоминающие уст-
ройства, дисковые запоминающие устройства, распечатки,
листинги и т. д.;
•	внешние каналы связи.
Вес перечисленные средства назовем штатными каналами,
по которым имеют санкционированный доступ к информации,
140
Раздел III. Проектирование системы обеспечения безопасности...
подлежащей защите, законные пользователи. Готовность систе-
мы к работе означает, что система функционирует нормально,
технологические входы и органы управления в работе не исполь-
зуются.
Известно, что все многообразие потенциальных угроз ин-
формации можно разделить на преднамеренные и случайные.
Природа и точки их приложения различны.
Причины случайных воздействий также известны.
Точки приложения случайных воздействий распределены по
всей «площади» информационной системы. Место и время воз-
никновения данных событий подчиняются законам случайных
чисел. Опасность случайных воздействий заключается в случай-
ном искажении или формировании неверных команд, сообще-
ний, адресов и т. д., приводящих к утрате, модификации и утеч-
ке информации, подлежащей защите.
Известны и средства предупреждения, обнаружения и блоки-
ровки случайных воздействий. Это средства повышения досто-
верности обрабатываемой и передаваемой информации. При
этом в качестве средств предупреждения, сокращающих вероят-
ное число случайных воздействий, используются схемные, схе-
мотехнические, алгоритмические и другие мероприятия, закла-
дываемые в проект информационной системы. Они направлены
на устранение причин возникновения случайных воздействий,
т. е. уменьшение вероятности их появления. Поскольку после
указанных мероприятий вероятность их появления все же оста-
ется значительной, для обнаружения и блокировки случайных
воздействий при эксплуатации применяются встроенные в сис-
тему средства функционального контроля, качественными пока-
зателями которого являются:
•	время обнаружения и локализации отказа;
•	достоверность контроля функционирования;
•	полнота контроля (охват информационной системы);
•	время задержки в обнаружении отказа.
Точки приложения преднамеренных воздействий связаны
прежде всего со входами в систему и выходами информации из
нее, т. е. с «периметром» системы. Эти входы и выходы могут
быть законными и незаконными, т. е. возможными каналами
несанкционированного доступа к информации в информацион-
ной системе могут быть:
•	вес перечисленные выше штатные средства при их неза-
конном использовании;
Глава 1. Концептуальные основы проектирования системы...
141
•	технологические пульты и органы управления;
•	внутренний монтаж аппаратуры;
•	линии связи между аппаратными средствами информаци-
онной системы;
•	побочное электромагнитное излучение информации;
•	побочные наводки информации на сетях электропитания и
заземления аппаратуры, вспомогательных и посторонних
коммуникациях, размещенных вблизи аппаратуры инфор-
мационной системы;
•	внешние каналы связи.
Опасность преднамеренных несанкционированных действий
заключается во вводе нарушителем незаконных команд, запро-
сов, сообщений, программ и т. д., приводящих к утрате, моди-
фикации информации и несанкционированному ознакомлению
с нею, а также перехвате нарушителем секретной информации
путем приема и наблюдения сигналов побочного электромагнит-
ного излучения и наводок.
Концептуальные основы для построения системы
обеспечения безопасности информации
от несанкционированного доступа
в информационной системе
Анализ представленной модели информационной системы и
моделей защиты позволяет информационную систему рассмат-
ривать как объект, в котором имеется некоторое множество воз-
можных каналов несанкционированного доступа (ВКНСД) к
предмету защиты информации.
Для построения защиты информации в данной системе на
каждом возможном канале несанкционированного доступа, а
если возможно сразу на нескольких необходимо установить со-
ответствующую преграду. Чем большее количество возможных
каналов несанкционированного доступа перекрыто средствами
защиты и выше вероятность их непрсодоления потенциальным
нарушителем, тем выше уровень безопасности информации, об-
рабатываемой в данной системе. Очевидно, что в реальной ин-
формационной системе структура защиты будет носить много-
звенный и многоуровневый характер. Количество перекрывае-
142
Раздел III. Проектирование системы обеспечения безопасности...
мых возможных каналов несанкционированного доступа при
этом будет зависеть от заданной квалификации нарушителя. Со-
гласно рассмотренной классификации можно установить сле-
дующее распределение возможных каналов несанкционирован-
ного доступа по классам:
1-й класс — все возможные каналы несанкционированного
доступа, возможные в данной информационной системе на теку-
щий момент времени;
2-й класс — все возможные каналы несанкционированно-
го доступа, кроме побочного электромагнитного излучения и
наводки и машинных носителей с остатками информации,
подлежащие защите специальными криптографическими ме-
тодами.;
3-й класс — только следующие возможные каналы несанк-
ционированного доступа:
•	терминалы пользователей;
•	аппаратура регистрации, документирования и отображения
информации;
•	машинные и бумажные носители информации;
•	средства загрузки программного обеспечения;
•	технологические пульты и органы управления;
•	внутренний монтаж аппаратуры;
•	линии связи между аппаратными средствами;
4	-й класс — только следующие возможные каналы несанк-
ционированного доступа:
•	терминалы пользователей;
•	машинные и бумажные документы;
•	средства загрузки программного обеспечения.
Анализ возможных каналов несанкционированно!о доступа
к информации показывает, что данные каналы необходимо раз-
делить на два вида: контролируемые и неконтролируемые.
К контролируемым возможным каналам несанкционирован-
ного доступа информационной системы можно отнести:
•	терминалы пользователей;
•	средства отображения и документирования информации;
•	средства загрузки программного обеспечения;
•	технологические пульты и органы управления;
•	внутренний монтаж аппаратуры;
•	побочное электромагнитное излучение;
Глава 1. Концептуальные основы проектирования системы...
143
•	побочные наводки информации на сетях электропитания и
заземления аппаратуры, вспомогательных и посторонних
коммуникациях, размещенных вблизи аппаратуры инфор-
мационной системы.
При этом побочное излучение и наводки информации, стро-
го говоря, относятся к этому виду каналов несанкционированно-
го доступа в том случае, если уровень «опасного» сигнала, несу-
щего информацию, не выходит за пределы контролируемой зоны
объекта размещения информационной системы, и уровень этого
сигнала периодически измеряется в пределах и за пределами этой
зоны.
В соответствии с моделью защиты (см. рис. 4) средства за-
щиты, перекрывающие эти каналы, образуют виртуальный кон-
тролируемый защитный контур.
К неконтролируемым каналам несанкционированного досту-
па к информации информационной системы следует отнести:
•	машинные носители программного обеспечения и ин-
формации, выносимые за пределы информационной сис-
темы;
•	долговременные запоминающие устройства с остатками ин-
формации, выносимыми за пределы информационной сис-
темы;
•	внешние каналы связи;
•	мусорную корзину.
Средства зашиты, перекрывающие перечисленные каналы,
образуют виртуальный неконтролируемый защитный контур.
Кроме того, учитывая множество пользователей, допущен-
ных к терминалам и информации внутри информационной сис-
темы, потребуется создание встроенной системы контроля и раз-
граничение доступа. Разграничение доступа пользователей к ин-
формации информационной системы должно производиться в
соответствии с выполняемыми ими функциональными обязан-
ностями и полномочиями, которые можно изменять во время
эксплуатации системы.
Для того чтобы обеспечить замыкание контура защиты из
нескольких различных по исполнению преград, недостаточно
только перекрытия в информационной системе всех возможных
каналов несанкционированного доступа. Необходимо еще обес-
печить их взаимодействие между собой, т. е. объединить их в
единый постоянно действующий механизм. Эту задачу должны
выполнять централизованные средства управления.
144
Раздел III. Проектирование системы обеспечения безопасности...
На контролируемых возможных каналах несанкционирован-
ного доступа все цепи и тракты контроля аппаратно, программ-
но и организационно должны сходиться на одном рабочем месте
службы безопасности информации или администратора информа-
ционной системы. Последний вариант предпочтителен для менее
ответственных систем при защите информации от нарушителя
3-го и 4-го классов. На неконтролируемых возможных каналах
несанкционированного доступа централизованное управление
должно обеспечиваться аналогичным образом с тех же рабочих
мест, но отдельной функциональной задачей.
Приведенные модели защиты, построенные на основе при-
нятой модели ожидаемого поведения потенциального наруши-
теля и пригодные в принципе для применения и в других сис-
темах, помимо информационных, для защиты другого предме-
та, дают формальное представление о механизме защиты и
методах получения ее расчетных характеристик в качествен-
ном и количественном выражении с гарантированными ре-
зультатами.
Изложенное позволяет предложить в основу проектирования
и разработки системы безопасности информации в информаци-
онной системе следующий порядок:
1)	анализ заданных требований к информационной системе
на предмет определения перечня, структуры и динамики стои-
мости обрабатываемой информации и данных, подлежащих
защите;
2)	выбор модели потенциального нарушителя;
3)	выявление в данной информационной системе макси-
мально возможного количества каналов несанкционированного
доступа к информации согласно выбранной модели потенциаль-
ного нарушителя;
4)	анализ выявленных возможных каналов несанкциониро-
ванного доступа и выбор готовых или разработка новых средств
защиты, способных их перекрыть с заданной прочностью;
5)	качественная и количественная оценка прочности каждого
из применяемых средств защиты;
6)	проверка возможности адаптации средств защиты в разра-
батываемую информационную систему;
7)	создание в разрабатываемой информационной системе
средств цен трал изо ванного контроля и управления;
8)	количественная и качественная оценка прочности систе-
мы защиты информации от несанкционированного доступа с от-
Глава 1. Концептуальные основы проектирования системы...
145
дельными показателями по контролируемым и неконтролируе-
мым возможным каналам несанкционированного доступа.
При этом расчет прочности средств защиты производится по
формулам (4) и (15), а расчет прочности системы защиты ин-
формации в информационной системе с централизованной об-
работкой данных — но формулам (16)—(18).
Анализ вышеприведенного подхода к принципам построения
защиты говорит о ряде принципиальных свойств предмета защи-
ты, потенциальных угроз и защитных преград, которые целесо-
образно учитывать при создании эффективной защиты.
Это следующие свойства:
•	информация — объект права собственности, подлежащий
защите от несанкционированного доступа;
•	время жизни защищаемой информации;
•	разные источники, место и время приложения случайных и
преднамеренных несанкционированных доступов;
•	наличие достаточно простой модели потенциального нару-
шителя;
•	степень охвата информационной системы функциональ-
ным контролем и средствами повышения достоверности
информации, определяющая вероятность появления слу-
чайных несанкционированных доступов;
•	возможные каналы несанкционированного доступа к ин-
формации;
•	степень замыкания преграды вокруг предмета защиты,
определяющая вероятность ее обхода нарушителем;
•	деление возможных каналов несанкционированного досту-
па на контролируемые и неконтролируемые;
•	зависимость прочности преграды, не обладающей способ-
ностью контроля несанкционированного доступа, от соот-
ношения времени жизни информации и ожидаемого вре-
мени преодоления преграды нарушителем;
•	зависимость прочности преграды, обладающей способно-
стью контроля несанкционированного доступа, от способ-
ности преграды к своевременному обнаружению и блоки-
ровке попыток несанкционированного доступа;
•	зависимость уровня прочности зашиты информации в ин-
формационной системе в целом от уровня прочности сла-
бейшего звена;
•	возможность создания системы защиты информации в
виде единого целого и реально действующего механизма.
146
Раздел III. Проектирование системы обеспечения безопасности...
Основные тактика и стратегия зашиты информации от не-
санкционированного доступа в информационной системе за-
ключаются в выполнении следующих задач:
•	предупреждении и контроле попыток несанкционирован-
ного доступа;
•	своевременном обнаружении, определении места и блоки-
ровки несанкционированных действий;
•	регистрации и документировании события;
•	установлении и устранении причины несанкционирован-
ного доступа;
•	ведении статистики и прогнозировании несанкциониро-
ванного доступа.
Предупреждение и контроль несанкционированного доступа
заключаются в следующем.
1. Для защиты от случайного несанкционированного доступа
применение средств функционального контроля технических
средств информационной системы и средств повышения досто-
верности информации.
2. Для защиты от преднамеренного несанкционированного
доступа создание в информационной системе замкнутого контура
защиты, состоящего из системы преград, перекрывающих макси-
мально возможное количество каналов несанкционированного
доступа и обладающих такой прочностью, затраты времени на
преодоление которой больше времени жизни защищаемой ин-
формации или больше времени обнаружения и блокировки не-
санкционированного доступа к ней.
Задачей защиты является создание в информационной сис-
теме единой системы взаимосвязанных преград, обеспечиваю-
щих надежное перекрытие возможных каналов несанкциони-
рованного доступа от воздействий, направленных на утрату,
модификацию и утечку информации, т. е. на безопасность
информации. Наступление одного из этих событий, не преду-
смотренных штатным режимом работы информационной систе-
мы, рассматривается как факт совершения несанкционирован-
ного доступа.
Утрата заключается в стирании, искажении, уничтоже-
нии или хищении информации, находящейся в процессе
обработки или хранения в информационной системе. Опас-
ность се заключается в безвозвратной потере ценной инфор-
мации.
Глава 1. Концептуальные основы проектирования системы...
147
Модификация заключается в изменении информации на лож-
ную, которая корректна по форме и содержанию, но имеет дру-
гой смысл. Навязывание ложной информации при отсутствии
законной и недоведение законной информации до получателя
можно также считать се модификацией. Примером модифика-
ции может служить изменение даты документа, количества сы-
рья и материалов, денежной суммы и т. д. Опасность модифика-
ции заключается в возможности организации утечки секретной
или (и) передачи ложной информации в дальнейшую обработку
и использование.
Утечка информации заключается в несанкционированном
ознакомлении постороннего лица с секретной информацией.
Опасность утечки информации состоит в разглашении частной,
коммерческой, служебной, военной или государственной тайны
со всеми вытекающими отсюда последствиями.
Из изложенного также следует, что в обеспечение безопасно-
сти входит не только защита секретной, но и части несекретной
информации.
На основании изложенного можно дать следующее опреде-
ление информационной системы с безопасной обработкой ин-
формации и данных.
Информационная система обработки информации обеспечивает
их безопасность, если в ней предусмотрена централизованная сис-
тема управляемых и взаимосвязанных преград, перекрывающих с
гарантированной прочностью заданное в соответствии с моделью
потенциального нарушителя количество возможных каналов не-
санкционированного доступа и воздействий, направленных на утра-
ту или модификацию информации, а также несанкционированное
ознакомление с нею посторонних лиц.
Предложенный подход отвечает смыслу защиты и позволяет
построить на пули нарушителя строгую систему равнопрочных и
взаимосвязанных преград с возможностью обоснованного опре-
деления количественных и качественных параметров на основе
уже имеющихся проработанных отдельных средств защиты.
Предложенная модель объекта защиты информации рассматри-
вается как базовая модель защищенного элемента информаци-
онной сети или информационной системы, включая ее автома-
тизированную систему управления, что открывает также воз-
можность для решения задачи построения более эффективной
системы зашиты информации и на их уровне.
148
Раздел III. Проектирование системы обеспечения безопасности...
Концептуальные основы для проектирования
системы обеспечения безопасности информации
от несанкционированного доступа в информационной
сети и автоматизированной системы
управления
Рассматриваемые до сих пор обобщенные модели информа-
ционных сетей как объектов обеспечения безопасности инфор-
мации, с одной стороны, слишком глубоко отражали ее структу-
ру, а с другой — не полностью учитывали системные связи и от-
ношения между ее элементами, так как за основу модели брался
неполный фрагмент архитектуры сети.
Акцент делался на защите ресурсов сети (узлов обработки ин-
формации), а не на самой информации, а также на ее децентра-
лизованной обработке. Необходимо здесь заметить, что автома-
тизированные системы управления будут и далее развиваться как
ядро любой информационной системы. Попутно заметим, что
информационную сеть с позиций управления тоже можно на-
звать автоматизированной системой управления, так как у нее
есть свои централизованные средства управления ее функциони-
рованием и обработкой информации. Следовательно, должны
быть и средства управления безопасностью информации. Отли-
чают сеть и автоматизированную систему управления только сис-
темные отношения между их управляемыми звеньями. В автома-
тизированной системе управления может быть многоступенчатая
иерархическая структура, а в сети — всегда двухступенчатая. По-
этому в качестве объекта предлагается рассмотреть некоторую
обобщенную модель структуры автоматизированной системы
управления (см. рис. I, б).
На рисунке автоматизированная система управления пред-
ставлена как совокупность комплексов средств автоматизации
обработки информации и данных, соединенных между собой ка-
налами связи. При этом под комплексом средств автоматизации
подразумевается любая территориально-сосредоточенная инфор-
мационная система, построенная на базе технических средств
комплексов средств автоматизации обработки информации, объ-
единенных общим программным обеспечением и выполнением
одной или нескольких общих задач. Согласно своей роли в авто-
матизированной системе управления и в сети обработки и пере-
дачи информации и данных комплексы средств автоматизации в
Глава 1. Концептуальные основы проектирования системы...
149
той или иной структуре связаны определенными системными
отношениями.
Одна группа комплексов средств автоматизации обработки
информации и данных, например узлы коммутации сообщений,
вместе с другой группой комплексов средств автоматизации (ап-
паратурой передачи данных) образуют сеть передачи данных,
другая группа комплексов средств автоматизации (вычислитель-
ные комплексы, системы, абонентские пункты и т. д.) вместе с
этой сетью образуют автоматизированную систему управления.
У каждой названной структуры есть свои задачи и границы, ко-
торые должны обеспечиваться средствами защиты и контроли-
роваться соответствующими средствами управления. У каждой
структуры есть хозяин-собственник, отвечающий перед собой
или своими клиентами за безопасность обработки информации.
Если таковым собственником является государство, то должно
быть лицо, несущее такую ответственность. В этом аспекте со-
здание для всех пользователей единой информационной среды
является безнадежной задачей и применение термина «защи-
щенная информационная среда» оправдано только в философ-
ском смысле.
В интересах выполнения системных задач по обработке ин-
формации автоматизированная система управления (сеть) содер-
жит следующие средства управления:
•	средства управления составом и конфигурацией автомати-
зированной системы управления (сети);
•	средства управления структурно-адресными таблицами;
•	средства управления функциональным контролем автома-
тизированной системы управления (сети);
•	средства управления функционированием автоматизиро-
ванной системы управления (сети).
Перечисленные средства размещаются на одном из элемен-
тов автоматизированной системы управления (сети) — управ-
ляющем комплексе средств автоматизации автоматизированной
системы управления (сети). Помимо указанных средств автома-
тизированная система управления содержит определяющие ха-
рактер системных отношений средства взаимодействия ее со-
ставных частей (комплексов средств автоматизации обработки
информации и данных) между собой. Эти отношения связаны
с выполнением основных задач автоматизированной системы
управления, включая разграничение доступа к информации друг
друга.
150
Раздел III. Проектирование системы обеспечения безопасности...
Приведенная на рис. 1, б структура автоматизированной сис-
темы управления позволяет определить всего два вида возмож-
ных каналов несанкционированного доступа к информации ав-
томатизированной системы управления (сети):
•	комплексы средств автоматизации обработки информации
(КСА);
•	каналы связи.
Концепция безопасности информации на уровне КСА рас-
смотрена выше.
Следовательно, остается рассмотреть только концепцию за-
щиты информации в каналах связи.
Принимая во внимание, что информация в автоматизиро-
ванной системе управления (в сети) постоянно обновляется, а
также и то. что на каналах связи в отличие от элементов автома-
тизированной системы управления (сети) нарушитель ничем не
рискует, особенно при пассивном перехвате информации, проч-
ность защиты здесь должна быть особенно высокой. От активно-
го вмешательства нарушителя в процесс обмена информацией
между элементами автоматизированной системы управления
(сети) должна быть применена система обнаружения и блоки-
ровки несанкционированного доступа. Но и при этом риск на-
рушителя по-прежнему невысок, так как у него и в этом случае
по причине сложности определения его места пребывания оста-
ется достаточно времени на то, чтобы отключиться и уничто-
жить свои следы. Поэтому в качестве исходной модели потенци-
ального нарушителя следует выбрать нарушителя высокой ква-
лификации. Такой подход поможет защититься также и от
нарушителей, являющихся законными пользователями данной
автоматизированной системы управления (сети). Кроме того, это
позволит защитить системные отношения между элементами ав-
томатизированной системы управления (сети).
Поскольку физически каналы связи в сети защитить не
представляется возможным, целесообразно строить защиту ин-
формации и сопровождающих сс служебных признаков на осно-
ве специальных криптографических преобразований, т. е. на ос-
нове самой информации, а не на ресурсах автоматизированной
системы управления (сети). Такой основой должна быть кодо-
грамма сообщений, которой обмениваются между собой элемен-
ты автоматизированной системы управления (сети). Целостность
этой кодограммы и содержащаяся в ней информация должны
быть защищены от несанкционированного доступа.
Глава 1. Концептуальные основы проектирования системы...
151
Данная кодограмма, как правило, содержит адрес получателя,
заголовок, информацию отправителя, концевик, адрес отправи-
теля, исходящий номер и время отправления. В пакетном режиме
добавляется еще и номер пакета, поскольку сообщение разбива-
ется на пакеты, которые на объекте-получателе должны быть со-
браны в одно сообщение, чтобы оно приобрело первоначальный
вид. Для синхронизации приема и обработки кодограммы в нес
включаются признаки кадра. Кадр содержит информационное
поле, а также заголовок и концевик, присваиваемый протоколом.
Заголовок содержит служебную информацию, используемую
протоколом канального уровня принимающей станции и служа-
щую для идентификации сообщения, правильного приема кад-
ров, восстановления и повторной передачи в случае ошибок
и т. д. Концевик содержит проверочное поле, служащее для кор-
рекции и исправления ошибок (при помехоустойчивом кодиро-
вании), внесенных каналом. Для обеспечения передачи блоков
данных от передающей станции к приемной кодограмма содер-
жит признаки маршрута. Все эти и другие составляющие кодо-
граммы формируются на основе известной семиуровневой моде-
ли протоколов взаимодействия открытых систем ISO/OSI.
За основу безопасности информации в информационных се-
тях следует взять следующие требования, которые должны быть
конечной целью при создании средств ее защиты.
После того как соединение между двумя абонентами инфор-
мационной сети установлено, необходимо обеспечить четыре
условия:
а)	получатель сообщения должен быть уверен в истинности
источника данных;
б)	получатель должен быть уверен в истинности полученных
данных;
в)	отправитель должен быть уверен в доставке данных полу-
чателю;
г)	отправитель должен быть уверен в истинности доставлен-
ных получателю данных.
При этом предполагается, что выполнение этих условий
включает защиту от следующих активных вторжений нарушителя:
•	воздействий на поток сообщений: изменения, удаления,
задержки, переупорядочения, дублирования регулярных и
посылки ложных сообщений;
•	воспрепятствования передаче сообщений;
•	осуществления ложных соединений.
152
Раздел III. Проектирование системы обеспечения безопасности...
Однако они не включают защиту от пассивных вторжений:
•	чтения содержания сообщения;
-	анализа трафика и идентификаторов абонентов сети.
Кроме того, необходимо отразить важные моменты: получа-
тель не должен принимать все сообщения подряд, хотя бы они
были подлинными и от истинных источников, а отправитель со-
общения должен быть уверен, что получатель правильно отреаги-
рует на него. Другими словами, и отправитель, и получатель
должны в данной сети (автоматизированной системе управления)
иметь полномочия на обмен друг с другом. Это необходимо не для
ограничения их свободы, а для обеспечения доверия друг к другу
и доверия их к автоматизированной системе, что является наи-
первейшей обязанностью любой информационной сети и автома-
тизированной системы управления с точки зрения юридического
права независимо от того, «дружат» они или «не дружат» между
собой. Если пользователь обращается в удаленную базу данных,
юридическую ответственность, с одной стороны, несет пользова-
тель, с другой — владелец данной информационной системы.
Таким образом, для полноты постановки задачи к указан-
ным четырем условиям необходимо дополнение еще четырех:
д)	отправитель и получатель должны быть уверены в том, что
с доставленной информацией в сообщении никто, кроме них, не
ознакомился;
е)	отправитель и получатель должны быть уверены, что ни-
кому, кроме них и специального посредника, факт передачи со-
общения между ними не известен;
ж)	получатель должен быть уверен, что отправитель — это то
лицо, за которое себя выдает;
з)	отправитель должен быть уверен, что получатель — то
лицо, которое ему необходимо для передачи сообщения.
Данные требования (а—з) рассчитаны на защиту от квалифи-
цированного нарушителя-профессионала по квалификации,
приведенной выше.
Для определения основных принципов решения этой задачи
рассмотрим упомянутую выше унифицированную кодограмму,
которая является носителем этой информации и, следовательно,
предметом защиты.
Исходим из того, что нарушителю доступна вся кодограмма,
включая служебные признаки, а также из того, что единствен-
ным методом защиты по этой причине может быть выбран ме-
тод криптографических преобразований.
Глава 1. Концептуальные основы проектирования системы...
153
Один из методов должен быть таким, чтобы в кодограмме
сохранились некоторые адреса и служебные признаки в откры-
том виде, поскольку всю кодограмму преобразовывать нецелесо-
образно по причине невозможности ее дальнейшей обработки.
Таким методом может быть использование механизма формиро-
вания цифровой (электронной) подписи на базе несимметрич-
ных алгоритмов шифрования. Кроме того, отдельные части ко-
дограммы формируются на разных этапах ее обработки разными
устройствами и узлами сети; часть этой информации принадле-
жит ей, а другая часть — ее абонентам. Это определяет, кому
принадлежат и кто меняет ключи шифрования той или иной
части кодограммы: автоматизированная система управления или
система передачи информации.
Шифрование частей кодограммы удобно производить од-
новременно с формированием соответствующих признаков
обработки сообщения и его самого при реализации протоко-
лов семиуровневой модели взаимодействия открытых систем
1SO/OS1.’
Для того чтобы обеспечивать возможность контроля и раз-
граничения доступа, необходимо для всех участников обмена
информацией, помимо условных номеров, присвоить перемен-
ные идентификаторы в виде паролей, которые могут передавать-
ся в открытом виде и подлинность которых будет обеспечивать-
ся механизмом цифровой подписи. Тем абонентам, которым
присвоены соответствующие полномочия, должны быть предо-
ставлены соответствующие значения паролей и закрытых клю-
чей шифрования.
Таким образом, расчет безопасности информации в каналах
связи можно производить на основе группы показателей меха-
низмов шифрования, примененного для каждой составляющей
кодограммы. Стойкость, или прочность, защитного механизма
определяется стойкостью к подбору примененного секретного
ключа в количестве времени, затрачиваемого нарушителем на
эту работу. Если оно составляет величину, превышающую время
жизни защищаемой информации, то прочность или вероятность
этой преграды равна 1.
При этом обратим внимание на существенную разницу во
времени жизни самого сообщения и его служебных частей. Само
сообщение в зависимости от назначения информационной сис-
темы может сохранять цену десятки лет, а его служебные час-
ти — не более десятка минут (время доведения сообщения до ад-
154
Раздел III. Проектирование системы обеспечения безопасности...
ресата). Это позволяет существенно увеличить быстродействие
шифрования и, может быть, даже упростить его для служебных
частей. Такой большой набор процедур может вызвать сомнение
у разработчиков по поводу реальности воплощения этой идеи
из-за возможного увеличения времени обработки кодограммы.
Однако даже если это и случится, повышение безопасности ин-
формации стоит того.
При реализации системы контроля и разграничения доступа
в автоматизированной системе управления (системе передачи
информации) потребуется также организовать систему сбора с
комплексом средств автоматизации обработки информации сиг-
налов несовпадения кодов паролей, систему управления и рас-
пределения ключей шифрования информации и организацион-
ные мероприятия по безопасности информации.
Изложенное позволяет предложить следующую группу
средств для обеспечения безопасности информации, обрабаты-
ваемой в каналах связи, ориентированных соответственно на вы-
полнение приведенных выше восьми условий:
а)	средства формирования цифровой подписи сообщений;
б)	средства шифрования передаваемых данных;
в)	средства обеспечения цифровой подписи служебных при-
знаков передаваемой информации, включая адреса и маршруты
сообщения, а также получение отправителем и посредником
квитанции от получателя;
г)	все перечисленные в пп. «а», «б» и «в» средства;
д)	средства п. «б»;
с) введение в систему передачи информации маскирующих
потоков сообщений при отсутствии активности в обмене инфор-
мацией;
ж)	присвоение всем участникам обмена сообщениями пере-
менных идентификаторов и создание в автоматизированной сис-
теме управления и системе передачи информации системы кон-
троля и разграничения доступа с защитой цифровой подписью
паролей от подмены их нарушителем;
з)	средства те же, что и в п. «ж».
Показатель прочности перечисленных средств защиты и бу-
дет в конечном итоге определять безопасность информации в
каналах связи. Учитывая высокую стоимость каналов связи и
опасность внедрения нарушителя -профессионала, расчет проч-
ности указанных средств (поскольку это сейчас технически воз-
можно) предлагается производить только из обеспечения уело-
Глава 1. Концептуальные основы проектирования системы...
155
вия, когда ожидаемое время, затрачиваемое нарушителем, долж-
но быть больше времени жизни защищаемой информации. Это
целесообразно выполнять всегда независимо от заданного класса
потенциального нарушителя.
В некоторых сетях и автоматизированных системах управле-
ния не потребуется защита трафика и зашита от утечки инфор-
мации. Для подобных систем предлагается ввести для каналов
связи следующую классификацию требований по классам потен-
циального нарушителя:
1-й класс — все требования;
2-й класс — все, кроме требования п. «е»;
3-й класс — все, кроме требований пп. «б», «г», «д» и «е».
Расчет уровня безопасности информации в системах переда-
чи информации в целом необходимо производить по следующим
показателям:
б’ксдспи — группа показателей прочности зашиты информа-
ции в комплексе средств автоматизации (КСА) системы переда-
чи информации (СПИ); за основу берется КСА с наименьшими
значениями показателей;
<7КС — группа показателей прочности защиты информации в
каналах связи системы передачи информации (кроме абонент-
ского шифрования).
Расчет уровня безопасности информации в автоматизиро-
ванной системе управления в целом можно производить по сле-
дующим показателям:
^ксаасу — группа показателей прочности защиты информа-
ции в комплексе средств автоматизации (КСА) автоматизиро-
ванной системы управления (АСУ); за основу берется КСА с
наименьшими значениями показателей;
Сспи — группа показателей, приведенная выше для системы
передачи информации;
^ксасу — группа показателей прочности защиты информа-
ции в прямых каналах связи, если таковые имеются между ком-
плексами средств автоматизации обработки информации и дан-
ных в автоматизированной системе управления;
РТд — прочность защиты информации при абонентском
шифровании в трактах передачи данных.
156
Раздел III. Проектирование системы обеспечения безопасности...
Глава 2
ОСНОВНЫЕ ПРИНЦИПЫ ПРОЕКТИРОВАНИЯ СИСТЕМ
ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
ОБРАБОТКИ ИНФОРМАЦИИ
В процессе подготовки к началу работ по проектированию
информационной системы при согласовании технического зада-
ния в принципе уже известны предварительное распределение,
места сосредоточения, характер, степень важности и секретности
информации, подлежащей обработке. Таким образом определя-
ется необходимость в разработке системы обеспечения безопас-
ности информации и соответствующих требований к ней, кото-
рые обязательно должны быть приведены в техническом задании
на систему. Отсюда следует основное требование к порядку про-
ведения проектирования, заключающееся в необходимости па-
раллельного проектирования системы обеспечения безопасности
информации с проектированием системы управления и обработ-
ки информации и данных, начиная с момента выработки общего
замысла построения информационной системы. Созданию сис-
темы обеспечения безопасности информации, встроенной в ав-
томатизированную систему, свойственны все этапы:
•	разработка технических предложений;
•	разработка эскизного проекта;
•	разработка технического проекта;
•	выпуск рабочей документации;
•	изготовление;
•	испытания;
•	сдача системы заказчику.
Невыполнение этого принципа, «наложение» или «встраива-
ние» средств защиты в уже готовую систему, может привести к
низкой эффективности защиты, невозможности создания цель-
ной системы обеспечения безопасности, снижению производи-
тельности и быстродействия информационных средств, а также
к большим затратам, чем если бы система защиты разрабатыва-
лась и реализовывалась параллельно с основными задачами.
При параллельном проектировании разработчиками систе-
мы обеспечения безопасности информации (СБИ) производит-
ся анализ циркуляции и мест сосредоточения информации в
Глава 2. Основные принципы проектирования систем обеспечения...
157
проекте информационной системы, определяются наиболее
уязвимые для несанкционированного доступа точки и своевре-
менно предлагаются взаимоприемлемые технические решения
по сокращению их количества путем изменения принципиаль-
ной схемы информационной системы, что позволит обеспечить
простоту, надежность и экономичную реализацию зашиты с
достаточной эффективностью. Кроме того, параллельное про-
ектирование необходимо в силу встроенного характера большей
части технических средств защиты. Функционирование меха-
низма защиты должно планироваться и обеспечиваться наряду
с планированием и обеспечением процессов автоматизирован-
ной обработки информации, что важно для определения степе-
ни влияния средств защиты информации на основные вероят-
ностно-временные характеристики информационной системы,
которые, как правило, изменяются в сторону ухудшения. Но
это — плата за приобретение нового и необходимого качества,
которая иногда является причиной пренебрежительного отно-
шения некоторых разработчиков и заказчиков информацион-
ных систем к защите. Однако за такую недальновидность им
приходится расплачиваться потом несоизмеримо более дорогой
ценой. Не выполнив эту задачу, они лишили владельца инфор-
мационной системы гарантий на собственность его информа-
ции, циркулирующей в ней.
При разработке технического задания и дальнейшем проек-
тировании информационной системы следует помнить, что
создание системы обеспечения безопасности информации —
задача не второстепенная, ибо ее невыполнение может быть
причиной недостижения цели, поставленной информационной
системе, потери доверия к ней, а в некоторых случаях утечки и
модификации информации — причиной более тяжелых по-
следствий.
Техническое задание на проектируемую информационную
систему должно содержать перечень сведений и характеристик,
подлежащих защите, возможные пути циркуляции и места их со-
средоточения, а также специальные требования к системе обес-
печения безопасности информации. Если это автоматизирован-
ная система управления или информационная сеть, то должна
соблюдаться иерархия требований к системе защиты информа-
ции. Они должны входить:
•	в общее техническое задание на автоматизированную сис-
тему управления или информационную сеть в целом;
158
Раздел III. Проектирование системы обеспечения безопасности...
•	в частные технические задания на функциональные под-
системы управления, на отдельные автоматизированные
звенья, объекты, комплексы, технические средства;
•	в технические задания на сопряжение внешних систем;
•	в технические задания на общее программное обеспечение
отдельных компьютеров и информационных комплексов,
на специальное программное обеспечение объектов — эле-
ментов информационной сети и автоматизированных сис-
тем управления.
Требования общего технического задания на информацион-
ную сеть и автоматизированную систему управления являются
руководящими для частных технических заданий подсистем,
звеньев, объектов и т. д.
При этом в автоматизированной системе управления требо-
вания на подсистемы одного уровня иерархии, идеологически
связанные с одним вышестоящим объектом, должны быть уни-
фицированы между собой и не вступать в противоречие.
Решение вопросов создания системы защиты информации
должно поручаться липам одного уровня с лицами, занимающи-
мися вопросами функционирования автоматизированной систе-
мы управления. Разработка системы защиты информации требу-
ет привлечения специалистов широкого профиля, знающих, кроме
системных вопросов, вопросов программного обеспечения, раз-
работки комплексов и отдельных технических средств, специ-
альные вопросы защиты информации.
При проектировании защиты следует внимательно провести
исследование разрабатываемой информационной системы на
предмет выявления всех возможных каналов несанкционирован-
ного доступа к информации, подлежащей защите, средствам ее
ввода-вы вода, хранения, обработки и только после этого строить
защиту. Первое знакомство с разрабатываемой информационной
системой должно закончиться рекомендациями по сокращению
обнаруженных каналов доступа путем ее принципиальных изме-
нений без ущерба выполнению основных задач.
Анализ важнейших задач организации и формирования функ-
ций, удовлетворяющих целям управления, носит обычно итера-
тивный характер, обеспечивающий последовательное уточнение
задач и функций, согласование их на всех уровнях и ступенях ав-
томатизированной системы управления и сведение в единую
функциональную схему. Это означает, что проведенные на неко-
тором этапе проектирования технические решения, накладывае-
Глава 2. Основные принципы проектирования систем обеспечения...
159
мые системой защиты на основные задачи автоматизированной
системы управления, должны проверяться по степени их влияния
на решения основных процессов управления и наоборот: после
принятия решения по изменению основных процессов управле-
ния и составу технических средств должно проверяться их соот-
ветствие решениям по защите информации, которые при необхо-
димости должны корректироваться или сохраняться, если кор-
ректировка снижает прочность защиты.
Важную роль играет простота системы обеспечения безо-
пасности информации. Она должна быть простой настолько, на-
сколько позволяют требования по ее эффективности. Простота
защиты повышает ее надежность, экономичность, уменьшает ее
влияние на вероятностно-временные характеристики автомати-
зированной системы управления, создает удобства в обращении
с нею. При неудобных средствах безопасности пользователь бу-
дет стараться найти пути ее обхода, отключить ее механизм, что
сделает защиту бессмысленной и ненужной.
При проектировании системы обеспечения безопасности ин-
формации, как и в обычных разработках, вполне разумно при-
менение унифицированных или стандартных средств защиты.
Однако желательно, чтобы указанное средство при применении
в проектируемой информационной системе приобрело индиви-
дуальные свойства защиты, которые потенциальному нарушите-
лю не были бы известны.
Данные по защите информации в проектируемой информа-
ционной системе должны содержаться в отдельных документах и
засекречиваться.
Ознакомление опытных и квалифицированных специалистов
с уязвимыми точками проекта на предмет его доработки можно
осуществить путем организации контролируемого допуска их к
секретному проекту. В этом случае по крайней мере будут из-
вестны липа, ознакомленные с проектом. Таким образом сокра-
щается число лиц — потенциальных нарушителей, а лица, озна-
комленные с проектом, несут ответственность перед законом,
что, как известно, является сдерживающим фактором для потен-
ц и ал ь н о го н а ру ш ител я.
В процессе проектирования и испытаний рекомендуется по
возможности использовать исходные данные, отличающиеся от
действительных, но позволяющие при последующей загрузке
системы действительными данными нс проводить доработки. За-
грузка действительных данных должна производиться только по-
160
Раздел III. Проектирование системы обеспечения безопасности...
еле проверки функционирования системы зашиты информации
в данной информационной системе.
Учитывая то, что система защиты в информационной систе-
ме предусматривает, кроме аппаратно-программных средств,
применение в качестве преграды и организационных мероприя-
тий, выполняемых человеком — наиболее слабым звеном защи-
ты, необходимо стремиться к максимальной автоматизации его
функций и сокращению доли его участия в защите.
Для того чтобы спроектированная система зашиты обрела
жизнь, необходимо также, чтобы технические средства зашиты
по возможности не ухудшали вероятностно-временные характе-
ристики информационной системы: быстродействие, производи-
тельность и другие. При проектировании необходимо найти ра-
зумное соотношение в удовлетворении тех и других требований.
Контрольные вопросы
1.	Опишите состояние проблемы обеспечения безопасности информации в ин-
формационных системах в настоящее время.
2.	Раскройте сущность централизованной обработки информации и данных в
информационных системах.
3.	Приведите классификацию защиты информации в зависимости от квалифи-
кации нарушителя.
4.	Раскройте содержание элементарной защиты компьютерной системы.
5.	Как принципиально определяется прочность защитной преграды?
6.	Что включает модель многозвенной защиты? Что включает модель много-
уровневой защиты?
7.	Какие составляющие должна включать модель информационной системы с
безопасной обработкой информации?
8.	В чем заключаются концептуальные основы построения системы обеспечения
безопасности информации от несанкционированного доступа в информаци-
онной системе?
9.	В чем заключаются концептуальные основы для проектирования системы
обеспечения безопасности информации от несанкционированного доступа в
информационной сети и автоматизированной системы управления?
10.	Что подразумевает необходимость параллельного проектирования систем
обеспечения безопасности и систем управления и обработки информации и
данных?
Раздел IV
ПОСТРОЕНИЕ СИСТЕМЫ ОБЕСПЕЧЕНИЯ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В КОМПЛЕКСАХ СРЕДСТВ АВТОМАТИЗАЦИИ
ЕЕ ОБРАБОТКИ
Глава 1
ИСХОДНЫЕ ПРЕДПОСЫЛКИ
Для построения системы обеспечения безопасности инфор-
мации в комплексе средств автоматизации информационной
системы необходимы следующие исходные данные:
•	назначение и выполняемые функции;
•	состав и назначение аппаратных и программных средств;
•	структурная или функциональная схема;
•	структура и состав информационной базы;
•	перечень и время сохранения секретности сведений, подле-
жащих защите;
•	модель ожидаемого поведения потенциального нарушителя;
•	состав, количество и виды внутренних и выходных доку-
ментов;
•	описание функциональных задач прикладного программ-
ного обеспечения;
•	состав и выполняемые функции должностных лиц — поль-
зователей и обслуживающего персонала;
•	режим работы (закрытый или открытый, круглосуточный
или с перерывами, оперативный или пакетный);
•	способы и средства загрузки программного обеспечения;
•	базовые вычислительные средства и их характеристики;
•	интенсивность отказов входящих технических средств;
•	показатели качества функционального контроля;
162 Раздел IV. Построение системы обеспечения безопасности информации...
• план и условия размещения технических средств на объек-
те эксплуатации.
Перечисленные данные являются параметрами конкретного
объекта обеспечения безопасности. Его назначение и выполняе-
мые функции дают первое представление о необходимом уровне
обеспечения безопасности информации (например, для военных
целей — один уровень, для гражданских — другой и т. д.). Уточ-
няет эту задачу режим работы комплекса средств автоматизации
обработки информации, а также перечень сведений, подлежа-
щих защите. Состав и назначение аппаратных средств, структур-
ная и функциональная схемы, способ загрузки программного
обеспечения, план размещения технических средств и другие па-
раметры дают представление о возможных каналах несанкцио-
нированного доступа к информации, подлежащей защите. Пере-
чень возможных каналов несанкционированного доступа пред-
ставлен выше. Однако он не является исчерпывающим или,
наоборот, некоторые возможные каналы несанкционированного
доступа на конкретном комплексе средств автоматизации обра-
ботки информации могут отсутствовать. Это зависит также от
заданной модели поведения нарушителя. Перечень сведений,
подлежащих защите, состав, количество и виды документов, со-
держащих эти сведения, дают представление о предмете защиты.
Состав и выполняемые функции должностных лиц — пользова-
телей и обслуживающего персонала, структура и состав инфор-
мационной базы, операционная система программного обеспе-
чения базовых информационных средств позволяют построить
систему опознания и разграничения доступа к информации,
подлежащей защите от преднамеренного несанкционированного
доступа. Интенсивность отказов входящих в комплекс техниче-
ских средств и показатели качества функционального контроля
необходимы для оценки эффективности защиты от случайных
несанкционированных доступов. План размещения и состав тех-
нических средств, а также данные о наличии соответствующих
датчиков дают представление о возможности и выборе принци-
пов построения системы контроля вскрытия аппаратуры и сис-
темы контроля доступа в помещения объекта эксплуатации ком-
плекса средств автоматизации.
При создании системы обеспечения безопасности в ком-
плексе средств автоматизации обработки информации использу-
ются также принятые концептуальные основы для построения
системы обеспечения безопасности информации.
Глава 2. Состав средств и структура системы обеспечения безопасности... 163
В целях наиболее полного представления способов реализа-
ции системы и средств обеспечения безопасности информации
от преднамеренного несанкционированного доступа в комплексе
средств автоматизации рассмотрим наиболее сложную ситуацию,
когда состав комплекса средств автоматизации содержит по воз-
можности наиболее полную номенклатуру типовых технических
средств и количество возможных каналов несанкционированно-
го доступа соответствует модели поведения квалифицированного
нарушителя-профессионала.
При описании системы обеспечения безопасности в целях
раскрытия смысла подчинения отдельных средств общей задаче
используем метод исследования от общего к частному, для этого
приведем сначала описание структуры системы обеспечения
безопасности, а затем ее составные части.
Глава 2
СОСТАВ СРЕДСТВ И СТРУКТУРА СИСТЕМЫ
ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В КОМПЛЕКСЕ
СРЕДСТВ АВТОМАТИЗАЦИИ ОБРАБОТКИ ИНФОРМАЦИИ
На основе изложенной концепции средства обеспечения
безопасности информации в комплексе средств автоматизации
обработки информации делятся на средства обеспечения безо-
пасности информации от преднамеренного несанкционирован-
ного доступа и от случайного несанкционированного доступа.
Средства управления обеспечением безопасности информации
от несанкционированного доступа являются объединяющими,
дающими возможность с помощью целенаправленных и взаимо-
увязанных функций в сочетании с наиболее полным охватом
возможных каналов несанкционированного доступа объекта от-
дельными средствами защиты создать законченную и строгую
систему защиты в комплексе средств автоматизации (информа-
ционной системе). Пример структуры такой системы приведен
на рис. I. Обозначения на рисунке:
СКДТО — система контроля доступа на территорию объекта;
СКРДП — система контроля и разграничения доступа в по-
мещения;
164 Раздел IV. Построение системы обеспечения безопасности информации...
С КЗ — система криптографической защиты;
КПП — контрольно-пропускной пункт;
СЗИ ПЭМ ИН — система защиты информации по каналам
побочного электромагнитного излучения и наводок;
СОС — система охранной сигнализации;
СЗИН — средства защиты информации на ее носителях;
СШД — средства шифрования данных;
СУОИ — средства уничтожения остатков информации;
САИН — средства аутентификации информации на носи-
телях;
СВПО — средства верификации программного обеспечения;
СВАРК — средства вывода аппаратуры из рабочей конфигу-
рации комплекса средств автоматизации;
СЗР — средства защиты ресурсов;
СОРДИ — система опознания и разграничения доступа к ин-
формации;
С КВА — средства контроля вскрытия аппаратуры;
ФЗ ПО — функциональные задачи программного обеспе-
чения;
ФЗ УЗИ — функциональные задачи управления защитой ин-
формации;
АРМ СБ — автоматизированное рабочее место службы безо-
пасности;
ЖУРД — журнал учета и регистрации доступа к информации;
ТСБИ — технические средства безопасности информации;
НКП — носители кодов-паролей;
СЗКП — средства защиты кодов паролей;
АЗ КП — аппаратура записи кодов паролей;
АРДИ — аппаратура регистрации и документирования ин-
формации;
У КВА — устройство контроля вскрытия аппаратуры;
ЦСС — цепи сбора сигналов;
СПДИ — средства повышения достоверности информации;
СЗИ АС — система защиты информации от аварийных си-
туаций;
СФК — система функционального контроля;
СКЦ ПО — средства контроля целостности программного
обеспечения;
СТР — специальные технические решения;
СЗПП — средства защиты от переадресации памяти;
СИФЗ — изоляция функциональных задач.
Рис. 1. Структурная схема системы обеспечения безопасности информации в комплексе средств автоматизации
ее обработки
Глава 2. Состав средств и структура системы обеспечения безопасности... 165
166 Раздел IV. Построение системы обеспечения безопасности информации...
Согласно принятой концепции системы обеспечения безо-
пасности информации от преднамеренного несанкционирован-
ного доступа включают 1-й контур защиты — систему контроля
доступа на территорию объекта (СКДТО), 2-й контур защиты —
систему контроля и разграничения доступа в помещения
(СКРДП) и основной контур защиты (ОКЗ).
Система контроля доступа на территорию объекта (СКДТО),
содержащая систему охранной сигнализации (СОС) и контроль-
но-пропускные пункты (КПП), служит для ограничения доступа
лиц на территорию объекта, а также совместно со специальными
аппаратными решениями составляет средство защиты от побоч-
ных электромагнитных излучений и наводок информации.
Основной контур защиты перекрывает каналы доступа по
периметру комплекса средств автоматизации обработки инфор-
мации. Система контроля вскрытия аппаратуры (СКВА) пере-
крывает доступ к внутреннему монтажу аппаратуры, технологи-
ческим органам управления (включая средства загрузки про-
граммного обеспечения) и кабельным соединителям. Система
опознания и разграничения доступа к информации (СОРДИ)
закрывает несанкционированный доступ и обеспечивает воз-
можность контроля санкционированного доступа к информа-
ции законных пользователей и разграничения их полномочий в
соответствии с их функциональными обязанностями. Средства
вывода аппаратуры из рабочего контура (СВАРК) обмена ин-
формацией в комплексе средств автоматизации обработки ин-
формации обеспечивают блокировку несанкционированного
доступа к информации, подлежащей защите, при ремонте и
профилактике аппаратуры. Средства защиты информации на
носителях закрывают несанкционированный доступ к ней при
их транспортировке по неохраняемой территории, при съеме
носителя с работающей системы для хранения или ремонта.
В числе средств по созданию основного контура защиты при-
меняются также средства защиты ресурсов (СЗР) комплекса
средств автоматизации обработки информации и организаци-
онные меры. Средства защиты ресурсов используются в целях
исключения блокировки пользователем-нарушителем работы
других пользователей, а также для контроля и ограничения дос-
тупа пользователей к ресурсам комплекса средств автоматиза-
ции обработки информации.
Средства защиты информации на носителях (СЗИН) вклю-
чают средства шифрования данных (СШД), средства уничтоже-
Глава 2. Состав средств и структура системы обеспечения безопасности... 167
ния остатков информации (СУОИ), средства аутентификации
информации на носителях (САИН), средства верификации про-
граммного обеспечения (С В ПО) и организационно-технические
мероприятия. Система контроля вскрытия аппаратуры включает
датчики вскрытия, установленные на контролируемой аппарату-
ре, цепи сбора сигналов (ЦСС) и устройство контроля вскрытия
аппаратуры (УКВА).
Система опознания и разграничения доступа к информации
содержит терминал службы безопасности информации (ТСБИ),
функциональные задачи программного обеспечения (ФЗ ПО)
комплекса средств автоматизации обработки информации, реа-
лизующие на программном уровне идентификацию и аутенти-
фикацию пользователей, а также разграничение их полномочий
по доступу к информации и функциям управления. Кроме того,
система опознания и разграничения доступа к информации мо-
жет содержать физические ключи-пароли или специальные кар-
точки пользователя, имеющие необходимые коды паролей и их
преобразователи. В целях защиты кодов паролей от несанкцио-
нированного доступа для них также должны быть предусмотре-
ны средства защиты (СЗКП).
Средства защиты от случайного несанкционированного до-
ступа включают средства повышения достоверности информа-
ции (СПДИ) и средства защиты информации от аварийных си-
туаций (СЗИ АС).
Средства повышения достоверности информации содержат
систему функционального контроля (СФК), устройство защиты
от ошибок в каналах связи (УЗО КС); средства контроля целост-
ности программного обеспечения (CKU ПО) и специальные тех-
нические решения (СТР). Специальные технические решения
закладываются на этапе проектирования системы. Они включа-
ют средства защиты от переадресации памяти (СЗПП), изоляции
функциональных задач (СИФЗ) и другие технические решения,
способствующие повышению достоверности обрабатываемой
информации в современных информационных системах.
Средства управления защитой информации содержат автома-
тизированное рабочее место службы безопасности (АРМ СБ) ин-
формации, функциональные задачи программного обеспечения,
специально разработанные для выполнения функций управления
защитой на программном уровне, включая ведение журнала учета
и регистрации доступа к информации, входных и выходных доку-
ментов (ЖУРД), фактов несанкционированного доступа и т. д.,
168 Раздел IV. Построение системы обеспечения безопасности информации...
и организационные мероприятия. Автоматизированное рабочее
место службы безопасности включает терминал безопасности ин-
формации, входящий в систему опознания и разграничения до-
ступа, устройство контроля вскрытия аппаратуры, аппаратуру за-
писи кодов в физические ключи-пароли (АЗКП) или карточки
пользователей, необходимое количество ключей-паролей (карто-
чек) и аппаратуру регистрации и документирования информации
(АРДИ). В дополнение к указанным средствам, выполненным на
аппаратном и программном уровнях, в необходимых случаях при-
меняются организационные меры, содержание которых будет из-
ложено ниже в отдельном разделе.
В данном разделе учебного пособия возможно было бы изло-
жить темы «Системы охранной сигнализации на территории и в
помещениях объекта с обеспечением безопасности информа-
ции», а также «Система контроля вскрытия аппаратуры (СКВА)»,
но по данным темам достаточно много учебных пособий с учетом
специфики разделов, производителей аппаратной части и про-
граммного обеспечения. Авторы посчитали возможным пропус-
тить данные темы.
Глава 3
СИСТЕМА ОПОЗНАНИЯ И РАЗГРАНИЧЕНИЯ ДОСТУПА
К ИНФОРМАЦИИ (СОРДИ)
Задачи и общие принципы построения системы опознания
и разграничения доступа
Основная задача системы опознания и разграничения досту-
па — это перекрытие несанкционированного и контроль санк-
ционированного доступа к информации, подлежащей защите.
При этом разграничение доступа к информации и программным
средствам се обработки должно осуществляться в соответствии с
функциональными обязанностями и полномочиями должност-
ных лиц — пользователей, обслуживающего персонала, просто
пользователей.
Основной принцип построения системы состоит в том, что
допускаются и выполняются только такие обращения к инфор-
Глава 3. Система опознания и разграничения доступа к информации
169
мании, в которых содержатся соответствующие признаки разре-
шенных полномочий.
В указанных целях осуществляется идентификация и аутен-
тификация пользователей, устройств, процессов и т. д., деление
информации и функций ее обработки, установка и ввод полно-
мочий.
Деление информации и функций ее обработки обычно про-
изводится по следующим признакам:
•	по степени важности;
•	степени секретности;
•	выполняемым функциям пользователей, устройств;
•	наименованию документов;
•	видам документов;
•	видам данных;
•	наименованию томов, файлов, массивов, записей;
•	имени пользователя;
•	функциям обработки информации:
—	чтению;
—	записи;
—	исполнению по областям оперативной и долговременной
памяти;
• времени дня.
Выбор конкретных признаков деления и их сочетаний про-
изводится в соответствии с техническим заданием при проекти-
ровании программного обеспечения информационной системы.
Информация, подлежащая защите, должна быть размещена в
неперссекаюшихся областях памяти. В любой из этих областей
хранится совокупность информационных объектов, каждый из
которых подлежит защите. Защита в этом случае сводится к тому,
что доступ к информационному объекту осуществляется через
единственный охраняемый проход. В функцию «охраны» входят
опознание пользователя по коду предъявленного пароля и при
положительном результате проверки допуск его к информации в
соответствии с выделенными ему полномочиями. Эти процедуры
выполняются при каждом обращении пользователя: запросе, вы-
даче команд и т. д. Чтобы не набирать каждый раз пароль, удобно
предъявляемый пароль хранить на специальном физическом но-
сителе (ключе, карте), который перед входом в информационную
систему должен вставляться пользователем в специальное гнездо
в терминале. Если же требования к защите информации для кон-
кретной системы позволяют применение набора пароля вручную,
170 Раздел IV. Построение системы обеспечения безопасности информации...
Рис. 1. Алгоритм контроля и управления разграничением доступа к информации:
УНДЛ — условный номер должностного лица; КП — ключ-пароль; ТКП — таб-
лица КП; АРМ СБ — АРМ службы безопасности
Глава 3. Система опознания и разграничения доступа к информации
171
необходимо сделать так, чтобы предъявляемый пароль при по-
вторных обращениях в процессе работы с информацией находил-
ся в памяти данного терминала. Хранение в центральном вы-
числителе допускается только при обеспечении его связки с
условным номером данного терминала, т. е. все последующие об-
ращения в центральном вычислителе должны приниматься на
обработку только с условным номером терминала, с которого
предъявлялся хранимый код пароля. По окончании работы для
исключения возможности несанкционированного доступа со
стороны посторонних пользователей необходимо с терминала
ввести соответствующую команду, по которой предъявленный
ранее и хранимый пароль стирается. О факте стирания на терми-
нал должно быть выдано сообщение. Для проверки последней
операции полезно повторить одно из предыдущих обращений без
пароля и убедиться по отрицательной реакции информационной
системы, что обращение в обработку не принимается.
Типовой пример алгоритма контроля и управления разграни-
чением доступа приведен на рис. 1.
Разграничение полномочий пользователей
Для реализации указанной процедуры в защищенной области
памяти информационной системы хранятся таблицы полномо-
чий, которые содержат профили полномочий каждого пользова-
теля, терминала, процедуры, процесса и т. д. Эти профили уста-
навливаются в системе с помощью специальной привилегиро-
ванной программы и их можно представить в виде матрицы
установления полномочий.
Каждый элемент Atj в матрице установления полномочий
определяет права доступа /-го пользователя к у-му элементу дан-
ных. Типичный пример такой матрицы — табл. I, где определен-
ным терминалам пользователей разрешается доступ к определен-
ным элементам данных. Здесь «01» означает право ЧИТАТЬ и
«10» — право ЗАПИСАТЬ; «00» в /-й строке иу-м столбце означа-
ет, что терминалу из /-Й строки запрещены все виды доступа к
элементу данных, описанному в у-м столбце, и «11» означает, что
с терминала можно как читать, так и записывать элемент данных.
Если дается разрешение на выполнение затребованного дей-
ствия, это означает, что объект, осуществляющий запрос, имеет
необходимые полномочия по отношению к этому элементу дан-
172 Раздел IV. Построение системы обеспечения безопасности информации...
ных. Наличие же самого разрешения на доступ зависит от фак-
торов, заложенных в программе разграничения доступа: прав
пользователя на доступ, прав терминала на доступ, требуемого
действия, самого элемента информации, значения элемента ин-
формации, или, например, времени дня, согласования или санк-
ции руководства.
Таблица 7. Матрица установления полномочий
Место расположе- ния терминала	Имя служа- щего	Адрес служа- щего	Регистраци- онный номер служащего	Регистраци- онный номер в фонде со- циального обеспечения	Квали- фикация служа- щего	Данные об ок- ладе	Прогноз объема продаж	Цены на закупки
Отдел кадров	11	11	11	10	11	11	00	00
Касса	01	00	01	01	00	11	00	00
Отдел сбыта	00	00	00	00	01	00	11	01
Отдел матери- ально-техниче- ского снаб- жения	00	00	00	00	00	00	00	11
Исследователь- ский отдел	00	00	01	00	01	00	00	01
Дополнительно к правам ЧТЕНИЕ и ЗАПИСЬ существуют и
другие общие типы прав:
•	ИСПОЛНЕНИЕ (исполнить процедуру, когда элементом
информации является процедура);
•	УДАЛЕНИЕ (удалить элемент информации из информаци-
онной базы или данных);
•	ПРИСОЕДИНЕНИЕ (добавить что-либо к концу элемен-
та информации без изменения его первоначального содер-
жания).
Элементы матрицы установления полномочий в этом случае
содержат биты, соответствующие действиям, которые могут быть
выполнены с терминала при обращении к элементу информа-
ции. Однако если это требуется, элементы матрицы могут содер-
жать и указатель на соответствующие процедуры. Эти процедуры
исполняются при каждой попытке доступа с данного терминала
Глава 3. Система опознания и разграничения доступа к информации
173
к заданному элементу информации и могут ограничивать доступ
к информации в зависимости от определенных условий.
Приведем несколько примеров:
1)	решение о доступе зависит от предыстории. Пользова-
тель А может записывать данные в файл F только в том случае,
если он не читал файл G;
2)	решение о доступе основывается на динамическом состоя-
нии системы. Пользователь В может открыть файл //только в то
время, когда информационная база или база данных, в которой
размешен файл, находится в открытом состоянии;
3)	решение о доступе основывается на текущем содержании
информации. Данному пользователю может быть не разрешено
читать поле зарплаты, величина которой превышает 20 000 дол-
ларов;
4)	решение о доступе основывается на значении определен-
ных внутрисистемных переменных. Доступ может быть осущест-
влен пользователями данной группы только в определенное вре-
мя с 7 до 19 ч, исключая работу со специального терминала.
При необходимости эти процедуры можно сделать взаимо-
действующими.
Для входа в таблицу полномочий требуется специальная таб-
лица паролей, которая должна содержать список пользователей,
процессов, процедур и т. д., обладающих правом доступа к ин-
формации. Ниже приведен пример такой таблицы (табл. 2).
Таблица 2. Таблица кодов паролей
Учетный номер	Имя пользователя, процесса	Принадлежность	Код пароля	Условный номер терминала
001	Петров Иван Сидорович	Отдел связи	01324647	СЮ
002	Сидорова Ангелина Даниловна	Отдел кадров	12345678	К 20
003	Петухова Мария Игоревна	Бухгалтерия	0321687	Б 30
004	Васильев Назар Никанорович	Отдел информаци- онных технологий	5417218	И 33
Предложенные формы таблиц могут быть усовершенствова-
ны или изменены в конкретной информационной системе.
174 Раздел IV. Построение системы обеспечения безопасности информации...
В реальных ситуациях обработки данных число строк матри-
цы полномочий может быть весьма значительным, а число эле-
ментов данных чрезвычайно большим. Матрица установления
полномочий обычно может быть сжата до приемлемых размеров
путем использования некоторых или всех следующих методов:
1)	установление групп «виртуальных» пользователей, каждая
из которых представляет собой группу пользователей («клик»)
с идентичными полномочиями с точки зрения безопасности;
2)	установление групп «виртуальных» терминалов — в дейст-
вительности распределение терминалов по классам;
3)	группировка элементов данных в некоторое число катего-
рий с точки зрения безопасности данных.
Разработаны средства управления доступом в системе управ-
ления реляционной базой данных и применяемые в информаци-
онных системах, позволяющие пользователю видеть только его
собственный авторизованный разрез базы данных (рис. 2).
Рис. 2. Автоматическая модификация запроса
Эта схема не требует никакой сложной защиты со стороны
операционной системы или аппаратных средств. Она естествен-
ным образом получается из модели реляционной базы данных и
довольно просто позволяет принимать решения, зависимые и
независимые от содержания данных.
Спецификации безопасности S(R), связанные с запросом R,
вводятся в запрос в форме нового запроса М = R л S(R). Запрос N
является тем запросом, с которым работает информационная
система или база данных.
Глава 3. Система опознания и разграничения доступа к информации
175
В качестве примера допустим, что сотрудник бухгалтерии CI
имеет право на доступ к данным о заработной плате всех служа-
щих, кроме сотрудников бухгалтерии. Если он представит за-
прос: НАЙТИ ПОЛЕ ЗАРПЛАТА ДЛЯ ВСЕХ ЗАПИСЕЙ С
(ИМЯ = АНДРЕЙ), то запрос будет автоматически изменен на:
НАЙТИ ПОЛЕ ЗАРПЛАТА ДЛЯ ВСЕХ ЗАПИСЕЙ С (ИМЯ =
= АНДРЕЙ) И (ПОДРАЗДЕЛЕНИЕ * БУХГАЛТЕРИЯ). В ре-
зультате будут найдены только заработные платы Андреев, рабо-
тающих во всех подразделениях, кроме бухгалтерии.
Таким образом, при создании системы опознания и разгра-
ничения доступа к информации в информационной системе ре-
шаются следующие задачи:
•	деление информации в соответствии с требованиями по
разграничению доступа;
•	размещение элементов информации в разделенных облас-
тях оперативной и долговременной памяти в соответствии
с заданным разграничением доступа;
•	разработка, разделение и распределение функциональных
задач прикладного программного обеспечения в соответст-
вии с заданным разграничением доступа:
•	разработка специальной привилегированной программы
опознания и контроля доступа к информации ограничен-
ного пользования.
Кроме перечисленных, в компьютер добавляются аппаратные
и программные средства изоляции пользователей друг от друга и
от операционной системы. Эти средства осуществляют эффек-
тивный контроль каждой выборки или посылки на хранение, ко-
торые пытается сделать компьютер. Для этой цели на аппаратном
уровне используются специальные регистры границ памяти, зам-
ки памяти и ключи, сегментация, дескрипторы, «кольца» изоля-
ции и другие методы. На программном уровне используется соз-
дание мониторов виртуальной машины, мандатные системы,
системы со списками допуска к информации и т. п. методы.
Выбор метода изоляции определяется требованиями к уров-
ню защиты информации и техническими возможностями проек-
тируемой системы, связанными с обеспечением заданных веро-
ятностно-временных характеристик. С позиций излагаемой в
пособии концепции построения защиты следует отметить, что
методы изоляции решают задачу защиты информации только от
случайных воздействий.
176 Раздел IV. Построение системы обеспечения безопасности информации...
Средства контроля и управления доступом
К системе опознания и разграничения доступа относятся:
специальное программное обеспечение по управлению доступом,
терминал службы безопасности информации (ТСБИ), с которого
осуществляется централизованное управление доступом, ком-
плект физических носителей кодов паролей — магнитных карт,
пропусков, кредитных карточек и т. д., а также аппаратура запи-
си кодов паролей (АЗКП) на эти носители. Необходимой состав-
ной частью системы опознания и разграничения доступом к ин-
формации должны быть также средства защиты кодов паролей
(СЗКП). Учитывая накопленный опыт, рекомендуется действи-
тельные значения кодов паролей в информационной системе не
хранить. В информационной системе хранятся только значения
паролей, преобразованных с помощью криптографических мето-
дов. Подобный метод обеспечивает высокий уровень защиты ко-
дов паролей и, следовательно, малую вероятность обхода защиты.
На эффективность работы системы опознания и разграниче-
ния доступом к информации влияют:
•	выбор параметров паролей;
•	метод защиты кодов паролей, хранимых в информацион-
ной системе;
•	метод запоминания и хранения кодов паролей для пользо-
вателя вне информационной системы;
•	организация контроля и управления доступом к информа-
ции и средствам ее обработки в информационной системе.
Выбор паролей (кодов паролей)
Объектом аутентификации может быть некоторый объем зна-
ний человека. В случае ввода кода пароля пользователем вручную
с клавиатуры терминала идентификатор физически неотделим от
человека, но способности человека по запоминанию ограничены,
и при увеличении объема информации он стремится записать ее
на листке бумаги, который может быть легко утерян или похи-
щен. При выборе пароля естественно возникает вопрос, каким
должен быть его размер и стойкость к несанкционированному
подбору? Какие существуют способы его применения?
Чем больше длина пароля, тем большую безопасность будет
обеспечивать система, так как потребуются большие усилия для
Глава 3. Система опознания и разграничения доступа к информации 177
его отгадывания. Это обстоятельство можно представить в тер-
минах ожидаемого времени раскрытия пароля или ожидаемого
безопасного времени.
Ожидаемое безопасное время (Г6) — полупроизведение числа
возможных паролей и времени, требуемого для того, чтобы по-
пробовать каждый пароль из последовательности запросов. Пред-
ставим это в виде формулы
(1)
где t — время, требуемое на попытку введения пароля, равное
Е/R\ R скорость передачи (символы/мип) в линии связи; Е
число символов в передаваемом сообщении при попытке полу-
чить доступ (включая пароль и служебные символы); 5 — длина
пароля; А — число символов в алфавите, из которых составляет-
ся пароль (т. е. 26, 36 и т. д.).
Например, при Я = 600 симв./мин Е=6, 5=6 и /1 = 26 ожи-
даемое безопасное время
16 6 60)
2^	600 >
= 92 674 734® 107 дней.
Если после каждой неудачной попытки подбора автоматиче-
ски предусматривается десятисекундная задержка, то безопасное
время резко увеличивается.
Если в дополнение к R, Е, Л/ и А примем, что Р — задавае-
мая вероятность того, что соответствующий пароль может быть
раскрыт посторонним лицом, и М — период времени, в течение
которого могут быть предприняты эти попытки (в месяцах при
работе 24 ч/день), то получим формулу Андерсона:
432 хЮ4 — < As.
ЕР
(2)
Если R, Е, М и А фиксированы, то каждое значение (длина
пароля) будет давать различную вероятность Р правильного его
отгадывания. Если мы хотим построить систему, где незаконный
пользователь имел бы вероятность отгадывания правильного па-
роля не большую, чем Л то нам следует выбрать такое 5, кото-
рое удовлетворяло бы выражению (2).
Допустим, что мы хотим, используя стандартный английский
алфавит, установить такой пароль, чтобы вероятность его отга-
178 Раздел IV. Построение системы обеспечения безопасности информации...
дывания была не более 0,001 после трехмесячного систематиче-
ского тестирования. Допустим, что скорость передачи по линии
связи 600 симв./мин и что за одну попытку посылается 20 сим-
волов.
Используя соотношение (2), получаем:
—-432-Ю4 -З-Ю3 < 26s или 3,888-10’ < 265.
20
Для5=6 26* = 3,089  Ю8, т. е. меньше 3,888 10’;
5=7 26* =8,03 -10’, т.е. больше 3,888 -10’.
Следовательно, при данных обстоятельствах нам следует вы-
бирать 5= 7,>
Нетрудно заметить, что в выражениях (1) и (2) величина X
является показателем возведения в степень и, следовательно,
оказывает большое влияние на безопасное время и вероятность
раскрытия пароля. Так, если безопасное время для трехсимволь-
ного пароля, выбранного из 26-символьного алфавита, составит
3 месяца, то для четырехсимвольного — 65 лет. Прогресс в соз-
дании быстрых и производительных компьютеров (которые мо-
гут использоваться нс только для работы с информацией, но и
для взлома паролей) сильно изменяет приведенные примерные
расчеты.
Выбор длины пароля в значительной степени определяется
развитием технических средств, их элементной базы и быстро-
действия. В настоящее время широко применяются многосим-
вольные пароли, где 5> 10. В связи с этим возникают вопросы:
как и где его хранить и как связать его с аутентификацией лич-
ности пользователя? На эти вопросы отвечает комбинированная
система паролей, в которой код пароля состоит из двух частей.
Первая часть состоит из 3—4 десятичных знаков, если код циф-
ровой, и более 3—4, если код буквенный, которые легко могут
быть запомнены человеком. Вторая часть содержит количество
знаков, определяемое требованиями к защите и возможностями
технической реализации системы, она помещается на физиче-
ский носитель и определяет ключ-пароль, расчет длины кода ко-
торого ведется по указанной выше методике. В этом случае часть
пароля будет недоступна для нарушителя.
При расчете длины кода пароля, однако, не следует забывать
о том, что при увеличении длины пароля нельзя увеличивать пе-
риодичность его смены на новые значения более 1 года. Коды
Глава 3. Система опознания и разграничения доступа к информации
179
паролей необходимо менять обязательно, так как за большой пе-
риод времени увеличивается вероятность их перехвата путем
прямого хищения носителя, снятия его копии, принуждения че-
ловека. Выбор периодичности необходимо определять из кон-
кретных условий работы системы, но не реже 1 раза в год. При-
чем дата замены и периодичность должны носить случайный ха-
рактер.
Некоторые изменения в схеме применения простого пароля
создают большую степень безопасности. Например, при обраще-
нии пользователя к системе у него могут быть запрошены от-
дельные символы из пароля по выбору компьютером. В схеме
однократного использования пароля пользователю выдастся
список из N паролей. Такие же пароли хранятся в компьютере
(конечно, в зашифрованном виде). После использования 1-го по
списку пароля в следующий раз должен быть применен 2-й па-
роль, так как 1-й пароль в памяти компьютера стирается, и т. д.
Этот способ весьма эффективен, но не всегда удобен. Он ис-
пользуется при относительно редких обращениях или передаче
специальной информации.
Пароли однократного использования могут применяться так-
же для проверки подлинности сообщения об окончании обслужи-
вания пользователя или завершении его работы на компьютере.
В этом случае уменьшается вероятность использования системы
опытным нарушителем, который может послать пользователю
ложное сообщение об отключении компьютера и продолжать с
ней работу от его имени.
Схема применения паролей однократного использования
имеет следующие недостатки:
•	пользователь должен помнить или иметь при себе весь
список паролей и следить за текущим паролем;
•	в случае если встречается ошибка в процессе передачи,
пользователь оказывается в затруднительном положении:
он не знает, следует ли ему передать тот же самый пароль
или послать следующий;
•	если пароли однократного использования передаются с
терминалов, а сами пароли были получены из линейной
последовательности псевдослучайных чисел X, ..., Хк,
они могут быть перехвачены определенными ловушками.
В качестве пароля может быть использован набор ответов на
т стандартных и п ориентированных на пользователя вопросов.
Метод называется «запрос—ответ». Когда пользователь делает
180 Раздел IV. Построение системы обеспечения безопасности информации...
попытку включиться в работу, операционная система информа-
ционной системы случайным образом выбирает и задает ему не-
которые (или все) из этих вопросов. Пользователь должен дать
правильный ответ на все вопросы, чтобы получить разрешение
на доступ к информации. Вопросы при этом выбираются такие,
чтобы ответы были легко запоминаемы. Возможны варианты
данного метода.
Защита кодов паролей от несанкционированного
доступа
Средства разграничения и контроля доступа работают лишь
тогда, когда действительные значения кода паролей недоступны
посторонним лицам.
Во избежание компрометации кодов паролей их тоже необхо-
димо защищать от несанкционированного доступа. Компромета-
ция паролей может произойти при следующих обстоятельствах:
•	случайном высвечивании или распечатке паролей в при-
сутствии посторонних лиц;
•	анализе остатков информации в запоминающих устройст-
вах во время профилактики и ремонта технических средств
комплекса средств автоматизации обработки информации;
•	отказах аппаратуры, приводящих к невозможности стира-
ния секретной информации;
•	наличии возможности доступа к паролям со стороны тех-
нического обслуживающего персонала;
•	прямом хищении носителей кодов паролей;
•	аварийных ситуациях, приводящих к невозможности кон-
троля доступа к информации и средствам сс обработки;
•	умышленном считывании паролей при доступе через сеть и
использовании специального программного обеспечения.
В этой связи перечислим основные меры предосторожности,
рекомендуемые для защиты кодов паролей:
1)	пароли никогда не следует хранить в информационной
системе в явном виде, они всегда должны быть зашифрованы;
2)	пароли не следует печатать (отображать) в явном виде на
терминале пользователя (за исключением терминала оператора
службы безопасности информации, который должен находиться
в изолированном помещении). В системах, где характеристики
Глава 3. Система опознания и разграничения доступа к информации
181
терминалов не позволяют это сделать, пароль печатается на мас-
ку, закрывающую его значение;
3)	чем больший период времени используется один и тот же
пароль, тем больше вероятность его раскрытия. Следовательно,
его надо менять как можно чаще и по случайному закону;
4)	система никогда не должна вырабатывать новый пароль в
конце сеанса связи даже в зашифрованном виде, так как это по-
зволит нарушителю легко им воспользоваться.
Для закрытия кодов паролей можно использовать методы не-
обратимого шифрования или более сложный метод «необрати-
мой беспорядочной сборки», когда пароли с помощью специаль-
ного полинома преобразуются в зашифрованный пароль. В этом
случае нс существует никакой схемы для возвращения к ориги-
налу пароля. При вводе пароля система преобразует его по дан-
ному закону во время процесса регистрации и сверяет результат
с преобразованным ранее паролем, хранящимся в системе. При-
мером такого преобразования может быть полиномиальное
представление:
/(х) = (хл + ^х”1 + а2х3 + а3х2 4- я4х 4- а5) mod д,
где р = 264 - 59; п = 224 4- 17; пл = 224 4- 3;	— любое произвольное
19-разряднос число (/ = 1, 2, 3, 4, 5); х — пароль в явной форме;
Дх) — зашифрованный пароль. Более детально выбор полино-
мов рассмотрен в специальной литературе.
Однако при выборе данного метода следует защититься от
возможного его обхода путем перебора значений пароля. В пер-
вую очередь обязателен контроль несовпадений, который состоит
в том, что при количестве несовпадений, например, более трех,
должен вырабатываться сигнал тревожной сигнализации и блоки-
ровки обращения с указанием времени и места события. В ответ-
ственных случаях рекомендуется также введение временной за-
держки на выдачу результата совпадения введенного и хранимого
паролей для того, чтобы увеличить ожидаемое время раскрытия
пароля.
Возможен и другой способ защиты паролей, использующих
метод гаммирования (наложения) при наличии в компьютере
(комплексе средств автоматизации обработки информации) по
меньшей мерс двух (нс считая резервных) конструктивно разде-
ленных областей памяти.
182 Раздел IV. Построение системы обеспечения безопасности информации...
Если обозначить через Х}, Х2, ..., Х„ коды паролей, подлежа-
щие защите, а через К{, К2, ..., Кп — соответствующие коды их
закрытия, то, используя метод гаммирования, можно получить
закрытые значения кодов паролей К1? У2, ..., Yn путем сложения
чисел Хи К по mod 2:
*„Ф *,=/,.
Значения К и Y хранятся в компьютере в разных областях
памяти, а значения X нс хранятся. При поступлении в компью-
тер кода пароля от пользователя производится сложение по
mod 2 его значений с соответствующим кодом закрытия «К». Ре-
зультат сложения проверяется на совпадение с хранимым значе-
нием Y. Смысл защиты заключается в раздельном хранении зна-
чений К и Y (так как К ©У = X), доступ к которым должен быть
открыт только программе опознания пользователей и программе
ввода их значений. Последняя должна работать только на опера-
тора службы безопасности, у которого должен быть свой пароль
из числа тех же паролей, но со своим идентификатором. Значе-
ние его идентификатора можно также сделать переменным. При
вводе новых паролей оператор службы безопасности выбирает
случайные значения паролей и кодов их закрытия.
Любая система защиты паролей сохраняет свою силу лишь
при обязательном наличии контроля службой безопасности до-
ступа к программе защиты как со стороны штатных средств ком-
плекса средств автоматизации обработки информации, так и по-
сторонних. Защита от подбора пароля также необходима, как и в
первом случае.
Для повышения степени защиты кодов паролей в компьюте-
ре можно применить на программном уровне метод генератора
псевдослучайных чисел, позволяющий из одного числа получить
группу чисел, которые можно использовать в качестве кодов за-
крытия.
При этом первое число, называемое главным паролем, мо-
жет на время работы храниться в памяти терминала службы
безопасности, а выбранные из него коды закрытия — в опера-
тивном запоминающем устройстве комплекса средств автомати-
зации обработки информационной системы. В случае ремонта
Глава 3. Система опознания и разграничения доступа к информации
183
оперативного запоминающего устройства значения паролей и
кодов закрытия заменяются новыми. Данная мера необходима
для исключения несанкционированного доступа к паролям на
случай содержания значений К и У в остатках информации в
оперативном запоминающем устройстве. Поэтому съем опера-
тивного запоминающего устройства должен производиться с
разрешения службы безопасности.
Необходимо отметить, что благодаря прогрессу в электронной
технике, разработке и удешевлении больших интегральных схем
и реализации на них не только процессоров, но и контроллеров,
и микросхем памяти описанные операции сильно упрощаются.
Возможны и другие методы защиты кодов паролей. Выбор
криптографического метода для конкретной системы должен
быть обязательно проверен специалистами по криптографии.
Наиболее эффективной защитой пароля от несанкциониро-
ванного перехвата считается разделение его на две части: одну —
для запоминания пользователем, вторую — для хранения на спе-
циальном носителе. В этом случае при утере или хищении носи-
теля пароля у пользователя будет время заявить об этом службе
безопасности информации, а эта служба успеет изменить пароль.
Принципы построения носителей кодов паролей
В настоящее время существует много различных носителей
кодов паролей. Такими носителями могут быть пропуска в кон-
трольно-пропускных системах, кредитные карточки для иденти-
фикации личности или подлинников документов и т. п. Выбор
того или иного носителя определяется требованиями к автома-
тизированной системе, се назначению, режиму использования,
степени защиты информации, количеству пользователей, стои-
мости и т. д. Рассмотрим некоторые из них, получившие наи-
большее распространение.
Применяемые носители кодов паролей (НКП) можно разде-
лить на контактные, бесконтактные и смешанного типа. Каж-
дый вид носителя обладает своими достоинствами и недостатка-
ми. При частом применении контактных носителей кодов паро-
лей (стыковке и расстыковке с ответной частью) предъявляются
высокие требования к качеству контактной поверхности и меха-
нической прочности контактов. С увеличением числа контактов
эти характеристики ухудшаются.
184 Раздел IV. Построение системы обеспечения безопасности информации...
Еще недавно существенную роль в выборе конструкции но-
сителей кодов паролей играл объем записываемой информации
и физический процесс записи информации в носитель. Бескон-
тактные носители могут быть простыми, а аппаратура записи
или применяемое для этой цели оборудование — относительно
сложным и дорогим, объем записываемой информации неболь-
шой. Простые носители часто нс отвечают требованиям защиты
от компрометации, которые в последнее время существенно воз-
росли.
Развитие технологии изготовления элементов памяти позво-
лило получить перепрограммируемые полупроводниковые энер-
гонезависимые запоминающие устройства с достаточно большим
объемом памяти, что почти решило проблему создания носителей
кодов паролей широкого применения с высокими показателями.
Возможно применение и других типов носителей кодов паролей.
В качестве носителей кодов паролей целесообразно применять
более дешевые и унифицированные серийные аппаратные сред-
ства. При этом необходимо принимать во внимание не только
стоимость самого носителя, но и стоимость аппаратуры записи
информации на него, а также стоимость терминалов, для которых
он предназначен, т. е. стоимость всего комплекса технических
средств. При выборе типа носителя существенную роль также иг-
рает количество пользователей, режим работы, назначение и сро-
ки эксплуатации информационной системы. Основная функция,
которую носитель кодов паролей выполняет, — хранение кода па-
роля его предъявителя. В этом смысле содержание записанной в
нем информации от владельца скрывать не стоит. Однако слиш-
ком очевидная и легко читаемая информация может быть доступ-
на и для посторонних лиц. В ответственных системах может по-
требоваться зашита кода пароля от компрометации. Большей
стойкостью к компрометации обладают носители, требующие для
считывания информации специальной аппаратуры. Логично ут-
верждать, что стойкость носителя кодов паролей к компромета-
ции тем выше, чем сложнее аппаратура считывания информации.
Этим требованиям наиболее полно отвечают запоминающие
устройства постоянной памяти. Процесс усложнения несанкцио-
нированного считывания информации далее идет по пути приме-
нения криптографических методов, когда на носители кодов па-
ролей, кроме памяти, помещаются защитные схемы и преобразо-
ватели, нс позволяющие считать информацию с носителя кодов
паролей без дополнительных специальных, периодически заме-
Глава 3. Система опознания и разграничения доступа к информации
185
няемых парольных процедур. При этом следует иметь в виду, что
непосредственное шифрование только кода пароля его стойкость
к компрометации нс увеличит, так как по сути паролем становит-
ся результат преобразования, а он остается легкодоступным. По-
этому подделка и фальсификация носителя кодов паролей долж-
ны быть существенно затруднены.
С переходом на «электронные деньги» потребовалось созда-
ние носителей кодов паролей массового применения (кредитных
карточек), надежных и удобных в обращении, с высокой досто-
верностью хранения и стойкостью к компрометации инфор-
мации.
При выборе и создании носителей кодов паролей для проек-
тируемой системы следует учитывать следующие требования:
•	количество пользователей;
•	характер и стоимость защищаемой информации;
•	необходимость в защите пароля от пользователя и стой-
кость к компрометации паролей;
•	возможность многократной записи информации;
•	объем записываемой в носитель информации;
•	стойкость к подделке и фальсификации носителя с паролем;
•	устойчивость к внешним воздействиям, механическим,
климатическим, магнитным полям, свету и др.;
•	время хранения записанной информации; скорость считы-
вания информации;
•	периодичность повторной записи информации в носитель;
•	условия и способ хранения носителя у пользователя; взаи-
мозаменяемость конструкции носителя; габариты и вес но-
сителя;
•	конструкцию и принцип работы ответной части устройства
считывания пароля с носителя;
•	согласование содержания и объема информации на носите-
ле с идеологией применения кодов паролей в системе опо-
знания и разграничения доступа;
•	надежность хранения информации и функционирования;
•	срок службы;
•	стоимость работ, связанных с изготовлением и эксплуата-
цией носителей.
Влияние перечисленных требований на выбор конструкции
носителя кодов паролей и системы их применения выражается
следующим образом. При большом количестве пользователей
увеличивается вероятность потери, хищения, фальсификации
186 Раздел IV. Построение системы обеспечения безопасности информации...
носителя и компрометации кода пароля. Характер и высокая
стоимость защищаемой информации могут быть привлекатель-
ными для нарушителя. Защита кода пароля от пользователя вряд
ли целесообразна при невысоких стоимости и важности инфор-
мации, так как пароль является его идентификатором, и носи-
тель выполняет вспомогательную роль в запоминании пароля.
Возможность многократной записи в носитель кодов паролей
позволяет использовать одни и тс же носители при замене кодов
паролей, выполняемой в интересах сохранения уровня эффек-
тивности защиты информации в системе, что может потребовать
наличия у владельца комплекса средств автоматизации обработ-
ки информации соответствующей аппаратуры записи. Использо-
вание носителей с готовой записью кодов, произведенной на за-
воде-изготовителе, требует соблюдения некоторых условий:
•	записи кодов паролей в виде случайных чисел;
•	изготовления носителей кодов паролей с разными значе-
ниями паролей в количестве, превышающем количество
пользователей, и с учетом периодичности замены и выпол-
нения требуемой стойкости к подбору паролей;
•	соблюдение при записи и поставке носителей кодов паро-
лей режима секретности.
Однако, принимая во внимание один из принципов построе-
ния защиты (исходить из наихудших условий), следует считать,
что записанные на заводе значения паролей независимо от гри-
фа секретности будут храниться постоянно и, следовательно, мо-
гут быть известны нарушителю.
Случайный характер значений паролей в данном случае те-
ряет свой смысл, а стойкость к подбору пароля с первой попыт-
ки будет равна
Р= 1/ЛГ,
где N — количество записанных паролей. По этой причине за-
пись паролей на заводе менее предпочтительна.
Объем записываемой в носитель информации определяется
исходя из длины записываемого пароля и технических возмож-
ностей носителя по выбранной технологии записи информации.
Ранее уже отмечалось, что чем длиннее пароль, тем выше его
стойкость к подбору. Стойкость компрометации пароля и фаль-
сификации носителя нужна только для особых систем, связан-
ных с большим риском потери или искажения ценной информа-
ции, и должна быть такой, чтобы стоимость работ нарушителя
Глава 3. Система опознания и разграничения доступа к информации
187
по вскрытию пароля или фальсификации носителя кодов паро-
лей превышала его материальную выгоду от несанкционирован-
ного доступа.
Другим критерием оценки стойкости к компрометации паро-
ля и фальсификации носителя может быть сравнение ожидаемо-
го времени, затрачиваемого потенциальным нарушителем на не-
санкционированный доступ, и времени действия данного пароля
в информационной системе, т. с. периода его замены. Если пер-
вое превышает второе, стойкость обеспечена.
Время надежного хранения паролей в носителе кодов паро-
лей должно быть нс меньше периода замены паролей в информа-
ционной системе на новые, а скорость считывания информации
с него должна удовлетворять требованиям быстродействия ин-
формационной системы, в которой применяется данный носи-
тель кодов паролей. Периодичность повторной замены информа-
ции в носителе связана с его техническими возможностями по
времени хранения информации. Условия и способ хранения но-
сителя у пользователя связаны с назначением информационной
системы, с габаритом и весом носителя, его конструкцией, кото-
рые должны быть минимальными, желательно в виде плоской
карточки, помещающейся в кармане одежды пользователя. Взаи-
мозаменяемость конструкции носителя необходима для обеспе-
чения его работы на ответных частях всех терминалов данной ин-
формационной системы. Содержание и объем паролей и служеб-
ной части информации носителей кодов паролей должны строго
соответствовать идеологии применения паролей в системе опо-
знания и разграничения доступа, так как носители кодов паро-
лей, если таковые применены, являются неотъемлемой ее ча-
стью, разработанной по единому техническому заданию.
Перечисленные требования говорят о том, что создание но-
сителей кодов паролей — проблема комплексная. Решению об
их создании должна предшествовать глубокая и всесторонняя
оценка всех взаимосвязанных вопросов, в первую очередь ха-
рактера и стоимости защищаемой информации, затрат на созда-
ние и применение носителей кодов паролей и аппаратуры запи-
си для них.
Важную роль при применении носителей кодов паролей на
практике играет вопрос синхронизации записи паролей на носи-
тели кодов паролей и ввод их значений в компьютер. При зна-
чительном количестве пользователей возникает необходимость в
увеличении объемов этих работ. Однако не следует торопиться
188 Раздел IV. Построение системы обеспечения безопасности информации...
автоматизировать этот процесс путем совмещения ввода паролей
в компьютер и записи их значений на носитель кодов паролей,
так как это потребует разработки специальной аппаратуры, что
может усложнить техническую задачу и увеличит расходы.
При сохранении раздельной записи большой объем работ
действительно будет, но только при первоначальной загрузке ин-
формационной системы. Необходимая в процессе эксплуатации
системы замена паролей может производиться в течение долгого
времени по группам паролей без ущерба уровню безопасности.
Для этого в таблице кодов паролей на переходный период (на-
пример, в течение суток) могут храниться одновременно старое и
новое значения пароля. После выдачи пользователю носителя
кодов паролей с новым значением пароля старое значение стира-
ется. При этом надо еще принять во внимание психологический
аспект в работе службы безопасности, выполняющей эту работу.
Напомним, что ее функции в основном контрольные и сводятся
к наблюдению, т. е. пассивной роли, которая на практике приту-
пляет бдительность и внимание. Живая и активная деятельность
повышает эффективность работы исполнителей.
Для зашиты носителей кодов паролей от потери можно снаб-
дить его простым механическим креплением.
Все рассмотренные системы (и в особенности тс из них, в ко-
торых кодовые карты снабжены магнитными элементами) не
требуют точной установки кодовой карты вследствие относитель-
но больших размеров обнаруживаемых элементов или относи-
тельно большой величины магнитного поля, благодаря этому
проблема совмещения не является в этом случае очень критич-
ной. В них не предусмотрено средство фиксации кодовой карты
для ее точной установки, а также отсутствуют схемные средства
обнаружения фальсифицированного кода или защиты от попы-
ток привести устройство в действие с помощью примитивной на-
магниченной или ненамагниченной металлической пластинки.
Для решения подобных проблем существует масса конструк-
ций и устройств, но их описание выходит за рамки данного
учебного пособия.
Отметим, что все большее значение на рынке подобных
средств находят смарт-карты (smart — интеллектуальная), кото-
рые сейчас широко применяются, в том числе и как карта досту-
па, идентификации и аутентификации.
Наиболее известные из них — карты банкоматов, кредитки
и т. п.
Глава 4. Обеспечение безопасности информации и ПО...
189
Глава 4
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
И ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ОТ ПРЕДНАМЕРЕННОГО
НЕСАНКЦИОНИРОВАННОГО ДОСТУПА (ПНСД) ПРИ ВВОДЕ,
ВЫВОДЕ И ТРАНСПОРТИРОВКЕ
Практика показывает, что наиболее слабым местом с пози-
ций несанкционированного доступа в информационных систе-
мах являются каналы доступа к информации и программному
обеспечению (вирусные атаки) и в частности, средств загрузки
как при начале работы, так и в процессе эксплуатации. Это объ-
ясняется наиболее активным участием в процессе человека.
Отметим, что защита программного обеспечения на предмет
авторского права не является задачей данного учебного пособия.
Поэтому средства защиты от несанкционированного копирова-
ния (ИСК), направленные на решение этой задачи, нс входят в
систему безопасности информационной системы.
К средствам, с помощью которых производятся процессы
ввода и транспортировки информации, относятся носители про-
граммного обеспечения и информации. На одних носителях мо-
жет находиться операционная система информационного ком-
плекса, отдельные сервисные программы, на других — приклад-
ные программы, информационные базы и базы данных и т. д.
Потенциальные угрозы в этом случае необходимо рассматривать
такие, которые возможны на этапе создания программного
обеспечения, транспортировке носителя на объект эксплуата-
ции, вводе и выводе информации на другой носитель, хранении
и возможной его транспортировке на другой объект эксплуата-
ции. На этапе создания программного обеспечения для исклю-
чения преднамеренных несанкционированных изменений и
ознакомления с информацией к работам привлекаются прове-
ренные и квалифицированные специалисты, которым создаются
необходимые условия для работы, исключающие доступ посто-
ронних лиц к документам, по которым изготавливается про-
граммное изделие; предоставляется стендовое оборудование,
проверенное на отсутствие программных «вирусов»; обеспечива-
ется хранение носителя в специальных шкафах, закрываемых на
ключ, и помещениях с ограниченным и контролируемым до-
ступом.
190 Раздел IV. Построение системы обеспечения безопасности информации...
При разработке программного обеспечения разработчик ис-
пользует следующие меры по защите:
-	точное и однозначное определение для каждой разрабаты-
ваемой программы перечня автоматизируемых функций;
•	использование средств и технологии программирования,
минимизирующих число точек входа и вероятность нали-
чия дополнительных функциональных возможностей, ко-
торые могут быть использованы для несанкционированных
действий;
•	исключение возможности внесения посторонними лицами
несанкционированных изменений в программу в процессе
ее разработки и отладки.
После того как программное изделие будет готово, обеспечи-
ваются определенные гарантии того, что после продажи и пере-
дачи его новому владельцу последний будет иметь средства про-
верки (верификации) неизменности и подлинности программ-
ного изделия.
Самыми простыми и необходимыми средствами для этой
цели являются маркировка носителя и паспорт на него, подпи-
санный главным конструктором, разработчиком и приемщиком
изделия. В паспорте на изделие проставляется контрольная
сумма всех машинных слов данного изделия. Кроме того, с
данного изделия снимается несколько копий, количество кото-
рых определяется исходя из потребностей заказчика, но не ме-
нее двух, одна из которых будет считаться эталонной, а вто-
рая — рабочей. Эталон изделия должен храниться в удаленном
и надежном месте в условиях ограниченного доступа, исклю-
чающих влияние внешних случайных и преднамеренных воз-
действий. Он используется для периодических проверок рабо-
чей копии во время эксплуатации комплекса средств автомати-
зации обработки информации.
В процессе эксплуатации (согласно инструкции на комплекс
средств автоматизации обработки информации, по желанию
оператора функционального контроля или администратора безо-
пасности данных) производится периодическая проверка кон-
трольной суммы на соответствие ее значению, указанному в пас-
порте на программное изделие.
Указанные средства в основном предназначены для защиты
программного обеспечения от случайных воздействий, но в
определенной мерс они могут защищать систему и от преднаме-
ренных действий. От ловкой подмены они защитить не могут.
Глава 4. Обеспечение безопасности информации и ПО...
191
Для повышения эффективности защиты специалисты пред-
лагают применять ряд дополнительных мер, основными из кото-
рых являются: введение в процесс контрольного суммирования,
кроме общего, фрагментарного суммирования (отдельных бло-
ков и строк по заданному маршруту). При этом способ получе-
ния контрольных сумм рекомендуется хранить втайне — органи-
зация специальных сохраняемых втайне контрольных точек вхо-
да (нестандартных адресов обращения к программам и их
отдельным блокам) — криптографическое закрытие программ с
их дешифрацией перед использованием.
Последняя мера является самым надежным способом защи-
ты. Все перечисленные меры сравнительно несложно реализуют-
ся программным путем. Разумеется, что осуществляется также
разграничение доступа к программам по любому из методов,
приведенных выше.
Одним из наиболее эффективных методов предупреждения
несанкционированного использования программ является метод
модульного диалога, суть которого может быть представлена на
примере.
При разработке каждого программного модуля в нем преду-
сматриваются некоторые специальные процедуры, такие, как сло-
жение по «mod» четных разрядов предъявленного кода или иные.
Команды этих процедур шифруются и располагаются в определен-
ных местах программного модуля (они сохраняются втайне). Кро-
ме того, предварительно определяется некоторый код, являющий-
ся функцией содержания модуля (например, совокупность разря-
дов, выбранных из процедур модуля в определенном порядке).
Этот код хранится в защищенном поле памяти. При обращении к
модулю может быть осуществлена дополнительная проверка на
санкционированность обращения и на подмену программ и внесе-
ние в них несанкционированных изменений. Сама процедура про-
верки может осуществляться в такой последовательности:
1)	в запросе пользователь должен предъявить коды тех моду-
лей, которые необходимы ему для проведения обработки инфор-
мации (эти коды могут выбираться автоматически специальными
программами после опознания пользователя, для этого в запоми-
нающее устройство должна вестись таблица распределения кодов
между пользователями в соответствии с их полномочиями);
2)	проверяется соответствие кодов, предъявленных пользова-
телем, эталонным кодам. При несовпадении кодов дальнейшая
работа блокируется;
192 Раздел IV. Построение системы обеспечения безопасности информации...
3)	специальные программы расшифровывают контрольные
процедуры модуля и дают команду на их выполнение;
4)	программа механизма зашиты посылает контрольным про-
цедурам контрольный код модуля;
5)	контрольные процедуры модуля осуществляют преобразо-
вание контрольного кода и результат посылают программам ме-
ханизма защиты;
6)	программы механизма зашиты зашифровывают контроль-
ные процедуры модуля (причем каждый раз с использованием
нового значения кода ключа), сверяют представленный кон-
трольными процедурами результат с эталонным и принимают
решение о передаче управления модулю или о блокировании его
работы.
Для повышения уровня защиты рекомендуется периодически
изменять процедуры и контрольные коды. Известны и другие
варианты процедуры модульного диалога, однако в основе всех
вариантов лежит принцип заблаговременного формирования не-
которой контрольной информации и проверки се непосредст-
венно перед выполнением модуля. Однако к данному методу
следует подходить с позиций четкого представления о том, что и
от кого (или чего) защищать, где, когда и от каких действий или
воздействий. Для защиты от преднамеренных воздействий на
программное обеспечение при транспортировке носителя от
места создания до объекта его применения или хранения метод
модульного диалога целесообразен для защиты от неквалифици-
рованного нарушителя, так как квалифицированный нарушитель
все же может произвести подмену программного обеспечения.
Для зашиты от случайных воздействий метод достаточно эффек-
тивен, но приведенные выше более простые методы контрольно-
го суммирования дают почти такой же эффект.
При установке носителя с программным обеспечением в
комплекс средств автоматизации обработки информации или за-
грузке программного обеспечения меняются условия пребывания
объекта зашиты и потенциальные угрозы. Защиту обрабатывае-
мой информации и программного обеспечения необходимо рас-
сматривать с учетом случайных процессов, происходящих в ком-
плексе средств автоматизации обработки информации, и воз-
можностей несанкционированного входа в систему человека (см.
приведенную в главе 1, разд.З концепцию обеспечения безопас-
ности информации). Предлагаемые в методе модульного диалога
контрольные процедуры, в которых человек не участвует, явля-
Глава 4. Обеспечение безопасности информации и ПО...
193
ются по существу более прочной изоляцией от вмешательства
посторонних программ, что аналогично процессу разграничения
областей оперативной памяти в оперативном запоминающем
устройстве. Поэтому замена значений ключей при функциониро-
вании программного обеспечения в составе комплекса средств
автоматизации обработки информации вряд ли имеет смысл.
Определенную проблему представляет собой защита от не-
санкционированного доступа к остаткам информации на магнит-
ных носителях, которые могут сохраниться даже при наложении
на старую запись новой информации на одном и том же носителе.
Это может произойти в том случае, когда новый файл оказывает-
ся короче предыдущего, а также при отказах аппаратуры. Приме-
нение обычного стирания (запись 0) и наложения новой записи
на старую также не гарантируют пропадание старой информации,
так как физически за счет некоторого смещения записывающей
головки возможно смешение новой записи относительно старой,
которое обнаруживается специальной аппаратурой.
Обычно защита остатков файла осуществляется с помощью
программы, на что затрачивается значительное время. Сложность
возрастает в связи с тем, что основной источник остатков — ра-
бочие файлы, которые освобождаются после окончания работы
пользователя. Все файлы управляются операционной системой,
распределяющей память в соответствии с запросами различных
пользователей. Поэтому вводится указатель областей основной
памяти, отводимых всем файлам. По мерс освобождения области
памяти необходимо затирать ее путем записи нулей. Но это
сложная работа, требующая значительных затрат и времени.
С другой стороны, зашита остатков от несанкционированно-
го доступа может предполагать и другое решение — запрет до-
ступа к ним. При последовательном размещении файлов поль-
зователю не разрешается считывать участки за пределами сде-
ланной им ранее записи. Но этот способ предполагает защиту
остатков файлов только при доступе через операционную систе-
му. Если же магнитная лента (стриммера) или пакет дисков вы-
несены с объекта эксплуатации, то содержимое может быть
прочитано на другом компьютере. В этом случае даже запись
нулей на место остатка может оказаться недостаточной. Спе-
циалисты рекомендуют в этом случае на место остатка записы-
вать шумовую (случайную) информацию с повторением записи
нс менее 7 раз (чем успешно пользуются, например, в банков-
ских системах).
194 Раздел IV. Построение системы обеспечения безопасности информации...
Отдельную проблему в защите программного обеспечения и
информации составляет применение персональных компьюте-
ров, а также проблема защиты от программных вирусов. Хотя
создателем последних является человек, данную угрозу можно
считать не только преднамеренной, но и случайной.
Если комплекс средств автоматизации обработки информа-
ции работает в автономном режиме, проникновение вируса воз-
можно только со стороны внешних носителей программного
обеспечения и информации. Если комплекс средств автоматиза-
ции обработки информации является элементом информацион-
ной системы (сети) или автоматизированной системы управле-
ния, то проникновение вируса возможно также и со стороны ка-
налов связи.
Поскольку появление вирусов связано с распространением
персональных компьютеров, проблема защиты от них рассмот-
рена в отдельном разделе, посвященной защите информации в
информационных системах, построенных на базе данных компь-
ютеров.
Глава 5
СРЕДСТВА УПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
В КОМПЛЕКСЕ СРЕДСТВ АВТОМАТИЗАЦИИ ОБРАБОТКИ
ИНФОРМАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Назначение, решаемые задачи и принципы
построения
Описанные выше средства защиты информации, обладаю-
щие высокой эффективностью каждое в отдельности, могут ока-
заться бесполезными, если они не будут взаимоувязаны между
собой, так как в защите могут образоваться «щели», через кото-
рые нарушитель может обойти непреодолимую для него прегра-
ду. На этапе проектирования в проект системы согласно приня-
той концепции из отдельных средств (звеньев) строится замкну-
тый контур защиты. Среди средств защиты, как правило, в
сочетании с техническими средствами есть организационная
Глава 5. Средства управления обеспечения безопасности информации... 195
мера (например, вывод технических средств на профилактику' и
ремонт, уничтожение или стирание остатков информации на ее
носителях, учет и регистрация носителей и т. д.), которая долж-
на быть организационно увязана с непрерывным функциониро-
ванием остальных средств защиты. Кроме того, функционирова-
ние всех средств защиты (за исключением шифрования ин-
формации) предусматривает выполнение функций контроля,
обнаружения, регистрации и блокировки несанкционированного
доступа, а также последующее установление причины несанк-
ционированного доступа и восстановление функционирования
части системы, подвергнувшейся несанкционированному досту-
пу. Реализация концепции единого замкнутого контура защиты
естественно требует централизованного контроля выполнения
указанных функций. Такое объединение позволяет уменьшить
вероятность обхода нарушителем средств защиты и реализовать
тактику и стратегию защиты в системном плане и в масштабе
информационной системы в целом.
Своевременное обнаружение и блокировка несанкциониро-
ванного доступа заключается в выработке сигналов тревожной
сигнализации и блокировки за время, меньшее времени, необхо-
димого нарушителю на преодоление защитной преграды и совер-
шение несанкционированного доступа к информации. Данное
условие во многих системах, к сожалению, выполняется не все-
гда и ограничивается лишь регистрацией события без вывода на
отображение дежурному администратору. Вывод производится
лишь по его вызову. Отложенное сообщение о факте несанкцио-
нированного доступа существенно снижает безопасность инфор-
мации в системе, так как дает время нарушителю на отключение
программы регистрации и выполнение несанкционированного
доступа.
В интересах функционирования средств защиты в целом в
системе опознания и разграничения доступа к информации
должны выполняться следующие функции:
•	ввод списка имен пользователей, терминалов, процессов,
допущенных к информации в комплексе средств автомати-
зации обработки информации информационной системы;
•	выбор и ввод носителей кодов паролей;
•	ввод назначенных полномочий пользователей, терминалов,
процессов;
•	сбор сигналов несовпадения кодов паролей и нарушения
полномочий;
196 Раздел IV. Построение системы обеспечения безопасности информации...
•	ведение журнала регистрации доступа к информации;
•	сбор сигналов вскрытия аппаратуры;
•	взаимодействие со службой функционального контроля
комплекса средств автоматизации обработки информации;
•	контроль функционирования систем опознавания и разгра-
ничения доступа к информации и контроля вскрытия ап-
паратуры;
•	контроль доступа в помещения с аппаратурой комплекса
средств автоматизации обработки информации;
•	контроль и обеспечение возможности шифрования инфор-
мации;
•	контроль регистрации и учета носителей информации и
документов;
•	контроль стирания и уничтожения остатков секретной ин-
формации;
•	ведение статистики и прогнозирование несанкционирован-
ного доступа.
Для выполнения перечисленных функций используются
специальные аппаратные и программные средства, входящие
в состав технических средств комплекса средств автоматизации
обработки информации, и организационные мероприятия,
включаемые в отдельную инструкцию по эксплуатации средств
защиты комплекса средств автоматизации обработки информа-
ции. Контроль и управление защитой информации в комплексе
автоматизации осуществляется службой безопасности инфор-
мации комплекса средств автоматизации обработки информа-
ции или представителями администрации, выполняющими ее
функции.
Состав и назначение средств управления
безопасностью информации
Средства управления защитой информации в комплексе
средств автоматизации обработки информации включают в себя
специальное программное обеспечение, автоматизированное ра-
бочее место службы безопасности информации специалистов
службы безопасности и организационные мероприятия. К сред-
ствам управления можно также отнести информационное и лин-
гвистическое обеспечение.
Глава 5. Средства управления обеспечения безопасности информации... 197
В состав специального программного обеспечения входят
программы, обеспечивающие возможность выполнения с терми-
нала службы безопасности следующих функций:
•	сбора и отображения сообщений о несанкционированном
доступе;
•	управления системой опознания и разграничения доступа;
•	регистрации и учета всех внутренних и выходных докумен-
тов. содержащих информацию, подлежащую защите;
•	ведения журнала регистрации всех обращений к информа-
ции с указанием имени пользователя, устройства, процес-
са, а также времени и даты события;
•	формирования и выдачи необходимых справок на терми-
нал службы безопасности информации;
•	криптографического закрытия информации, в том числе
кодов паролей, хранимых в комплексе средств автоматиза-
ции обработки информации;
•	контроля целостности программного обеспечения ком-
плекса средств автоматизации обработки информации;
•	контроля загрузки и перезагрузки программного обеспече-
ния комплекса средств автоматизации обработки инфор-
мации;
•	контроля отключения от рабочего контура обмена инфор-
мацией аппаратуры при выводе ее в ремонт и профилак-
тику;
•	контроля конфигурации комплекса средств автоматизации
обработки информации и ее изменений;
•	управления шифрованием информации;
•	контроля факта стирания или уничтожения остаточной ин-
формации в оперативной и долговременной памяти ком-
плекса средств автоматизации обработки информации;
•	периодического тестирования и контроля правильного вы-
полнения перечисленных функций зашиты на программ-
ном уровне;
•	документирования вышеназванных событий;
•	ведения статистики несанкционированного доступа.
Рабочее место службы безопасности информации (АРМ СБ)
должно находиться в отдельном помещении с кодовым замком и
содержать в своем составе следующие аппаратные средства:
•	терминал службы безопасности информации (ТСБИ);
•	аппаратуру регистрации и документирования информации
(АРДИ);
198 Раздел IV. Построение системы обеспечения безопасности информации...
•	устройство контроля вскрытия аппаратуры (УКВА);
•	аппаратуру записи кодов паролей (АЗ КП) на носители;
•	носители кодов паролей.
В качестве терминала, аппаратуры регистрации и документи-
рования могут быть использованы стандартные устройства из
числа терминалов, применяемых в составе данного комплекса
средств автоматизации обработки информации для выполнения
основной задачи. В некоторых относительно небольших по со-
ставу и менее ответственных комплексах средств автоматизации
обработки информации функции терминала службы безопасно-
сти могул совмещаться с другими административными функция-
ми в информационной системе на одном терминале. Однако это
не значит, что функции контроля несанкционированного досту-
па должны быть временно отключены от процесса управления.
При возникновении несанкционированного доступа сообщение
о нем должно выдаваться на блок отображения терминала служ-
бы безопасности информации с первым приоритетом. С терми-
нала службы безопасности осуществляются все функции управ-
ления и контроля, перечисленные выше, для специальных функ-
циональных задач программного обеспечения.
В качестве устройства контроля вскрытия аппаратуры зачас-
тую используется устройство, отдельное от комплекса средств ав-
томатизации обработки информации, но расположенное в одном
изолированном помещении с терминалом службы безопасности
информации. Все чаще можно встретить решение с аппаратным
интерфейсом (блок обмена информацией с компьютером) и ав-
томатизацией функции контроля прецедентов вскрытия аппара-
туры.
В любом случае предполагается, что основной объем работ
на устройствах контроля вскрытия аппаратуры будет связан
только с контролем вывода технических средств комплекса
средств автоматизации обработки информации в ремонт и про-
филактику и ввода их вновь в рабочую конфигурацию ком-
плекса.
Если в особо ответственных комплексах средств автоматиза-
ции обработки информации будут применяться физические но-
сители кодов паролей, для последних потребуется аппаратура
записи и контроля. Количество носителей должно превышать
количество пользователей. Избыточное количество носителей
необходимо для периодической замены значений кодов-паролей
на новые в целях сохранения уровня безопасности информации
Глава 5. Средства управления обеспечения безопасности информации... 199
в комплексе средств автоматизации обработки информации. За-
мена производится в то время, когда первые носители находят-
ся в работе.
Средства регистрации доступа к информации в комплексе
средств автоматизации обработки информации
Регистрация является одним из эффективных и важных ме-
тодов увеличения безопасности систем. Без ведения точного
регистрационного журнала невозможно проследить за тем, что
произошло в прошлом, и перекрыть каналы утечки информа-
ции. Регистрационный журнал может анализироваться как пе-
риодически, так и непрерывно. Записи журнала можно выво-
дить на экран или распечатывать, а также можно использовать
и для автоматизированного статистического мониторинга и
анализа.
В регистрационном журнале ведется список всех запросов,
осуществляемых пользователем и принятых из каналов связи.
Для каждого запроса фиксируется тип записи, пользователь,
терминал, время, элементы данных, представляемые задания
или программы, а также информация о том, был разрешен до-
ступ или нет. Система защиты информации может периодически
выводить на печать информацию, отсортированную по пользо-
вателям, терминалам, датам, элементам данных и т. д. Выдержки
из журнала могут посылаться пользователем для проверки досту-
па к их файлам. Копию получает представитель системы безо-
пасности информации.
Если объем информации в регистрационном журнале доста-
точно велик, нс следует отказываться от тех возможностей, ко-
торые он позволит получить, а именно определить для любого
заранее заданного периода времени (в прошлом) следующие со-
бытия:
•	профили и учет изменений полномочий, связанные с лю-
бым защищаемым ресурсом;
•	сами изменения, сделанные в профилях полномочий;
•	все доступы к любому защищаемому ресурсу, выделенные
по каждому пользователю, программе, терминалу, заданию,
элементу данных и т. д.;
•	все отказы в доступе;
200 Раздел IV. Построение системы обеспечения безопасности информации...
•	случаи неиспользованного разрешенного доступа;
•	изменения показаний системных часов;
•	другие изменения, производимые оператором в содержа-
нии памяти системы.
Данные журналы могут помочь выявить пользователей, ко-
торые случайно допускали ошибки, и оказать им помощь в при-
обретении навыков, необходимых для работы. Журналы могут
также показывать, что некоторые пользователи или терминалы
никогда не обращаются к элементу данных, и их профили пол-
номочий могут быть сокращены. Журналы могут также служить
в качестве инструмента психологического воздействия на потен-
циальных нарушителей. Журналы часто используются для воз-
врата системы в исходное состояние и восстановления наборов
данных, которые были искажены за счет неполадок в системе.
Для дальнейшего повышения безопасности записи регистра-
ционного журнала могут быть зашифрованы. Для осуществления
регистрации, по-видимому, потребуются небольшие затраты на
дополнительное программирование и резервирование устройства
для записи регистрационной информации. Стирание информа-
ции следует разрешать только по предъявлению физического
ключа. Если имеются какие либо падежные средства защиты па
боров данных регистрационного журнала, то может и не потре-
боваться отдельное устройство для его ведения. Но тем нс менее
регистрационный журнал должен быть независим от системы,
которую он контролирует. В противном случае имеется риск
вмешательства системы в ведение журнала и превращение его в
неэффективное средство защиты.
Информационное обеспечение системы безопасности
информации
Информационное обеспечение комплекса средств автомати-
зации обработки информации является совокупностью реализо-
ванных решений по объектам, размещению и формам организа-
ции информации, циркулирующей в информационной системе
и в комплексе средств автоматизации обработки информации
при их функционировании. Оно включает в себя упорядоченные
и систематизированные массивы информации и данных, унифи-
цированные документы, необходимые классификаторы, норма-
Глава 5. Средства управления обеспечения безопасности информации... 201
тивно-справочную информацию и т. д. Система автоматизиро-
ванного управления имеет дело не с самим объектом, а с инфор-
мацией о нем. Поэтому основной функцией информационного
обеспечения является создание и ведение динамической инфор-
мационной модели объекта защиты, которая в каждый момент
времени содержит данные, соответствующие фактическим зна-
чениям параметров с минимально допустимой задержкой во вре-
мени. Система защиты информации комплекса средств автома-
тизации обработки информации является его составной частью
и на нее также распространяются принципы построения инфор-
мационного обеспечения.
Одним из условий эффективного функционирования ком-
плекса средств автоматизации обработки информации любого
типа является рациональная организация общения пользовате-
ля с системой. В качестве средства общения используются ин-
формационные языки, представляющие собой совокупность
словаря, правил записи и передачи в компьютер сообщений об
объектах, ситуациях и запросах, позволяющих использовать
формализованные процедуры их обработки в интересах их уни-
фикации и удобств в эксплуатации. В настоящее время в каче-
стве специальных языков безопасности за рубежом частично
используются язык безопасности Хартсона, язык описания
данных рабочей группы по базам данных системного комитета
Кодае ил и др.
Организационные меры по контролю и управлению
безопасностью информации
В системах с высокой степенью безопасности специалисты,
обслуживающие комплекс средств автоматизации информацион-
ной системы в процессе эксплуатации, делятся на три категории:
•	пользователи, т. е. представители организации-владельца
информационной системы, выполняющие оперативные за-
дачи при работе с информацией;
•	технический персонал, поддерживающий нормальное
функционирование информационной системы;
•	должностные лица службы обеспечения безопасности ин-
формации, подчиненные руководству организации-владель-
ца информационной системы.
202 Раздел IV. Построение системы обеспечения безопасности информации...
Если комплекс средств автоматизации обработки информа-
ции, автоматизированная система управления, информационная
есть или сама информационная система в целом используются
для обслуживания населения, то появляется другой тип пользо-
вателей и значительно повышается риск несанкционированного
доступа к информации (например, в банковских автоматизиро-
ванных системах управления).
Для обеспечения безопасности информации разграничение
доступа к ней осуществляется как по вертикали, так и по гори-
зонтали структуры организации-владельца информационной
системы в целом, комплекса средств автоматизации обработки
информации, автоматизированной системы управления или
сети, включая категории специалистов и пользователей.
Особая категория — специалисты и должностные лица службы
безопасности информации, которая, владея средствами управления
защитой, может иметь доступ к охраняемой информации. Однако
и здесь существуют возможности разграничения и ограничения
доступа, которые необходимо по возможности реализовать.
Принятая система распределения обязанностей между от-
дельными служащими может в значительной мере способство-
вать повышению уровня безопасности информации со стороны
персонала.
Рекомендуются следующие принципы организации работ.
Минимизация сведений, доступных персоналу. Каждый служа-
щий должен знать только ту информацию, которая необходима
ему для успешного выполнения своих обязанностей.
Минимизация связей персонала. Организация технологиче-
ского процесса сбора и обработки информации и планирование
помещений должны по мере возможности исключать или сво-
дить к минимуму контакты персонала в процессе выполнения
работ. Системные программисты и инженеры должны допус-
каться, когда в этом есть необходимость, в зал обработки ин-
формации и никогда не должны заходить в зону участка подго-
товки информации и данных и т. д.
Разделение полномочий (привилегий). В системах с высокими
требованиями безопасности некоторая ответственная процедура
выполняется после подтверждения се необходимости двумя со-
трудниками. Например, изменение полномочий пользователя
осуществляется только в том случае, когда руководитель и со-
трудник системы безопасности информации одновременно по-
сылают в систему свои пароли со своих терминалов.
Глава 5. Средства управления обеспечения безопасности информации... 203
Минимизация информации и данных, доступных персоналу.
Информация и данные, которые могут быть обозримы персона-
лом, ограничиваются. Так, отходы, в том числе и носители, быв-
шие в употреблении, должны систематически уничтожаться. Вы-
ходные данные, полученные на печатающих устройствах, долж-
ны быть взяты на учет и могут предоставляться только тем, кому
они предназначены. Количество копий документов должно
строго контролироваться. Обозначения и наименования доку-
ментов и носителей информации не должны раскрывать их со-
держание.
Дублирование контроля. Контроль важных операций никогда
нельзя поручать одному сотруднику. Присутствие ешс одного че-
ловека оказывает психологическое влияние на другого и делает
его более добросовестным в работе.
Факт передачи рабочей смены должен быть зафиксирован в
специальных журналах, с собственноручными подписями ответ-
ственных и сдающих смену, причем должно быть документально
зафиксировано не только то, что передается, но и в каком со-
стоянии.
В специальных хранилищах носителей информации должен
вестись учет, фиксироваться каждая выдача и возвращение носи-
телей. Носители с данными ограниченного пользования должны
выдаваться только допущенным к ним лицам под расписку. Фак-
ты выдачи этих данных на печатающие устройства и записи на
другие носители должны немедленно фиксироваться в журнале с
указанием времени, объема и назначения проведенных работ.
В конце рабочей смены должны быть уничтожены установ-
ленным порядком накопившиеся за смену рабочие отходы, о
чем должна быть произведена запись с подписями должностных
лиц в рабочем журнале.
Независимо от того, в круглосуточном режиме или с переры-
вами в работе организации-владельца информационной систе-
мы, в ответственных системах обработки данных осуществляется
непрерывный контроль доступа к информации, подлежащей за-
щите. Это означает, что по окончании рабочей смены, прекра-
щении функционирования информационной системы и/или
комплекса средств автоматизации обработки информации и не-
обходимости их выключения контроль доступа в помещения с
аппаратурой комплекса средств автоматизации обработки ин-
формации и носителями информации должен передаваться под
расписку другим ответственным за их охрану лицам до после-
204 Раздел IV. Построение системы обеспечения безопасности информации...
дующей передачи контроля следующей смене с регистрацией и
подписями должностных лиц в специальном журнале.
Специалисты системы безопасности информации должны
быть разносторонне подготовленными и разбираться не только в
вопросах защиты, но и в технических вопросах, включая прин-
ципы работы и эксплуатации информационной техники, в осо-
бенности средств хранения, ввода и вывода информации.
Глава б
ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ
ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В КОМПЛЕКСАХ СРЕДСТВ АВТОМАТИЗАЦИИ
ИНФОРМАЦИОННЫХ СИСТЕМ
В процессе подготовки системы к эксплуатации в целях обес-
печения безопасности информации в ней необходимо:
•	при выделении территории, зданий и помещений обозна-
чить контролируемую зону вокруг размещения комплекса
средств автоматизации обработки информации;
•	установить и оборудовать охранную сигнализацию по гра-
ницам контролируемой зоны;
•	создать контрольно-пропускную систему;
•	проверить схему размещения и места установки аппара-
туры комплекса средств автоматизации обработки инфор-
мации;
•	проверить состояние системы жизнеобеспечения людей,
условия функционирования аппаратуры и хранения доку-
ментации.
Параллельно с указанными мероприятиями провести:
•	перестройку структуры организации-потребителя в соот-
ветствии с потребностями внедряемой системы;
•	подобрать кадры для технического и оперативного обслу-
живания комплекса средств автоматизации обработки ин-
формации;
•	при необходимости подобрать специальные кадры для ра-
боты по защите информации в автоматизированной систе-
ме управления и создать централизованную систему без-
Глава 6. Организационные мероприятия по обеспечению безопасности... 205
опасности информации при руководстве организации-по-
требителе информационной системы;
•	провести обучение персонала;
•	организовать распределение функциональных обязанно-
стей и ответственности должностных лиц;
•	установить полномочия должностных лиц по доступу к тех-
ническим средствам и информации;
•	разработать должностные инструкции по выполнению
функциональных обязанностей технического, оперативно-
го состава должностных лиц, включая службу безопасности
информации.
После выполнения указанных мероприятий и приема аппа-
ратуры необходимо выполнить:
•	постановку на учет аппаратуры, носителей информации и
документации;
•	проверку отсутствия посторонней аппаратуры;
•	контроль размещения аппаратуры в соответствии с требо-
ваниями по разграничению доступа, побочного электро-
магнитного излучения и наводок информации;
•	проверку функционирования подсистемы контроля вскры-
тия технических средств;
•	проверку функционирования комплекса средств автомати-
зации обработки информации с помощью средств функ-
ционального контроля;
•	верификацию программного обеспечения;
•	проверку побочного излучения и наводок информации ап-
паратурой комплекса средств автоматизации обработки ин-
формации на границах контролируемой зоны;
•	проверку на отсутствие штатных и посторонних коммуни-
каций, выходящих за пределы контролируемой зоны;
•	проверку функционирования информационной системы,
комплекса средств автоматизации обработки информации,
включая систему защиты информации, автономно и в со-
ставе автоматизированной системы управления по специ-
альным программам испытаний;
•	тренировку оперативного состава должностных лиц, вклю-
чая службу безопасности информации, по специальным
программам.
По положительным результатам указанных проверок и тре-
нировок можно приступать к загрузке штатных прикладных
программ и действительной информации, проверке готовности
206 Раздел IV. Построение системы обеспечения безопасности информации...
остальных комплексов средств автоматизации обработки инфор-
мации автоматизированной система управления, после этого на-
чинается непосредственная эксплуатация системы.
В процессе эксплуатации системы служба безопасности ин-
формации осуществляет централизованный контроль доступа к
информации с помощью терминала и организационными сред-
ствами; выполняются функции, перечисленные выше.
В процессе эксплуатации может возникнуть необходимость в
доработках комплекса средств автоматизации обработки инфор-
мации, которые должны проводиться под контролем службы
безопасности. Контроль при этом заключается в проверке пол-
номочий лиц, осуществляющих доработку.
Кроме того, в процессе эксплуатации системы рекомендует-
ся проводить:
•	периодические проверки полномочий лиц, работающих на
комплексе средств автоматизации обработки информации;
•	инспектирование правильности и полноты выполнения
персоналом мер по обеспечению сохранности необходимых
дубликатов файлов, библиотеки программ, оборудования
комплекса средств автоматизации обработки информации;
•	практическую проверку функционирования отдельных мер
защиты;
•	контроль недозволенных изменений программ и оборудо-
вания;
•	контроль всех процедур с библиотеками файлов на носите-
лях и т. д.;
•	стимулирование персонала в вопросах обеспечения за-
щиты;
•	разработку и обеспечение всех противопожарных меро-
приятий и обучение персонала действиям по тревоге;
•	консультирование всех сотрудников, работающих с ком-
плексом средств автоматизации обработки информации, по
вопросам обеспечения защиты информации.
Одна из обязанностей службы безопасности — организация
и проведение обучения персонала методам обеспечения защиты
информации. Обучение необходимо для всех сотрудников, начи-
ная с момента их поступления на работу, включая руководящий
состав организации-потребителя информационной системы.
Все служащие должны знать, что данные и файлы, с кото-
рыми они работают, могут быть в высшей степени конфиденци-
альны. Программы и документы с информацией, подлежащей
Глава 6. Организационные мероприятия по обеспечению безопасности... 207
защите, не следует брать для работы на дом. В детальной степе-
ни должны быть определены и идентифицированы все функции
и ограничения при выполнении каждой работы. Это связано с
необходимостью минимизировать сведения, которыми обладает
каждый сотрудник, сохранив при этом их эффективное взаимо-
действие.
По окончании эксплуатации комплекса средств автоматиза-
ции обработки информации (когда-то наступает и такое событие,
связанное с заменой информационной системы на более совре-
менную) необходимо провести ревизию остатков хранимой ин-
формации в комплексе средств автоматизации обработки ин-
формации, ценную информацию с обеспечением режима огра-
ниченного доступа переписать на более современные носители,
а остальную — уничтожить.
Контрольные вопросы
1.	Какие основные средства и какую структуру имеет система обеспечения
безопасности информации от несанкционированного доступа в комплексе
средств автоматизации обработки информации?
2.	Какова основная задача системы опознания и разграничения доступа?
3.	По каким признакам производится деление информации и функций ее обра-
ботки?
4.	Каким образом производится разграничение полномочий пользователей?
5.	Какова особенность выбора паролей (кодов паролей)?
6.	Какие требования учитываются при проектировании кодов паролей?
7.	Какие основные функции должно поддерживать специальное программное
обеспечение, предназначенное для управления безопасностью информации?
8.	Какие требования предъявляются к рабочему месту службы безопасности ин-
формации?
9.	Каким образом производится регистрация доступа к информации в комплек-
се средств автоматизации обработки информации и что именно должно под-
вергаться регистрации?
10.	Каковы организационные мероприятия по контролю и управлению безопас-
ностью информации?
Раздел V
БЕЗОПАСНОСТЬ ИНФОРМАЦИИ
В ИНФОРМАЦИОННЫХ СЕТЯХ
И АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
УПРАВЛЕНИЯ
Глава 1
АНАЛИЗ ОБЪЕКТОВ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ И ПОСТАНОВКА ЗАДАЧИ
В качестве объекта защиты информации выбираем автомати-
зированную систему управления (см. рис. 6, гл. 1, разд. 3) как
более универсальную систему. В нее входят практически все
виды автоматизированных информационных систем по класси-
фикации (см. рис. 1, гл. 2, разд. 1), согласно которой автоматизи-
рованная система управления может включать различные виды
автоматизированных систем, в том числе информационные и
вычислительные системы и сети.
Большая автоматизированная система управления, как пра-
вило, состоит из нескольких территориально удаленных инфор-
мационных систем (комплексов средств автоматизации, ком-
плексов аппаратно-программных средств), связанных между со-
бой информационной сетью, которая, в свою очередь, состоит
из нескольких узлов коммутации, связанных между собой и с
вычислительными системами каналами связи. Узел коммута-
ции — это совокупность средств коммуникации и передачи дан-
ных, который по составу технических средств можно рассматри-
вать и как информационную систему, являющуюся элементом
сети. Такой подход с позиций зашиты информации позволяет
Глава 1. Анализ объектов обеспечения безопасности информации...
209
выделить некоторый обобщенный элемент автоматизированной
системы, на базе которого, по существу, она строится, — ком-
плекс средств автоматизации обработки информации.
Анализ объекта защиты будем вести с позиций, изложенных
в разд. 3.
Предметом защиты в этом случае может служить следующая
информация:
•	структура, состав, назначение и принципы построения ав-
томатизированной системы управления;
•	структура, состав, назначение и принципы построения сети
обмена информацией и данными в автоматизированной
системе управления;
•	состояние направлений связи в сети передачи информации
и данных;
•	адресные таблицы автоматизированной системы управле-
ния и сети;
•	таблицы полномочий элементов автоматизированной сис-
темы управления и сети;
•	информация, циркулирующая в комплексе средств автома-
тизации обработки информации и каналах связи.
Согласно принципам построения данная информация (кро-
ме последней), если в сети заложен принцип обмена «каждый с
каждым» (одноранговые сети), размещается на каждом элементе
сети. Обмен информацией может происходить между процесса-
ми разных элементов сети, между их пользователями, между
пользователем и процессом разных элементов сети.
В автоматизированных системах управления каждый пользо-
ватель и процесс имеет свой уровень полномочий. Персонал
узла коммутации сети, через который транзитом проходит або-
нентская информация, не должен ее видеть и документировать,
а обработка данной информации должна исключать сс запись в
долговременную память.
Наличие на элементе автоматизированной системы управле-
ния, сети и каналах связи информации, различной по назначе-
нию и уровню защиты, предполагает соответствующие систем-
ные средства защиты, объединенные в систему защиты инфор-
мации от несанкционированного доступа в автоматизированной
системе управления.
Средства защиты информации так же, как и основные сред-
ства сс обработки в системе, реализуются на программном, аппа-
ратном и организационном уровнях. При этом они выполняют
210
Раздел V. Безопасность информации в информационных сетях и АСУ
свои функции в тесном взаимодействии с основными компонен-
тами комплексов средств автоматизации автоматизированной
системы управления и сети. Совокупность определенных средств
зашиты на уровнях комплексов средств автоматизации обработ-
ки информации, систем передачи информации и данных и авто-
матизированной системе управления образуют на каждом уровне
свою систему защиты информации. Причем, с одной стороны,
средства защиты являются общесистемными ресурсами, а с дру-
гой — в силу специфики решаемых задач, система зашиты для
каждого уровня может быть представлена в виде самостоятель-
ной структуры, которая нуждается в собственном управлении в
целях координации и контроля своих процессов по обеспечению
безопасности информации.
Согласно изложенной выше концепции защиты информации
для создания замкнутого контура (оболочки, периметра) защиты
необходимо объединить средства защиты в целостный меха-
низм — встроенную автоматизированную систему зашиты, обес-
печивающую централизованные подготовку, контроль и управ-
ление безопасностью информации в автоматизированной систе-
ме управления.
Анализ принципов построения автоматизированной системы
управления показал, что обработка и обмен информацией в ней
производится на четырех уровнях:
•	на уровне комплекса средств автоматизации обработки ин-
формации автоматизированной системы управления;
•	на уровне комплекса средств автоматизации системы пере-
дачи информации (сети передачи информации);
•	на уровне автоматизированной системы управления в це-
лом;
•	на уровне системы передачи информации в целом.
На каждом из уровней образуется своя автоматизирован-
ная система, выполняющая свои задачи, связанные с вво-
дом-выводом, хранением, обработкой и передачей определен-
ной информации, соответствующей функциональным обя-
занностям должностных лип и пользователей в структуре
автоматизированной системы управления и системы передачи
информации.
Аналогичным образом целесообразно распределить в авто-
матизированной системе управления функции обеспечения
безопасности информации, подлежащей защите от утечки, мо-
дификации и утраты, и создать в автоматизированной системе
Глава 1. Анализ объектов обеспечения безопасности информации...
211
управления на соответствующих уровнях встроенные системы
защиты информации. Эти системы должны удовлетворять опре-
деленным требованиям. Так, для защиты передаваемой инфор-
мации по тракту передачи данных от пользователя одного ком-
плекса средств автоматизации обработки информации к пользо-
вателю другого они должны содержать средства абонентского
шифрования.
Система защиты информации в трактах передачи информа-
ции должна включать средства абонентского шифрования, сред-
ства обеспечения цифровой подписи передаваемых сообщений,
систему генерации и распределения соответствующих ключей
шифрования, действительные значения которых вырабатывают-
ся и распределяются с помощью средств управления службой
безопасности (защиты) информации автоматизированной систе-
мы управления.
Безопасность информации в системе передачи должна содер-
жать средства линейного шифрования.
В каждой из перечисленных систем должна быть система
опознания, разграничения доступа и средства контроля и управ-
ления, с помощью которых в рамках данной системы можно вы-
полнять следующие функции:
•	составление перечня, ранжирование по важности и степе-
ни секретности и назначение сроков действия документов
и других данных, подлежащих защите от несанкциониро-
ванного доступа;
•	разграничение, распределение и контроль полномочий
должностных лиц-пользователей по отношению к инфор-
мации и функциям управления;
•	организацию и поддержку функционирования системы
безопасности информации в системе;
•	подготовку, выбор, распределение и периодическую заме-
ну ключей шифрования информации и кодов цифровой
подписи;
•	своевременное обнаружение, блокировку, сбор, регистра-
цию и документирование фактов несанкционированного
доступа;
•	своевременное установление места, времени и причины
несанкционированного доступа;
•	взаимодействие со службой функционального контроля и
администраторами системы;
•	взаимодействие со службами безопасности других систем;
212
Раздел V. Безопасность информации в информационных сетях и АСУ
•	взаимодействие со службой безопасности нижестоящих
объектов управления (комплексы средств автоматизации
обработки информации).
К числу наиболее важных функций, определяющих необходи-
мость создания системы защиты информации в автоматизирован-
ной системе, относятся: периодическая подготовка, распределе-
ние и периодическая замена ключей абонентского шифрования и
кодов подписи, действительные значения которых должны быть
доступны только должностным лицам этой службы и пользовате-
лям в соответствии с назначенными им полномочиями. Распреде-
ление ключей, помимо разграничения доступа к информации,
позволяет обеспечить выполнение требований по иерархии сис-
темных отношений между должностными лицами автоматизиро-
ванной системы управления и системы передачи информации.
Учитывая изложенное, на уровне комплекса средств автома-
тизации обработки информации должны быть предусмотрены,
кроме собственных средств, средства защиты, работающие в ин-
тересах выполнения перечисленных выше системных функций.
В конечном итоге в обобщенном виде каждый комплекс
средств автоматизации обработки информации должен содержать
следующие средства обеспечения безопасности информации:
•	систему защиты информации в данном комплексе средств
автоматизации обработки информации;
•	средства взаимодействия со средствами управления выше-
и нижестоящих комплексов средств автоматизации обра-
ботки информации;
•	средства абонентского шифрования информации;
•	средства обеспечения цифровой подписи сообщений;
•	средства линейного шифрования информации.
При этом функции средств взаимодействия определяются
положением комплекса средств автоматизации обработки ин-
формации в структуре автоматизированной системы управления
и системы передачи информации. Комплекс средств автоматиза-
ции обработки информации верхних звеньев управления должен
обладать соответствующими средствами управления безопасно-
стью информации в подчиненной ему структуре.
Отмстим, что в последнее время в результате совершенство-
вания средств шифрования появилась возможность отказа от
средств линейного шифрования и этому способствует концеп-
ция защиты информации в автоматизированной системе управ-
ления, предложенная в разд. 3.
Глава 2. Принципы построения системы безопасности информации... 213
При построении системы зашиты информации в автомати-
зированной системе управления необходимо определить следую-
щие исходные данные:
•	структуру, состав и назначение автоматизированной систе-
мы управления и ее элементов;
•	структуру, состав и принципы построения сети передачи
информации;
•	информационные процессы, подлежащие автоматизации;
•	задачи и функции управления, их распределение между ис-
полнителями;
•	схему информационных потоков и места сосредоточения
информации, подлежащей защите;
•	структуру, состав и размещение информационной базы ав-
томатизированной системы управления;
•	перечень и сроки сохранения сведений, подлежащих за-
щите;
•	состав и выполняемые функции должностных лиц-пользо-
вателей;
•	перечень, форму и количество входных, внутренних и вы-
ходных документов;
•	режим использования автоматизированной системы управ-
ления (открытый, закрытый и т. д.);
•	вероятностно-временные характеристики обработки сооб-
щений;
•	органы управления и их размещение в автоматизированной
системе управления;
•	органы управления сетью передачи информации и их раз-
мещение в автоматизированной системе управления.
Глава 2
ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СЕТЯХ
И АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ
На основе данных о структуре, составе автоматизированной
системы управления и системы передачи информации, а также
возможных каналов несанкционированного доступа и концепту-
альных основ, приведенных в гл. 1, разд. 3, структура системы
214
Раздел V. Безопасность информации в информационных сетях и АСУ
Рис. 1. Структура системы безопасности информации в автоматизированной
системе управления
безопасности информации в автоматизированной системе
управления будет иметь вид, представленный на рис. 1.
Из данной структуры следует, что система безопасности ин-
формации в автоматизированной системе управления (СБИ АСУ)
включает в себя:
•	систему безопасности информации элементов автоматизи-
рованной системы управления (СБИ ЭАСУ);
•	систему опознания и разграничения доступа к информации
автоматизированной системы управления (СОРДИ АСУ);
•	средства безопасности информации в трактах передачи ин-
формации (СБИ ТПИ);
•	средства управления безопасностью информации в автома-
тизированной системе управления (СУБИ АСУ);
•	систему безопасности информации в сети передачи инфор-
мации (СБИ СПИ);
•	систему управления безопасностью информации в сети пе-
редачи информации (СУБИ СПИ);
•	систему безопасности информации в каналах связи
(СБИ КС);
•	систему повышения достоверности информации (СПДИ);
Глава 2. Принципы построения системы безопасности информации... 215
•	систему безопасности информации элементов сети
(СБИ ЭС).
Система безопасности информации информационной систе-
мы — элемента автоматизированной системы управления, яв-
ляющегося абонентом системы передачи информации, в соответ-
ствии с его структурой и выполняемыми функциями по обработ-
ке информации, кроме автономных, должна содержать средства,
работающие в интересах безопасности автоматизированной сис-
темы управления в целом.
Данные средства предполагают организацию средств выдачи
на объект управления доступом в автоматизированную систему
управления информации о фактах несанкционированного досту
па на элементе автоматизированной системы управления, време-
ни, месте и характере события.
Кроме того, каждый элемент автоматизированной системы
управления в целях реализации поставленных задач в рамках ав-
томатизированной системы управления производит обмен ин-
формацией с другими элементами автоматизированной системы
управления или информационной сети на уровне пользователей,
терминалов, компьютеров, процессов, информационных систем
и т. д. Отношения между элементами автоматизированной сис-
темы управления определяются уровнем их полномочий на до-
ступ к информации. При обращении к адресату эти полномочия
должны ему предъявляться в виде пароля. Отсюда вытекает не-
обходимость их хранения у адресата для проверки подлинности
санкционированного обращения путем сравнения значений
предъявленного и хранимого паролей. В связи с тем, что полно-
мочия у разных запросов могут быть также различны, необходи-
мо вводить и хранить их признаки в комплексе средств автома-
тизации обработки информации — элементе автоматизирован-
ной системы управления. Указанные средства и составляют
систему опознания и разграничения доступа к информации авто-
матизированной системы управления.
Средствами защиты информации в трактах передачи информа-
ции можно назвать криптографическую защиту или шифрование
сообщений в тракте
«Пользователь 1 -> ЭАСУ -> СПИ -> ЭАСУ -> пользователь 2»
Данный метод защиты информации от источника до адреса-
та называют межконцевым, или абонентским шифрованием.
216
Раздел V. Безопасность информации в информационных сетях и АСУ
Средства управления безопасностью информации в автомати-
зированной системе управления обеспечивают:
-	контроль состава и структуры автоматизированной систе-
мы управления;
•	ввод и контроль полномочий объектов автоматизирован-
ной системы управления, процессов, терминалов, пользо-
вателей и т. д.;
•	обнаружение и блокировку несанкционированного доступа;
•	сбор, регистрацию и документирование информации о не-
санкционированном доступе с элементов автоматизирован-
ной системы управления;
•	подготовку, рассылку и смену ключей паролей для або-
нентского шифрования информации в трактах передачи
данных, а также установку периодичности и синхрониза-
ции их применения;
•	контроль функционирования системы защиты информа-
ции в автоматизированной системе управления;
•	проведение организационных мероприятий по защите ин-
формации в автоматизированной системе управления.
В достаточно сложных автоматизированных системах управ-
ления, в состав которых могут входить подсистемы со своей ар-
хитектурой, целесообразно иногда предусматривать отдельную
систему защиты информации с аналогичной структурой.
Система безопасности информации при передаче информа-
ции (СБИ СПД) объединяет средства безопасности информации
группы элементов автоматизированной системы управления, яв-
ляющихся одновременно элементами сети передачи информа-
ции, которые вместе с каналами связи представляют собой ту пе-
редающую среду, которая несет информацию автоматизирован-
ной системе управления.
Структура СБИ СПД аналогична структуре, приведенной
выше. В структуру СБИ СПД входят системы защиты информа-
ции элементов сети (СБИ ЭС). При этом в рассматриваемой мо-
дели сети (см. рис. 7, гл. 2, разд. 1) имеется несколько участков,
где можно легко опознать каналы связи. Такие каналы соединя-
ют информационные системы — элементы автоматизированной
системы управления с узлами связи системы передачи информа-
ции, а узлы связи — между собой.
Средства безопасности информации в каналах связи (СБИ КС)
называют канально-ориентированным, или линейным шифрова-
нием.
Глава 3. Эталонная модель открытых систем
217
В отличие от системы безопасности информации тракта пере-
дачи информации, защищающей конкретное сообщение из конца
в конец, средства безопасности информации каналов связи обес-
печивают безопасность всего потока информации, проходящей че-
рез канал связи. Чтобы предотвратить раскрытие содержания сооб-
щений, можно использовать оба подхода к шифрованию. Кроме
того, канальное шифрование обеспечивает и защиту от несанкцио-
нированного анализа потока сообщений. (Более полное представ-
ление о механизмах шифрования информации в информационных
сетях и автоматизированных системах управления можно полу-
чить, познакомившись с принципами передачи и протоколами
взаимодействия элементов сети, которые рассмотрены ниже.)
Средства повышения достоверности информации (СПДИ) обес-
печивают защиту последней от случайных воздействий в каналах
связи (задачи СПДИ рассмотрены выше).
Любая система управления нс может работать без информа-
ции о состоянии управляемого объекта и внешней среды, без на-
копления и передачи информации о принятых управляющих воз-
действиях. Определение оптимальных объемов, систематизация,
сортировка, упаковка и распределение потоков информации во
времени и пространстве — необходимое условие функциониро-
вания системы управления. Совокупность данных, языковых
средств описания данных, методов организации, хранения, нако-
пления и доступа к информационным массивам, обеспечиваю-
щая возможность рациональной обработки и выдачи всей ин-
формации, необходимой в процессе решения функциональных
задач по безопасности информации, представляет собой инфор-
мационное и лингвистическое обеспечение системы защиты инфор-
мации в информационных сетях и автоматизированных системах
управления. По причинам, изложенным выше, решение этой за-
дачи производится на этапе разработки конкретных автоматизи-
рованных систем управления.
Глава 3
ЭТАЛОННАЯ МОДЕЛЬ ОТКРЫТЫХ СИСТЕМ
Эталонная модель Международного стандарта на организа-
цию архитектуры информационных сетей является базовой при
организации взаимодействия открытых систем.
218
Раздел V. Безопасность информации в информационных сетях и АСУ
Под системой в данном случае понимают автономную сово-
купность информационных средств, осуществляющих телеобра-
ботку данных прикладных процессов пользователей. При этом
система считается открытой, если она выполняет стандартное
множество функций взаимодействия, принятое в информацион-
ных сетях, т. е. не в смысле доступа к информации.
Область взаимодействия открытых систем определяется по-
следовательно-параллельными группами функций или модулями
взаимодействия, реализуемыми программными или аппаратными
средствами. Модули, образующие область взаимодействия при-
кладных процессов и физических средств соединения, делятся на
семь иерархических уровней (рис. 1). Как видно из табл. 1, каж-
дый из них выполняет определенную функциональную задачу.
Коммуникационная сеть
(физические средства соединения)
Информационная сеть Транспортная сеть Абонентская сеть	1	"ZI л ч Х£1 л__ к ₽ —•	к V У (	Физический	/ \ X	7i_: X — XI •- — 4 X	25 )	1	К со С со	анальное
	2			Канальный				2		
	3 4			Сетевой Транспортный				3 4		единение
	5			Сеансовый				5		Лодули сансовос единение
	6			Представительный				6		
	7			Прикладной				7		
С Прикладные' процессы				г*- Прикладные ч	процессы			'Прикладные процессы^			
Рис. 1. Эталонная .модель открытых систем:
Х21 — интерфейс между оконечным оборудованием данных и аппаратурой пере-
дачи данных; HDLC — протокол канального уровня, обеспечивающий передачу
последовательности пакетов через физический канал; Х25 — протокол, опреде-
ляющий процедуры сетевого уровня управления передачей пакетов в интересах
организации виртуальных каналов между абонентами и передачи по каналам по-
следовательностей пакетов; IP — межсетевой протокол
Три верхних уровня (5, 6 и 7) вместе с прикладными процес-
сами образуют область обработки данных, в которой выполня-
ются информационные процессы системы.
Процессы этой области используют сервис по транспорти-
ровке данных уровня 4, который осуществляет процедуры пере-
Глава 3. Эталонная модель открытых систем
219
Таблица /. Уровни взаимодействия открытых систем
Уровень	Наименование	Основная задача	Выполняемые функции
1	Физический	Сопряжение физи- ческого канала	Установление, поддержка и разъедине- ние физического канала
			
2	Канальный	Управление переда- чей по информаци- онному каналу	Управление передачей кадров, контроль данных, обеспечение прозрачности и проверка состояния информационного канала. Обрамление массивов служебны- ми символами управления каналом
3	Сетевой	Маршрутизация пакетов	Управление коммуникационными ресур- сами, маршрутизация пакетов, ойрамле- ние служебными символами управления сетью
4	Транспортный	Управление логиче- ским каналом	Управление информационными потока- ми, организация логических каналов ме- жду процессами, обрамление служебны- ми символами запроса и ответа
5	Сеансовый	Обеспечение сеан- сов связи	Организация поддержки и окончания се- ансов связи, интерфейс с транспортным уровнем
6	Представительный	Параметрическое отображение данных	Генерация и интерпретация команд взаи- модействия процессов. Представление данных программе пользователей
дачи информации от системы-отправителя к системе-адресату:
прикладной реализует решение информационно-информацион-
ных задач прикладных процессов пользователей; представитель-
ный инrcpiipeiирусг информационный обмен между прикладны-
ми процессами в форматах данных программ пользователей; се-
ансовый реализует диалог или монолог между прикладными
процессами в режиме организуемых сеансов связи; транспорт-
ный осуществляет управление передачей информационных пото-
ков между сеансовыми объектами пользователей.
Три нижних уровня (1, 2, 3) образуют область передачи дан-
ных между множеством взаимодействующих систем, выполняют
коммуникационные процессы по транспортировке данных:
•	сетевой обеспечивает машрутизацию и мультиплексирова-
ние потоков данных в транспортной среде пользователей;
220
Раздел V. Безопасность информации в информационных сетях и АСУ
•	канальный управляет передачей данных через устанавливае-
мые физические средства соединения;
-	физический сопрягает физические каналы передачи данных
в синхронном или асинхронном режиме.
Область взаимодействия открытых систем характеризуется
семиуровневой иерархией протоколов, обеспечивающих взаимо-
действие абонентских систем сети, путем передачи данных меж-
ду ними. Каждый из блоков данных состоит из заголовка, ин-
формационного поля данных и концевика.
Заголовок содержит информацию, связанную с управлением
передачей информационных потоков. Данные центральной час-
ти блока представляют собой информационное поле, передавае-
мое между прикладными процессами взаимодействующих або-
нентских систем. Основная задача концевика — проверка ин-
формационного поля путем формирования проверочного блока
данных.
Глава 4
МЕХАНИЗМЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В ТРАКТАХ ПЕРЕДАЧИ ДАННЫХ
И В КАНАЛАХ СВЯЗИ
Напомним, каким преднамеренным угрозам могут подвер-
гаться данные без средств защиты при их передаче:
•	раскрытие содержания информации;
•	модификация содержания информации;
•	анализ потока информации;
•	изменение потока сообщений;
•	прерывание передачи сообщений;
•	инициирование ложного соединения.
Остановимся на принципиальных моментах применения ме-
тодов защиты информации от указанных угроз.
Канальное шифрование можно выполнять независимо в каж-
дом канале связи. Обычно для каждого канала применяется свой
ключ, чтобы раскрытие одного канала не приводило к раскры-
тию данных, передаваемых по другим каналам. При канальном
шифровании, как правило, применяют поточные шифры, и ме-
жду узлами связи поддерживается сплошной поток битов шиф-
Глава 4. Механизмы безопасности информации в трактах...
221
рованного текста. Так как функции коммутации (маршрутиза-
ции) в сетях выполняются только в узлах, то в каналах можно
зашифровать как заголовок, так и информационную часть тек-
ста. Из-за того, что большинство каналов в сетях являются муль-
типлексными, в канале нарушителю сложно навязать разграни-
чение соединений. Данные шифруются только в каналах, а не в
узлах, соединенных каналами, в связи с чем эти узлы должны
быть защищенными.
Для зашиты от анализа потока сообщений с целью определе-
ния частоты и продолжительности соединений при канальном
шифровании может быть установлен непрерывный поток битов
шифрованного текста. Если каналы связи используются несколь-
кими соединениями, то канальное шифрование также обеспечи-
вает сокрытие источника и адресата, так как в канале шифруется
и маршрутная информация сообщения. При этом подходе нс
снижается эффективная пропускная способность сети, так как нс
требуется передача никакой дополнительной информации, кроме
генерации непрерывного зашифрованного потока в каждом узле.
При межконцевом шифровании каждое сообщение, за исклю-
чением некоторых данных заголовка, которые должны обраба-
тываться в промежуточных узлах маршрута, зашифровывается в
его источнике и нс дешифруется, пока нс достигнет места назна-
чения. Для каждого соединения может быть использован уни-
кальный ключ или применено более крупное дробление при рас-
пределении ключей (например, отдельный ключ между каждой
парой связанных между собой главных информационных машин
или один ключ внутри всей защищенной подсети). Вторая схема
предоставляет межконцевую защиту, но не обеспечивает разгра-
ничение соединений, которое дает первый подход. По мере рас-
ширения области использования единственного ключа (ключе-
вой зоны) растет и количество связанной с ним информации, а
вместе с ним и вероятность раскрытия ключа, однако задача
распределения ключей становится легче.
Согласно принципу наименьшей осведомленности, сообще-
ние следует зашифровать таким образом, чтобы каждый модуль,
с помощью которого обрабатывается сообщение, содержал ин-
формацию, необходимую для выполнения только конкретного
задания.
В случае применения межконцевого шифрования в целях за-
щиты от анализа потока и искусственно выбранных значений
частоты и длины, которые могут поддерживаться отдельно для
222
Раздел V. Безопасность информации в информационных сетях и АСУ
каждого соединения, можно генерировать «пустые» сообщения
различных длин, а настоящие сообщения дополнять пустыми
символами. Для определения получателем посторонних расши-
рений и «пустых» сообщений, подлежащих удалению, можно ис-
пользовать зашифрованное поле длины. Для поддержания ис-
кусственных значений и дпины сообщений особенно пригоден
межконцсвой метод шифрования при уровневой организации
протоколов сети обмена данными. Для сокрытия настоящей
длины и частоты сообщений можно использовать информацию
о последовательных номерах и длине сообщения, содержащуюся
в протоколе верхнего уровня, так как ложные сообщения можно
сбросить, а расширение удалить перед тем. как сообщение будет
передано для обработки на следующий протокольный уровень.
Изменение потока сообщений обнаруживают методы, опре-
деляющие подлинность, целостность и упорядоченность сооб-
щений. В условиях рассматриваемой модели подлинность озна-
чает, что источник сообщения может быть определен достовер-
но, целостность — что сообщение на пути следования не было
изменено, а упорядоченность — что сообщение при передаче от
источника к адресату правильно помещено в общий поток ин-
формации.
Хотя эти задачи решаются при повышении надежности реа-
лизацией протоколов передачи данных, этого недостаточно, так
как причиной их невыполнения могут быть и преднамеренные
воздействия нарушителя. Требования к подлинности и упорядо-
чению сообщений взаимосвязаны с защитой шифрования соеди-
нения, что побуждает применять индивидуальные ключи шиф-
рования для каждого соединения. Данные протокола, которые
создают основу для определения подлинности и упорядоченно-
сти, должны быть вставлены в пользовательские данные так,
чтобы предотвратить необнаруженные изменения любой части
полученного сообщения.
Упорядочение защищенных сообщений нс означает, что со-
общения приходят к адресату по порядку или даже что они все-
гда передаются по порядку прикладной программы адресата.
В некоторых областях применения (например, при передаче
речи или изображения в реальном масштабе времени) сообще-
ния, которые поступают раньше их отдельных логических пред-
шественников, могут быть доставлены немедленно, в то время
как тс, что прибыли после некоторых своих логических преем-
ников. могут быть сброшены. В случае диалогового режима от-
Глава 4. Механизмы безопасности информации в трактах...
223
дельные высокоприоритетные сообщения могут поступать на об-
служивающий компьютер (сервер) в порядке, отличном от по-
рядка обычного потока сообщений, а процесс пользователя
может требовать немедленного получения информации об их
прибытии. В других случаях (например, при определенных видах
обработки транзакций) программы готовы к приему сообщений
независимо от их порядка передачи, а прикладная система обна-
руживает дублирование сообщений. Однако в общем случае на
прикладном уровне сообщения должны поступать таким обра-
зом, чтобы сохранялись как порядок передачи, так и непрерыв-
ность (т. е. чтобы не было потерь сообщений).
Для выполнения этих требований сообщения могут быть обо-
значены последовательными номерами, указывающими порядок
передачи. Последовательная нумерация сообщений позволяет
выдавать их процессу по порядку, нс зависящему от порядка
прибытия, обнаруживать потери сообщений, а также обнаружи-
вать и устранять дубликаты сообщений. Если время от времени
сообщения выдаются процессу не по порядку, то должно быть
предусмотрено и независимое дешифрование каждого из них.
При этом следует не забывать о криптографической синхронно-
сти сообщений. Присвоение циклических номеров, уже присво-
енных сообщениям, не должно повторяться на протяжении вре-
мени применения одного и того же ключа шифрования. В про-
тивном случае нарушитель может вставить в соединение копии
старых сообщений, которые невозможно будет обнаружить.
В каждое сообщение для определения его целостности следу-
ет включать поля обнаружения ошибок. В условиях применения
защиты сообщений объединение шифрования и поля обнаруже-
ния ошибок позволят также прочно связать данные прикладного
уровня и протокольную информацию, необходимую для аутен-
тификации и упорядочения сообщений. При этом необходимо
обеспечить высокую гарантию того, что нарушитель не сможет
исказить ни данные, ни заголовки данных так, чтобы это оста-
лось необнаруженным. Для удовлетворения этих требований ис-
пользуются два основных подхода, каждый из которых зависит
от свойств размножения ошибок алгоритмов дешифрования.
Первый подход состоит в применении к протокольной ин-
формации и данным обычного кода с обнаружением ошибок
(например, циклического избыточного кода), шифруемого вме-
сте с сообщением. Этот способ применим ко всем режимам
шифрования, приведенным выше. Если применяется «-битный
224
Раздел V. Безопасность информации в информационных сетях и АСУ
код с обнаружением ошибок, то вероятность необнаруженного
изменения сообщения нарушителем можно снизить до 1/2". На-
пример, в случае использования 16-битного циклического избы-
точного кода вероятность необнаруженного изменения прибли-
зительно равна 1,5 ♦ ЮЛ
Второй подход к обнаружению воздействий на целостность
сообщений больше основан на свойствах размножения ошибок
методов шифрования. Вместо кода для обнаружения ошибок,
который является функцией текста сообщения, используется
поле обнаружения ошибки, содержащее значение, которое мо-
жет предсказать получатель сообщения. Достоинством такого
подхода является отсутствие необходимости вычисления цикли-
ческих избыточных кодов, а также возможность использования в
качестве предсказуемого поля такое, которое уже необходимо
как часть протокола (например, поля циклического номера). Это
значение должно быть размещено внутри сообщения в точке, где
любое изменение зашифрованного сообщения будет с большой
вероятностью приводить к изменению этого значения. Этот спо-
соб обеспечивает проверку не только целостности, но и упоря-
доченности, если поле изменяется последовательно во времени
(например, циклические номера). Однако данный подход непри-
годен в шифрах с обратной связью и со сцеплением блоков из-за
ограничения размножения ошибок в этих шифрах.
Другой цели защиты — обнаружения прерывания передачи
сообщений — можно достичь, используя протокол «запрос—от-
вет». Такой протокол, надстроенный над протоколом аутентифи-
кации и упорядочения сообщений, включает в себя обмен парой
сообщений, устанавливающих временную целостность и статус
соединения. На каждом конце соединения используется таймер
для периодического запуска передачи сообщения запроса, на ко-
торое должен поступить ответ с другого соединения. Каждое из
этих сообщений содержит информацию своего передатчика, ко-
торая позволяет обнаружить потерю сообщений в соединении.
Для обнаружения инициирования ложного соединения раз-
работаны контрмеры, обеспечивающие надежную основу для
проверки подлинности ответственного за соединение на каждом
конце и для проверки временной целостности соединения. От-
ветственным за соединение, в зависимости от сферы действия
применяемых мер защиты, может быть процесс, пользователь,
терминал, компьютер, сеть. Проверка временной целостности
соединения защищает от воздействий, осуществляемых с помо-
Глава 5. Рекомендации по безопасности информации...
225
щью воспроизведения нарушителем записи предыдущего «за-
конного» соединения.
Пример механизма защиты можно легко получить из меха-
низма обнаружения прерывания передачи сообщения, приведен-
ного выше. На конце соединения генерируется уникальный вы-
зов (например, двоичное значение времени и даты), и он переда-
стся на другой конец. Затем вызовы возвращаются отправителям
(возможно, модифицированные некоторым предопределенным
образом) для проверки того, что эта процедура происходит в те-
кущий момент. Получение соответствующих ответов на каждом
конце завершает эту процедуру.
Проверка подлинности ответственных за соединение на каж-
дом конце во время процедуры инициирования соединения слу-
жит основанием для вывода о подлинности последующего потока
сообщений. Поддержание этой взаимосвязи между ответствен-
ными за соединение, определенными во время инициирования
соединения, и самим этим соединением включает в себя методы
соответствующего распределения ключей шифрования и некото-
рые другие меры (например, физическая защита терминала при
его использовании) или механизмы зашиты, которые «привязы-
вают» соединение к процессу компьютера.
Глава 5
РЕКОМЕНДАЦИИ ПО БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В ТЕЛЕКОММУНИКАЦИОННЫХ
КАНАЛАХ СВЯЗИ
Рассмотренная в разделе 3 концепция безопасности инфор-
мации в каналах связи согласуется с рекомендациями Междуна-
родной организации по стандартизации (МОС).
В соответствии с рекомендациями МОС в дополнение к мо-
дели взаимосвязи открытых систем (ВОС) предложен проект
создания сервисных служб защиты, функции которых реализу-
ются с помощью специальных процедур.
При этом определены восемь процедур зашиты, совместное
использование которых позволяет организовать 14 служб. Взаи-
мосвязь служб (функций) и процедур (средств) представлена в
табл. 1. При этом цифрами в таблице обозначены номера логи-
226
Раздел V. Безопасность информации в информационных сетях и АСУ
Таблица 1. Средства защиты, рекомендуемые МОС в модели взаимосвязи
открытых систем
Функция защиты	Номер функции	Средство защиты	Логические уровни						
			1	2	3	4	5	6	7
Аутентификация: одноуровневых объектов	1	Шифрование, цифровая подпись	—	—	+	+	—	—	—
		Обеспечение аутентификации	—	—	+	+	—	—	—
источника данных	2	Шифрование	—	—	+	+	—	—	—
		Цифрован подпись	—	—	+	+	—	—	+
Контроль доступа	3	Управление доступом	—	—	+	4-	—	—	+
Засекречивание: соединения	4	Шифрование	+	+	+	+	—	—	4е
		Управление маршрутом	—	—	+	—	—	—	—
в режиме без соеди- нения	5	Шифрование	—	+	+	+	—	+	+
		Управление маршрутом	—	—	+	—	—	—	—
выборочных полей	6	Шифрование	—	—	—	—	—	4-	+
потока данных	7	Шифрование	+	—	—	—	—	+	—
		Заполнение потока	—	—	+	—	—	—	4-
		Управление маршрутом	—	—	+	—	—	—	—
Обеспечение целостности соединения с восстанов- ле нием	8	Шифрование, обеспечение целостности данных	—	—	—	+	—	—	+
соединения без восста- новления	9	Шифрование, обеспечение целостности данных	—	—	+	+	—	—	+
выборочных полей данных	10	Шифрование, обеспечение целостности данных	—	—	—	—	—	—	+
без установления соединения данных	11	Шифрование	—	—	+	+	—	—	+
		Цифровая подпись	—	—	—	+	—	—	—
		Обеспечение целостности данных	—	—	+	+	—	—	+
Глава 5. Рекомендации по безопасности информации...
227
Окончание табл. 1
Функция защиты	Номер функции	Средство защиты	Логические уровни						
			1	2	3	4	5	6	7
выборочных полей без со единения	12	Шифрование				—			
		Цифровая подпись	—	—	—	+	—	—	+
		Обеспечение целостности данных							+
Информирование: об отправке	13	Цифровая подпись, обеспе- чение целостности данных, подтверждение характери- стик данных				—			4-
о доставке	14	То же							+
ческих уровней эталонной модели ВОС, на которых реализуются
данные процедуры с целью образования служб обеспечения
безопасности.
Однако, в связи с разночтением в специальной литературе
предварительно договоримся об эквивалентах-терминах в виде
«службы — функции» и «процедуры — средства».
Шифрование данных предназначено для закрытия всех дан-
ных абонента или некоторых полей сообщения, может иметь два
уровня:
•	шифрование в канале связи (линейное);
•	мсжконцсвос (абонентское) шифрование.
В первом случае, чтобы предотвратить возможности анализа
трафика, шифруется вся информация, передаваемая в канал свя-
зи, включая все сетевые заголовки. Абонентское шифрование
предназначено для предотвращения раскрытия только данных
абонента.
Цифровая подпись передаваемых сообщений служит для под-
тверждения правильности содержания сообщения. Она удосто-
веряет факт его отправления именно тем абонентом, который
указан в заголовке в качестве источника данных. Цифровая под-
пись является функцией от содержания секретного сообщения,
известного только абоненту-источнику, и общей информации,
известной всем абонентам сети.
228
Раздел V. Безопасность информации в информационных сетях и АСУ
Управление доступом к ресурсам сети выполняется на осно-
вании множества правил и формальных моделей, использующих
в качестве аргумента доступа информацию о ресурсах (класси-
фикацию) и идентификаторы абонентов. Служебная информа-
ция для управления доступом (пароли абонентов, списки разре-
шенных операций, персональные идентификаторы, временные
ограничители и т. д.) содержится в локальных базах данных
службы обеспечения безопасности сети.
Обеспечение целостности данных предполагает введение в ка-
ждое сообщение некоторой дополнительной информации, кото-
рая является функцией от содержания сообщения. В рекоменда-
циях МОС рассматриваются методы обеспечения целостности
двух типов: первые обеспечивают целостность единственного
блока данных, вторые — целостность потока блоков данных или
отдельных полей этих блоков. При этом обеспечение целостно-
сти потока блоков данных нс имеет смысла без обеспечения це-
лостности отдельных блоков. Эти методы применяются в двух
режимах — при передаче данных по виртуальному соединению и
при использовании дейтаграммной передачи. В первом случае
обнаруживаются неупорядоченность, потери, повторы, вставки
данных с помощью специальной нумерации блоков или введе-
нием меток времени. В дейтаграммном режиме метки времени
могут обеспечить только ограниченную защиту целостности по-
следовательности блоков данных и предотвратить переадреса-
цию отдельных блоков.
Процедуры аутентификации предназначены для зашиты при
передаче в сети паролей, аутентификаторов логических объектов
и т. д. Для этого используются криптографические методы и
протоколы, основанные, например, на процедуре «троекратного
рукопожатия». Целью таких протоколов является защита от уста-
новления соединения с логическим объектом, образованным на-
рушителем или действующим под его управлением с целью ими-
тации работы подлинного объекта.
Процедура заполнения потока служит для предотвращения
возможности анализа трафика. Эффективность применения этой
процедуры повышается, если одновременно с ней предусмотре-
но линейное шифрование всего потока данных, т. с. потоки ин-
формации и заполнения делаются неразличимыми.
Управление маршрутом предназначено для организации пе-
редачи данных только по маршрутам, образованным с помощью
надежных и безопасных технических устройств и систем. При
Глава 6. Система безопасности информации в трактах передачи данных... 229
этом может быть организован контроль со стороны получателя,
который в случае возникновения подозрения о компрометации
используемой системы защиты может потребовать изменения
маршрута следования данных.
Процедура подтверждения характеристик данных предполага-
ет наличие арбитра, который является доверенным лицом взаи-
модействующих абонентов и может подтвердить целостность,
время передачи сообщения, а также предотвратить возможность
отказа источника от выдачи какого-либо сообщения, а потреби-
теля — от его приема.
Данные рекомендации, безусловно, требуют более детальной
проработки на предмет их реализации в существующих протоко-
лах. С позиций рассматриваемой в данном учебном пособии
концепции зашиты (разд. 3) отметим некоторую избыточность
защитных функций, например аутентификации, которая являет-
ся неотъемлемой частью функции контроля доступа и, следова-
тельно, автоматически в нее входит Для сокращения количества
средств защиты целесообразно взять за основу средства защиты
на 7-м уровне и дополнить их средствами на остальных уровнях,
но только теми, которые выполнят защитные функции, не охва-
ченные средствами защиты на 7-м уровне. При этом критерием
выбора средств должно служить выполнение условий «а»—«з»,
приведенных в разд. 3.
Глава б
СИСТЕМА БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ТРАКТАХ
ПЕРЕДАЧИ ДАННЫХ АВТОМАТИЗИРОВАННОЙ
СИСТЕМЫ УПРАВЛЕНИЯ
Основные задачи и принципы построения
Под трактом передачи данных в автоматизированной систе-
ме управления понимается тракт, образуемый при передаче ин-
формации от пользователя к пользователю. Участниками этого
процесса могут быть пользователи как одного комплекса средств
автоматизации обработки информации, так и разных комплек-
сов средств автоматизации, входящих в состав автоматизирован-
ной системы управления.
230 Раздел V. Безопасность информации в информационных сетях и АСУ
Примером тракта служит цепочка
«пользователь А -> рабочая станция -> сервер связи ->
-> аппаратура передачи данных КСА1 канал связи -»
—> узел коммутации сообщении —» канал связи -»
-> аппаратура передачи данных КСА2 сервер связи ->
-> рабочая станция пользователь В»
При этом количество промежуточных элементов, составляю-
щих цепочку, имеет переменный характер (может быть увеличе-
но) и зависит от маршрута сообщения, определяемого сетью пе-
редачи данных. Защита информации в этом тракте с учетом вы-
шеизложенного обеспечивается набором средств:
•	цепочкой «рабочая станция сервер связи -> аппаратура пе-
редачи данных», закрывается системой защиты информации
комплекса средств автоматизации обработки информации;
•	каналом связи — средствами линейного шифрования;
•	узлом коммутации сообщений — собственной системой за-
щиты, аналогичной защите в комплексе средств автомати-
зации обработки информации. Обработка сообщения в
узле производится в открытом виде.
В итоге передаваемая информация проходит довольно слож-
ный путь, при этом одновременно происходит передача множе-
ства других сообщений. Пункты их передачи и обработки разне-
сены друг от друга на далекие расстояния. Пользователи отно-
сятся к разным организациям с различными полномочиями.
Передача документов по указанным трактам потребовала опре-
деленных юридических гарантий. Возросшие при этом потенци-
альные угрозы безопасности передаваемой информации предо-
пределили появление специальных средств защиты, в функции
которых вошли:
•	шифрование с гарантированной стойкостью информации
ее отправителем и дешифрование получателем;
•	обеспечение соответствующих полномочий пользователей
путем распределения ключей шифрования:
•	обеспечение юридической значимости документам, переда-
ваемым по сети передачи данных.
Первые две функции выполняют средства абонентского шиф-
рования информации, третью — средства цифровой подписи.
Глава 6. Система безопасности информации в трактах передачи данных... 231
Абонентское шифрование
При абонентском шифровании схема подготовки, передачи
и приема информации в классическом варианте (применение
одного общего секретного ключа шифрования-дешифрования)
выглядит согласно рис. 1.
В такой системе центр изготовления и рассылки ключей не
только снабжает пользователей ключами, но и несет ответствен-
ность за их сохранение в секрете при изготовлении и доставке.
А поскольку в случае утечки информации в результате компро-
метации ключей в такой системе практически невозможно дока-
зать, где произошла компрометация (у одного из пользователей
или в центре), то обычно принимается, что центр в этом смысле
надежнее, и потому на него возлагается контроль за всеми клю-
чами на протяжении всего цикла от изготовления до их уничто-
жения у пользователя. Таким образом, вопрос о том, кто являет-
ся истинным хозяином информации, получает однозначный от-
вет. По этой причине функции центра должны принадлежать
информационной системе и/или автоматизированной системе
управления, а не сети передачи данных.
Вис. 1. Схема рассылки и использования ключей при симметричном
шифровании
232
Раздел V. Безопасность информации в информационных сетях и АСУ
Центр выступает также и как гарант подлинности передавае-
мых сообщений, так как если пользователю /?(см. рис. I) удается
с помощью секретного ключа К, доставленного из центра, рас-
шифровать сообщение Л/, полученное им от пользователя А, то
он уверен, что зашифровать и отправить его мог только облада-
тель того же ключа К, а это мог быть только пользователь А (или
другой пользователь, получивший такой же ключ из центра).
Здесь мы подходим к следующей проблеме. Если в сети об-
мениваются информацией по принципу «каждый с каждым», на-
пример, 100 пользователей, то потенциально возможных связей
между ними будет (99 х 98)/2 = 4851, т. е. для обеспечения неза-
висимого обмена информацией между каждой парой пользовате-
лей центр С должен изготовить и разослать 100 комплектов по
99 ключей в каждом, сформированных надлежащим образом из
исходного набора 4851 ключей. Если ключи сменяются хотя бы
1 раз в месяц, то в течение года необходимо изготовить
58 212 исходных ключей, сформировать из них 1200 комплектов
по 99 ключей в каждом и развезти всем пользователям системы.
И это для сети, состоящей только из 100 пользователей.
Этот «генетический дефект» традиционных систем обмена
шифрованной информацией сразу же был остро прочувствован
разработчиками коммерческих телекоммуникационных сетей при
первых попытках использовать шифрование как средство под-
тверждения подлинности и авторства электронных документов
при передаче их по каналам электросвязи 70-х годов. Даже такие
мощные организации в области межбанковских расчетов, как
S.W.I.F.T. (Международная межбанковская организация по фи-
нансовым расчетам), вынуждены были идти на риск и прибегать
при рассылке части секретных ключей к услугам обычной почты.
Это дает возможность несколько снизить расходы, но примене-
ние дополнительных мер защиты секретных ключей, пересылае-
мых в конвертах, делает удешевление не столь ощутимым.
Размышления о том, как избавиться от недостатков традици-
онных систем криптографической защиты, связанных с необхо-
димостью содержать мощную и дорогую службу изготовления
секретных ключей и снабжения ими пользователей, привели
двух американских исследователей У. Диффи и М. Хеллмана в
1976 г. к следующим принципиально новым идеям.
Предполагая, что пользователи имеют некоторую общеизве-
стную надежную процедуру (программу) шифрования и обще-
известные процедуры преобразования исходных ключей, мож-
Глава 6. Система безопасности информации в трактах передачи данных... 233
но изобразить схему формирования парой пользователей А и В
общего секретного ключа К для шифрования/расшифрования
(рис. 2).
Рис. 2. Схема формирования общего секретного ключа
Главным пунктом, принципиально отличающим данную схе-
му получения пользователями общего секретного ключа от тра-
диционной, является то, что обмен открытыми ключами fix)
и Ду) производится по любому доступному каналу связи в от-
крытом виде.
При этом должна быть гарантия, что по перехваченным в ка-
нале открытым ключам Дл*) и Ду) практически невозможно по-
лучить общий ключ К, не зная хотя бы один из исходных секрет-
ных ключей л; у. В качестве такой гарантии в данном случае вы-
ступает сложность известной математической проблемы,
которую приходится решать в ходе вычисления К по Дх) и Ду).
Если в качестве ключей х и у выбираются случайные целые
числа из 512 бит каждое, то для вычисления К по
Дх) = a* mod р
и
/(>’) = ar mod р
с целыми а и р (также по 512 бит каждое) необходимо проделать
работу не менее чем из 1024 операций.
234 Раздел V. Безопасность информации в информационных сетях и АСУ
Таким образом, вычисление общего секретного ключа К
только но открытым ключам/(х) и f(y) является практически не-
выполнимой задачей, что позволяет применять ключ К для на-
дежного зашифрования информации.
Другой принцип, предложенный У. Диффи и М. Хеллманом
для решения проблемы снабжения пользователей сети ключами
шифрования/расшифрования, получил название открытое шиф-
рование.
Для зашифрования и расшифрования информации использу-
ются различные ключи, которые хотя и связаны между собой, но
устроены так, что вычислить по одному из них (открытому клю-
чу) второй (секретный ключ) практически невозможно (в том же
смысле, что и выше).
Теперь обмен зашифрованной информацией между пользо-
вателями можно изобразить так, как показано на рис. 3.
Дешифрование С
с помощью X
Шифрование М
с помощью Y
Рис. 3. Схема открытого шифрования
Первое практическое воплощение принцип открытого шиф-
рования получил в системе RSA, разработанной в 1977 г. в Мас-
сачусетсом Технологическом институте (США).
Идея авторов состояла в том, что взяв целое число п в виде
произведения двух больших простых чисел п =- ру, можно легко
подобрать пару чисел е и d, таких, что I < е, d < п, чтобы для лю-
Глава 6. Система безопасности информации в трактах передачи данных... 235
бого целого числа tn, меньшего я, было справедливо соотноше-
ние {md)e = т mod п.
В качестве открытого ключа шифрования в системе RSA вы-
ступает пара Y = (л, е), а секретным ключом для расшифрования
сообщений является число d.
Процедура шифрования сообщения М, рассматриваемого
как целое число, меныпее п (при необходимости длинное сооб-
щение разбивается на отрезки, шифруемые независимо), состоит
в вычислении значения
С = Ме mod п.
Расшифрование осуществляется аналогично с помощью сек-
ретного ключа d
Л/ =С,! mod п.
Математически строго можно доказать, что определение по
паре чисел п, е секретного ключа d нс проще разложения на
множители числа л, т. е. нахождения р и q. Задача же разложе-
ния на множители целого числа изучается в математике с древ-
нейших времен и известна как очень сложная вычислительная
задача. На современных компьютерах разложение числа, состоя-
щего из нескольких сотен десятичных знаков, потребует тысячи
лет непрерывной работы.
Кроме системы RSA, известен целый ряд систем открытого
шифрования, основанных на других сложных математических за-
дачах («укладка ранца», декодирование линейных кодов и т. д.).
Некоторые из них так и остались теоретическими разработками,
другие получили ту или иную реализацию.
С идейной точки зрения различие между системами откры-
того распределения ключей и открытого шифрования нс столь
принципиально: каждая из них при небольшой модификации
может использоваться как для шифрования, так и для распро-
странения секретных ключей по открытым каналам связи.
Переход от открытого шифрования к открытому распределе-
нию ключей достаточно прозрачен: отправитель шифрует и пе-
релает с помощью системы открытого шифрования секретный
ключ, на котором потом будет традиционным способом шифро-
ваться информация. Общий секретный ключ, получаемый при
открытом распределении ключей, можно использовать непо-
236
Раздел V. Безопасность информации в информационных сетях и АСУ
средственно для шифрования, побитно складывая его с переда-
ваемым сообщением, в результате этого получается система от-
крытого шифрования. Поэтому для именования обеих систем
часто употребляют единый термин «системы с открытым клю-
чом» без уточнения, какой тип обмена сообщений или ключей
имеется в виду.
Дополнительным соображением в пользу единого именова-
ния систем является то, что с практической точки зрения их эф-
фективнее использовать лишь дпя распределения секретных
ключей, осуществляя шифрование информации традиционным
способом. Дело в том, что основной операцией в этих системах
является возведение в степень по модулю 500—1000-битовых чи-
сел, что при программной реализации в несколько десятков раз
медленнее, чем шифрование того же размера данных стандарт-
ным алгоритмом (например, DES). В связи с этим для быстрой
обработки большого потока сообщений применяют специализи-
рованные процессоры, выполняющие данную операцию, или же
используют системы с открытым ключом только для получения
секретного ключа шифрования.
Средства формирования цифровой подписи
передаваемых сообщений
Принципы открытого распределения ключей и открытого
шифрования, решая наиболее трудоемкую проблему изготовле-
ния и рассылки секретных ключей для шифрования и предо-
ставляя абонентам открытых систем возможность передавать
конфиденциальную информацию без непосредственного кон-
такта и предварительного обмена ключами, поставили во главу
угла проблему подлинности партнера и авторства принимаемых
сообщений.
Развитие деловой переписки в электронном виде требовало
не только возможности самому получателю удостовериться в
подлинности документа, но и в возможности доказать авторство
документа третьей стороне, например суду.
Классическое распределение ключей посредством центра ре-
шало данную проблему частично: автором правильно расшифро-
ванного сообщения мог быть только тот, кто знал ключ, т. с. от-
правитель, получатель и, возможно, центр.
Глава 7. Управление доступом к информации в сети передачи и в АСУ 237
Кроме того, предъявление третьему лицу документа вместе с
ключом шифрования означает, что становятся известными и все
остальные сообщения, переданные с помощью данного ключа,
что не всегда приемлемо, а обеспечить всем по разовому ключу
на каждое сообщение не представляется возможным. Следова-
тельно, потребовался электронный аналог физической подписи,
обладающий двумя свойствами:
•	подпись воспроизводится только одним лицом, а подлин-
ность ес может быть удостоверена многими;
•	подпись неразрывно (посредством листа бумаги) связыва-
ется с данным документом и только с ним.
Путь создания электронной подписи также был предложен
У. Диффи и М. Хеллманом и основывался, как и при открытом
шифровании, на использовании пары связанных между собой
ключей (секретного и открытого). Их идея состояла в том, чтобы
в системе открытого шифрования поменять роли секретного и
открытого ключей: ключ подписывания сделать секретным, а
ключ проверки — открытым. Если при этом сохраняется свойст-
во, что по открытому ключу с информационной точки зрения
нельзя в обозримое время найти секретный ключ подписывания,
то в качестве электронной подписи может выступать само сооб-
щение, подписанное на секретном ключе. Тем самым подписать
сообщение может только владелец секретного ключа, но каждый,
кто имеет его открытый ключ, может проверить подпись, обрабо-
тав ее на известном ключе.
Более подробное изучение данной технологии можно про-
вести по специальной литературе или учебному пособию ав-
торов [4].
Глава 7
УПРАВЛЕНИЕ ДОСТУПОМ К ИНФОРМАЦИИ В СЕТИ
ПЕРЕДАЧИ И В АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ
УПРАВЛЕНИЯ
Управление доступом к информации в сети передачи осуще-
ствляется при сс подготовке, в процессе эксплуатации и завер-
шения работ.
238
Раздел V. Безопасность информации в информационных сетях и АСУ
При подготовке сети передачи информации и автоматизиро-
ванной системы управления к эксплуатации управление досту-
пом заключается в выполнении следующих функций:
•	уточнении задач и распределении функций элементов сети
и автоматизированной система управления и обслуживаю-
щего персонала;
•	контроле ввода адресных таблиц в элементы сети;
•	вводе таблиц полномочий элементов сети, пользователей,
процессов и т. д.;
•	выборе значений, распределении и рассылке ключей шиф-
рования по назначению;
•	проверке функционирования систем шифрования и кон-
троля полномочий.
В процессе эксплуатации управление доступом предполагает:
•	контроль соблюдения полномочий элементами сети, про-
цессами, пользователями и т. д.; своевременное обнаруже-
ние и блокировку несанкционированного доступа;
•	контроль соблюдения правил шифрования данных и при-
менения ключей шифрования;
•	сбор, регистрацию и документирование информации о не-
санкционированном доступе с указанием места, даты и
времени события;
•	регистрацию, документирование и контроль всех обраще-
ний к информации, подлежащей защите, с указанием даты,
времени и данных отправителя и получателя информации;
•	выбор, распределение, рассылку и синхронизацию приме-
нения новых значений ключей шифрования;
•	изменение и ввод при необходимости новых полномочий
элементов сети, процессов, терминалов и пользователей;
•	проведение организационных мероприятий по защите ин-
формации в сети передачи и автоматизированной системе
управления.
В простейшем случае управление доступом может служить
для определения того, разрешено или нет пользователю иметь
доступ к некоторому элементу сети. Повышая избирательность
управления доступом можно добиться того, чтобы доступ к от-
дельным элементам сети для отдельных пользователей и элемен-
тов сети разрешался или запрещался независимо от других.
И наконец, механизмы управления доступом можно расширить
так, чтобы они охватывали объекты внутри элемента сети, на-
пример процессы или файлы.
Глава 7. Управление доступом к информации в сети передачи и в АСУ 239
Нарушение полномочий выражается:
•	в обращении с запросом или выдаче отправителем команд,
нс предусмотренных в списке получателей элемента сети;
•	несовпадении значений предъявленного и хранимого на
объекте-получателе паролей;
•	получении им зашифрованной информации, не поддаю-
щейся расшифровке, и т. д.
Во всех перечисленных случаях дальнейшая обработка и пе-
редача данных кодограмм прекращается, и на объект управле-
ния безопасностью информации автоматически передается со-
общение о факте несанкционированного доступа, его характере,
имени объекта-от правится я. дате и времени события. Каждый
случай несанкционированного доступа регистрируется и доку-
ментируется на объекте-получателе и объекте управления досту-
пом в сети передачи информации и автоматизированной систе-
ме управления. После получения сообщения о несанкциониро-
ванном доступе служба безопасности информации производит
расследование случившегося и устанавливает причину события.
Если причина события случайная, решение вопроса поручается
службе обеспечения надежности, если преднамеренная — вы-
полняются соответствующие указания должностной инструк-
ции, разработанной данной организацией или фирмой-владель-
цем сети передачи информации и автоматизированной системы
управления.
Управление доступом может быть трех видов:
•	централизованное управление. Установление полномочий
производится администрацией организации или фирмы-
владельца автоматизированной системы управления, сети
или информационной системы в целом. Ввод и контроль
полномочий осуществляется представителем службы безо-
пасности информации с соответствующего объекта управ-
ления;
•	иерархичеекое децентрализованное управление. Центральная
организация, осуществляющая установление полномочий,
может передавать некоторые свои полномочия подчинен-
ным организациям, сохраняя за собой право отменить
или пересмотреть решения подчиненной организации или
лица;
•	индивидуальное управление. В этой ситуации не существует
статической иерархии в управлении распределением пол-
номочий. Отдельному лицу может быть разрешено созда-
240
Раздел V. Безопасность информации в информационных сетях и АСУ
вать свою информацию, гарантируя при этом ее защиту от
несанкционированного доступа. Владелец информации мо-
жет по своему усмотрению открыть доступ к ней другим
пользователям, включая передачу права собственности.
Все указанные вилы управления могут применяться одновре-
менно в зависимости от характера деятельности и задач органи-
зации-владельца автоматизированной системы управления, сети
или информационной системы в целом.
При централизованном контроле полномочий на терминале
возможно отображение структуры автоматизированной системы
управления, сети или информационной системы в целом. При
этом каждому элементу автоматизированной системы управле-
ния, сети или информационной системы присваивается имя
или номер, при отображении которых вводятся по каждому эле-
менту следующие признаки его состояния: «введен—нс введен в
состав системы», «исправен—неисправен» и «нет несанкциони-
рованного доступа—есть несанкционированный доступ».
Современные средства отображения позволяют реализовать
эти признаки в различных вариантах, удобных для операторов.
Функции контроля и управления безопасностью информа-
ции в автоматизированной системе управления (сети) можно
возложить на оператора автоматизированного рабочего места
системы безопасности информации комплекса средств автома-
тизации обработки информации, являющегося управляющим
объектом автоматизированной системы управления (сети).
На каждом элементе автоматизированной системы управле-
ния и сети на терминал службы безопасности информации или
терминал, выполняющий его функции, информация выводится
в виде списка пользователей, процессов и элементов сети (авто-
матизированной системы управления), имеющих право обра-
щаться к данному элементу сети, процессу или пользователю, а
также в виде перечня их полномочий. Соответственно по друго-
му вызову должен быть представлен список пользователей и
процессов данного элемента сети, имеющих право на выход в
каналы связи сети с указанием их полномочий.
В последние годы на российском рынке приобретают попу-
лярность корпоративные (частные) цифровые сети связи, ранее
в основном использовавшиеся для передачи секретной инфор-
мации в оборонных отраслях промышленности. Основное на-
значение таких сетей — обеспечить закрытой связью абонентов,
связанных корпоративными интересами.
Глава 8. Организационные мероприятия по обеспечению безопасности... 241
Глава 8
ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ В СЕТЯХ ПЕРЕДАЧИ
ИНФОРМАЦИИ И АВТОМАТИЗИРОВАННЫХ
СИСТЕМАХ УПРАВЛЕНИЯ
Организационные мероприятия составляют наиболее важ-
ную часть системы обеспечения безопасности информации в ин-
формационных системах в целом, а также в автоматизированных
системах. На организационном уровне осуществляются взаимо-
действие элементов автоматизированной системы управления и
сети передачи информации, синхронизация действий подсистем,
объектов и персонала. В результате исследования видов инфор-
мации, подлежащей защите, ее циркуляции, мест сосредоточе-
ния, а также функций и полномочий элементов автоматизиро-
ванной системы управления и сети передачи информации опре-
деляются: перечень видов управляющей деятельности службы
безопасности информации; цели, стоящие перед органами
управления при обеспечении защиты информации; перечень
подзадач, посредством решения которых реализуются цели за-
щиты; распределение задач защиты между органами исполнения
различных уровней; объемы, виды, формы и сроки представле-
ния информации вышестоящим органам управления.
Разработка функциональной структуры службы безопасности
информации затрагивает главные проблемы руководства и ос-
новные идеологические концепции построения автоматизиро-
ванной системы управления и сети передачи данных, исходя как
из общих закономерностей управления организационными сис-
темами, так и из анализа особенностей технологии планирова-
ния и принятия решений, специфичных для данной автоматизи-
рованной системы управления и сети передачи информации.
В процессе подготовки к эксплуатации системы пользовате-
ли обучаются правилам выполнения защитных мероприятий при
работе с системой, убеждаясь в их необходимости и важности.
При этом по-прежнему важны подбор и расстановка кадров в
соответствии с их квалификацией и функциональными обязан-
ностями при выполнении будущих работ. При переходе на авто-
матизированную систему в целях защиты информации возможно
потребуется перестройка структуры организации. В период реор-
242
Раздел V. Безопасность информации в информационных сетях и АСУ
ганизации система особенно уязвима, что объясняется воздейст-
вием многих факторов. Назовем некоторые из них: отсутствие на
первых порах привычки пользователей к новой системе и, как
следствие, отсутствие осторожности и появление ошибок; появ-
ление ошибок разработчиков системы, включая систему защиты;
отвлечение внимания пользователей текущими проблемами от
вопросов защиты и т. д.
В связи с этим вопросы зашиты должны быть строго учтены
при составлении планов работ и их реализации особенно в на-
чальный период эксплуатации. В период подготовки и эксплуа-
тации автоматизированной системы управления (сети передачи
информации) проводятся организационные мероприятия в инте-
ресах выполнения функций управления.
В процессе эксплуатации автоматизированной системы
управления (сети передачи информации) в сс состав могут быть
введены новые элементы или выведены по какой-либо причине
старые. Перед вводом нового элемента должны быть проверены и
испытаны на функционирование его системы защиты информа-
ции. После принятия решения о выводе старого элемента автома-
тизированной системы управления (сети передачи информации)
необходимо скорректировать соответствующие таблицы полно-
мочий других элементов автоматизированной системы управле-
ния (сети передачи информации) на предмет его исключения и
удалить значения кодов его паролей, а на самом элементе удалить
секретную информацию из его оперативной и при необходимости
долговременной памяти, включая адресные таблицы сети переда-
чи, структуру автоматизированной системы управления и сети
передачи информации, таблицы полномочий и кодов паролей, о
чем целесообразно составить соответствующий акт, подписанный
ответственными исполнителями работ. Наконец, наступает такое
время, когда необходима замена самой системы в целом, как мо-
рально устаревшей, на новую. Однако информация, циркулирую-
щая в старой системе, может быть ценной и подлежать защите по
сей день. Тогда необходимо работать с каждым элементом авто-
матизированной системы управления (сети передачи информа-
ции), аналогично описанной выше процедуре работы с элемен-
том, выводимым из системы.
Специалисты рекомендуют соблюдать следующие требова-
ния по безопасности информации в информационных сетях: все
возможные пути прохождения данных в сети от отправителя со-
общения до получателя должны быть защищены. Это обычно
Глава 8. Организационные мероприятия по обеспечению безопасности... 243
называют безопасностью из конца в конец, данные никогда не
должны появляться внутри сети в форме, пригодной для чтения;
терминалы пользователей и терминалы, обслуживающие серве-
ра, должны быть способны осуществлять операцию старта и ос-
тановки в любое время, не оказывая длительного влияния на
функционирование сети; всем пользователям, терминалам и
компьютерам должны быть присвоены уникальные идентифика-
торы и осуществлена проверка их подлинности при доступе в
сеть; если исходный текст состоит только из нулей и единиц, то
передаваемое сообщение шифроваться не должно; при отсутст-
вии передачи сообщения в целях скрытия своей активности дол-
жен использоваться генератор шума.
При разработке системы защитных преобразований очень
важна оценка объема усилий и затрат, необходимых для раскры-
тия ключа. Если эти затраты нарушителя превышают получае-
мый при этом выигрыш, система защиты считается эффектив-
ной. Следуя концепции зашиты, принятой за основу, вводим
временной фактор, так как он позволяет провести относительно
стоимостного более точную оценку, т. е. система шифрования
данных считается эффективной, если объем усилий, выражен-
ный в затратах времени для раскрытия ключа нарушителем, пре-
вышает время старения защищаемых данных.
При раскрытии нарушителем ключа следует учитывать воз-
можность применения для этой цели современной информаци-
онной техники, а также ее развитие за период использования
информации, средств защиты в данной информационной сети и
автоматизированной системе управления.
Контрольные вопросы
1.	Какие исходные данные необходимо знать при построении систем защиты ин-
формации?
2.	Как выглядит структура системы безопасности информации в автоматизиро-
ванной системе управления?
3.	Какие существуют механизмы безопасности информации в трактах передачи
данных и в каналах связи?
4.	Что подразумевается под трактом передачи данных в автоматизированной
системе управления? Как в нем осуществляется защита информации?
5.	Как осуществляется симметричное шифрование?
6.	R чрм заключается открытое шифрование?
Раздел VI
ОЦЕНКА УРОВНЯ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ
Глава 1
АНАЛИЗ МЕТОДОВ ОЦЕНКИ ЗАЩИЩЕННОСТИ
ИНФОРМАЦИИ
Вопрос оценки защищенности информации в информацион-
ных системах в связи с постоянно меняющимся парком про-
граммно-аппаратных комплексов, компьютерной техники и се-
тей является по-прежнему актуальным.
Безопасность информации — важнейшая характеристика ин-
формационной системы — как любая характеристика, должна
иметь единицы измерения. Оценка защищенности информации
необходима для определения уровня безопасности и его доста-
точности для той или иной системы.
Вопросам оценки защищенности информации и освящен и
много литературы. Первыми завершившиеся выпуском норма-
тивных документов в этой области являются работы, проводи-
мые в США.
Следуя по пути интеграции, Франция, Германия. Нидерлан-
ды и Великобритания в 1991 г. приняли согласованные «Евро-
пейские Критерии» оценки безопасности информационных тех-
нологий.
Министерство обороны США выработало ряд классифика-
ций для определения различных уровней защищенности ЭВМ.
Они изложены в «Оранжевой книге» или в «Оценочных Крите-
Глава 1. Анализ методов оценки защищенности информации
245
риях защищенности информационных систем». Шкала данных
стандартов включает градации от D до AI, где уровень А1 наи-
высший. Классы угроз сформулированы в разделах об оценках и
в классах «Оценочных критериев...».
Подход к критериям оценки систем в них выражается в сле-
дующем. Безответственность пользователей вызывает необходи-
мость контроля пользовательской деятельности для обеспечения
защищенности информационных систем. Контроль на приклад-
ном уровне поднимает вычислительные системы до категорий
С1 и С2 «Оценочных критериев...», а для борьбы с попытками
проникновения требуется полный набор средств защиты и более
эффективное его использование. Согласно «Оценочным крите-
риям...» такие системы можно отнести к категориям от С2 до В2.
Системы с хорошо развитыми средствами защиты относятся к
категориям В2 и А1.
Механизм одобрения для защищенных систем основан на
принципе создания перечня оцененных изделий, в который
включены изделия с определенной степенью качества. Защи-
щенные системы оцениваются по запросам их изготовителей и
помещаются в перечень оценочных изделий по шести уровням
защищенности. В случае необходимости потребитель может вы-
брать из перечня подходящее к его требованиям изделие либо
обратиться с просьбой оценить необходимое ему изделие, не
входящее в перечень оцененных.
Оценка защищенности информации в информационных
системах по уровням «Оценочных критериев...» основывается на
классификации потенциальных угроз, которые делятся на три
класса: безответственность пользователей, попытки несанкцио-
нированного проникновения и сам факт несанкционированного
проникновения.
Под безответственностью пользователя понимаются такие
действия аккредитованного липа, которые приводят к нелояль-
ным или преступным результатам.
Попытка несанкционированного проникновения — термин,
означающий использование нарушителем плохого управления
системой, а также несовершенства системы защиты. То же самое
можно сказать о системах, где все пользователи имеют одинако-
вый доступ к файлам. В этом случае возможны действия, кото-
рые полностью законны, но могут иметь непредвиденные по-
следствия и нежелательные результаты для владельцев и управ-
ляющих вычислительными системами.
246
Раздел VI. Оценка уровня безопасности информации...
И наконец, проникновение подразумевает полный обход всех
видов системного контроля для достижения несанкционирован-
ного доступа. Например, проникновение с помощью специально
составленной программы, которая использует несовершенство
контрольных параметров операционной системы для получения
управляющего воздействия на информационную систему в отно-
шении супервизора или режима ядра либо же проникновение в
трассировочный шкаф в здании офиса для установки перехваты-
вающего устройства на телефонной линии. Следует подчеркнуть,
что проникновение требует затрат квалифицированного труда,
направленного на преднамеренное нарушение.
Критерием оценки информационных систем согласно прин-
ципам классификации «Оранжевой книги» по существу является
соответствие состава программных и аппаратных средств защиты
данной системы составу средств, приведенному в одном из клас-
сов оценки. Если состав средств не дотягивает до более высокого
класса, системе присваивается ближайший нижний класс. Дан-
ная книга широко используется в CLIJA при оценке защищенно-
сти информации в военных и коммерческих информационных
системах. Однако зарубежными специалистами уже отмечались
недостатки этой системы оценки. По мнению сотрудников Цен-
тра безопасности ЭВМ МО США, «Оценочные критерии...», хотя
и являются мерилом степени безопасности, но не дают ответа на
вопрос, в какой степени должна быть защищена та или иная сис-
тема, т. е. они не обеспечивают привязку классов критериев к
требованиям защиты обрабатывающих средств, испытывающих
различные степени риска.
«Оценочные критерии...» нс работают при оценке уровня без-
опасности информационных сетей и нет еще принципиальной
основы для оценки защищенности сети как части интегрирован-
ного целого при наличии межсетевого обмена информацией.
Специалистами отмечается также, что основная трудность за-
ключается в недостаточно четкой формулировке понятия «без-
опасная сеть». Особые трудности в этом плане представляет тер-
риториально распределенная вычислительная сеть.
«Европейские Критерии» рассматривают следующие состав-
ляющие информационной безопасности:
•	конфиденциальность — защиту от несанкционированного
получения ин фор ма ци и;
•	целостность — защиту от несанкционированного измене-
ния информации;
Глава 1. Анализ методов оценки защищенности информации 247
•	доступность — защиту от несанкционированного удержа-
ния информации и ресурсов.
«Чтобы объект оценки можно было признать надежным, не-
обходима определенная степень уверенности в наборе функций и
механизмов безопасности. Степень уверенности называется га-
рантированностью, которая может быть большей или меньшей в
зависимости от тщательности проведения оценки. Гарантирован-
ность затрагивает два аспекта — эффективность и корректность
средств безопасности». «При проверке эффективности анализи-
руется соответствие между целями, сформулированными для
объекта оценки, и имеющимся набором функций безопасности.
Точнее говоря, рассматриваются вопросы адекватности функцио-
нальности, взаимной согласованности функций, простоты их ис-
пользования, а также возможные последствия эксплуатации из-
вестных слабых мест защиты. Кроме того, в понятие эффектив-
ности входит способность механизмов защиты противостоять
прямым атакам (мощность механизма). Определяются три града-
ции мощности — базовая, средняя и высокая. Под корректностью
понимается правильность реализации функций и механизмов
безопасности. В «Европейских Критериях» определяется семь
возможных уровней гарантированности корректности в порядке
возрастания — от ЕО до Е6. Уровень ЕО обозначает отсутствие га-
рантированности — аналог уровня D «Оранжевой книги». При
проверке корректности анализируется весь жизненный цикл объ-
екта оценки — от проектирования до эксплуатации и сопровож-
дения. Общая оценка системы складывается из минимальной
мощности механизмов безопасности и уровня гарантированно-
сти корректности».
Приведенные выше сведения о «Европейских Критериях»
проанализируем с позиций концепции безопасности информа-
ции, предложенной изучению в данном учебном пособии.
Конфиденциальность и целостность информации — задачи
обеспечения ее безопасности от утечки, модификации и утраты
для ее владельца. А вот ее «доступность» должна обеспечиваться
основными средствами автоматизации ее обработки, но не сред-
ствами защиты. Их задача — обеспечить к информации доступ,
санкционированный се владельцем или доверенным лицом, от-
вечающим за ее безопасность.
Конституционное право на доступ к информации — другая
проблема, нс имеющая отношения к ее безопасности, — гаран-
тирует право собственности на нее, как на вещь. А требовать,
248
Раздел VI. Оценка уровня безопасности информации...
как известно, можно лишь то, на что имеешь право собствен-
ности.
Владелец информации и владелец ресурсов могут быть раз-
ными лицами. Да и могут ли быть ресурсы информационной
системы конфиденциальными? Возможна ли их утечка? Предме-
том защиты должна быть только информация.
Анализ применяемых в «Европейских Критериях» терминов
и определений (гарантированности, корректности, адекватности
функциональности, мощности) говорит о весьма приближенном
характере их влияния на конечный результат оценки. Их основ-
ной недостаток заключается в том, что при проектировании ин-
формационной системы и средств автоматизации системы разра-
ботчик не имеет четких исходных данных, руководствуясь кото-
рыми он должен строить систему. Другими словами, процессы
проектирования и оценки не связаны между собой. При проведе-
нии такой оценки может оказаться, что она будет иметь отрица-
тельный результат и потребуется большая доработка информаци-
онной системы, затраты на которую разработчиком не учтены.
В 1992 г. Гостехкомиссией России (ГТК РФ) выпушен пакет
руководящих документов по защите информации от несанкцио-
нированного доступа в автоматизированных системах (АС) и
средствах информационной техники (СВТ), содержащий кон-
цепцию зашиты, термины и определения, показатели защищен-
ности, классификацию СВТ и АС по уровням защищенности.
Концепции защиты информации, критерии оценки защи-
щенности информации, используемые в «Оранжевой книге»,
«Европейских Критериях» и «Положении ГТК РФ», не всегда
учитывают или нс учитывают совсем следующие параметры за-
щиты:
•	деление средств защиты на средства защиты от случайного
и преднамеренного несанкционированного доступа, имею-
щих различную физическую природу, характер воздействия
и точки приложения в объекте защиты;
•	образование системы взаимосвязанных преград, замыкаю-
щихся вокруг предмета защиты и препятствующих обходу
преград нарушителем;
•	время жизни информации, обнаружения и блокировки не-
санкционированного доступа;
•	ожидаемое время преодоления преграды нарушителем.
Из-за отсутствия теории и расчетных соотношений в «Оце-
ночных критериях...» не приведены единицы измерения и коли-
Глава 2. Принципиальный подход к оценке уровня безопасности...
249
чественная оценка защищенности информации в информацион-
ных системах.
Перечисленные факторы дают основания полагать, что «Оце
ночные критерии...», «Европейские Критерии» и «Временное по-
ложение...» ГТК РФ, использующие существующую концепцию
зашиты, действительно не дают адекватного представления о
свойствах и взаимодействии звеньев защиты и, следовательно, о
прочности защиты информации в информационной системе в
целом. Используемый в данном учебном пособии метод опенки,
использующий в свою очередь приведенную концепцию и тео-
рию построения системы обеспечения безопасности (разд. 3),
позволит специалисту освободиться от указанных недостатков, а
также создать на практике более эффективную систему безопас-
ности информации в информационной системе на этапе ее про-
ектирования и эксплуатации с учетом более точных расчетных
соотношений.
Как было показано выше, вопрос разработки средств защиты
от случайных воздействий в достаточной степени решается сред-
ствами повышения надежности технических средств и достовер-
ности информации, созданию и оценке которых посвящено
много литературы, в том числе и учебной. Поэтому в этом посо-
бии целесообразно рассмотреть, прежде всего, вопрос оценки
средств защиты от преднамеренного несанкционированного до-
ступа.
Глава 2
ПРИНЦИПИАЛЬНЫЙ ПОДХОД К ОЦЕНКЕ УРОВНЯ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ ОТ ПРЕДНАМЕРЕННОГО
НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
В ИНФОРМАЦИОННОЙ СИСТЕМЕ
Безопасность информации в системах обработки информа-
ции — это способность данных систем создавать условия, при
которых будут существовать определенные техническим задани-
ем гарантии защиты информации от несанкционированных из-
менений, разрушения, хищения и ознакомления с нею посто-
ронних лиц.
250
Раздел VI. Оценка уровня безопасности информации...
Данное свойство информационной системы обеспечивается
системой защиты информации, состоящей из системы преград,
прочность которых и будет, вероятно, определять уровень защи-
щенности информации в информационной системе.
С учетом принятой концепции защиты оценка уровня защи-
щенности информации в конкретной информационной системе
должна производиться в следующей последовательности:
1)	оценка информации, обрабатываемой информационной
системой, на предмет ее ценности, секретности, мест размеще-
ния и сроков действия;
2)	оценка заданной модели потенциального нарушителя на
се соответствие информации, подлежащей защите;
3)	анализ информационной системы как объекта защиты на
предмет наличия в нем максимально возможного числа каналов
несанкционированного доступа к информации соответствующе-
го заданной модели потенциального нарушителя;
4)	проверка наличия реализованных в информационной сис-
теме средств защиты по каждому возможному каналу несанк-
ционированного доступа к защищаемой информации;
5)	количественная оценка прочности каждого средства за-
щиты ;
6)	оценка ожидаемой прочности системы защиты информа-
ции в информационной системе в целом.
Решение перечисленных задач связано с первоначальными
условиями, которые должны быть заданы в техническом задании
на информационную систему. Эти условия должны содержать
модель ожидаемого поведения нарушителя. Для квалифицирован-
ного нарушителя, владеющего информацией о принципах работы
и построения информационной системы, возможности более ши-
рокие, чем у неквалифицированного, и, следовательно, при оцен-
ке защиты потребуется рассмотреть большее количество возмож-
ных каналов несанкционированного доступа, большее количество
средств защиты, другого качества, с лучшими показателями.
Выбор модели поведения нарушителя оказывает существен-
ное влияние на конечный результат оценки защищенности ин-
формации в информационной системе. При этом возможны два
подхода:
•	эталонный — ориентированный только на квалифициро-
ванного । iapy ш ителя - профессио нала;
•	дифференцированный — в зависимости от квалификации на-
рушителя.
Глава 2. Принципиальный подход к оценке уровня безопасности...
251
При первом подходе на оцениваемой информационной сис-
теме можно рассмотреть все возможные каналы несанкциони-
рованного доступа, известные на сегодняшний день в такого
рода системах. А средства защиты, реализованные в данной ин-
формационной системе, оцениваются на вероятность их воз-
можного преодоления квалифицированным нарушителем-про-
фессионалом. Результаты оценки различных систем можно от-
нести к разным классам, определяющим уровень безопасности
информации в информационных системах. Например, значения
вероятности непреодоления защиты нарушителем, равные
?! > 0,999, можно отнести к I классу, Л >0,99 — ко II классу,
> 0,9 — к III классу.
Однако на практике во многих информационных системах
могут наверняка отсутствовать средства защиты от ПЭМИН и
криптографические преобразования информации. Это означает,
что с позиций первого подхода существуют пути обхода защиты
и тогда значение итоговой опенки вероятности непреодоления
защиты будет равно нулю, т. с. защита не имеет смысла. Но
предъявленной на оценку системе может нс требоваться защита
от ПЭМИН и шифрование, например, медицинской информа-
ционной системе, содержащей закрытые медицинские данные,
которые не интересны нарушителю-профессионалу7. В связи с
этим более предпочтителен второй подход — дифференцирован-
ный, когда в техническом задании на информационную систему
оговорена ожидаемая модель нарушителя определенного класса.
Поскольку модель нарушителя — понятие весьма относитель-
ное и приближенное, разобьем ее на четыре класса:
•	I класс — высококвалифицированный нарушитель-профес-
сионал;
•	ГТ класс — квалифицированный нарушите ль-не профессионал;
•	III класс — неквалифицированный нарушитель-непрофес-
сионал;
•	IV класс — недисциплинированный пользователь.
При этом каждому классу нарушителей в комплексе средств
автоматизации обработки информации будет соответствовать со-
гласно разд. 3 определенное число возможных каналов несанк-
ционированного доступа:
I классу — все возможные каналы несанкционированного
доступа, возможные в комплексе средств автоматизации обра-
ботки информации на текущий момент времени;
252
Раздел VI. Оценка уровня безопасности информации...
II классу — все возможные каналы несанкционированного
доступа, кроме побочного электромагнитного излучения и на-
водок (ПЭМИН) и магнитных носителей с остатками инфор-
мации;
III классу — только следующие возможные каналы несанк-
ционированного доступа:
•	терминалы пользователей;
•	аппаратура документирования и отображения;
•	машинные и бумажные носители информации;
•	технологические пульты и органы управления;
•	внутренний монтаж аппаратуры;
•	внутренние линии связи между аппаратными средствами
комплекса средств автоматизации обработки информации;
I	V классу — только следующие возможные каналы несанк-
ционированного доступа:
•	терминалы пользователей;
•	машинные носители информации и документы.
Для распределенных информационных систем (региональных
и глобальных сетей и автоматизированных систем управления)
из-за их высокой стоимости целесообразна классификация нару-
шителя только по двум классам: 1- и 2-му, а для локальных — по
1-, 2- и 3-му классам. Входящие в их состав комплексы средств
автоматизации обработки информации могут обеспечивать защи-
ту более низкого класса, а информация, передаваемая по каналам
связи, должна быть защищена по тому же классу. При этом со-
гласно разд. 3 классификация потенциального нарушителя ори-
ентируется на выполнение определенного набора требований к
безопасности информации, передаваемой по каналам связи. Рас-
пределение этих требований по классам следующее:
I класс — все требования;
II класс — все требования, кроме сокрытия факта передачи
сообщения;
III класс — все требования, кроме сокрытия факта передачи
сообщения, гарантированной защиты от ознакомления с ним
постороннего лица, гарантированной подлинности принятых и
доставленных данных.
Кроме того, для оценки защищенности информации имеет
значение исходная позиция нарушителя по отношению к объек-
ту зашиты:
•	вне контролируемой территории — является ли нарушитель
посторонним лицом;
Глава 3. Метод оценки уровня безопасности информации...
253
•	на контролируемой территории — является ли он закон-
ным пользователем, техническим персоналом, обслужи-
вающим комплекс средств автоматизации обработки ин-
формации.
Если нарушителем становится пользователь, то для него нс
является преградой контрольно-пропускной пункт на террито-
рию объекта защиты, но система контроля доступа в помещения
может разрешать доступ ему только в определенное помещение.
Очевидно, что оценка защищенности должна проводиться
отдельно для каждого случая. При этом следует учитывать соот-
ветствующее количество возможных каналов несанкциониро-
ванного доступа и средств защиты. В отдельных случаях в буду-
щем возможно придется проводить такую оценку для каждого
пользователя.
Глава 3
МЕТОД ОЦЕНКИ УРОВНЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В КОМПЛЕКСЕ СРЕДСТВ АВТОМАТИЗАЦИИ
ОБРАБОТКИ ИНФОРМАЦИИ
Анализ комплекса средств автоматизации обработки
информации как объекта защиты
С учетом выбранной модели нарушителя определяем в ком-
плексе средств автоматизации обработки информации возмож-
ные каналы несанкционированного доступа. Для более полного
представления процесса оценки рассмотрим возможные каналы
несанкционированного доступа, ожидаемые от квалифициро-
ванного нарушителя-профессионала, находящегося в исходной
позиции вне объекта защиты. Тогда оценка защиты от наруши-
теля более низкого класса будет отличаться меньшим количест-
вом возможных каналов несанкционированного доступа, вероят-
ностью преодоления нарушителем преграды, количеством путей
и вероятностью се обхода.
Представим контур защиты информации в комплексе
средств автоматизации обработки информации с централизован-
ной обработкой в виде таблицы соответствия выбранных средств
254
Раздел VI. Оценка уровня безопасности информации...
зашиты всем установленным ранее возможным каналам несанк-
ционированного доступа (табл. 1).
Таблица /. Возможные каналы несанкционированного доступа к информации
комплекса средств автоматизации обработки информации и средства зашиты,
рекомендуемые для их перекрытия
№ п/п	Наименование возможного канала несанкционированного доступа	Класс защиты				Состав средств в контуре защиты (звенья защитного контура)	Прочность звена защиты
		I	II	III	IV		
1	Терминалы пользователей	+	+	+	+	Система опознания и разграничения доступа к информации	р.
2	Аппаратура отображения и документирования инфор- мации	+	+	+	—	Система разграничения и контроля доступа в помещения объекта за- щиты информации	р2
3	Ремонтируемая и профилак- тируемая аппаратура	+	+	—	—	Система контроля вво- да-вывода аппаратуры в (из) рабочий контур обмена информацией	Рэ
4	Носители информации, пе- ремещаемые в пределах ох- раняемой зоны	+	+	+	+	Учет и разграничение доступа к носителям Верификация инфор- мации Шифрование инфор- мации Резервирование информации	Ра Р1
5	Документы	+	+	+	+	Учет, регистрация и разграничение доступа к документам	ра
6	Носители программного обеспечения	+	+	+	+	Учет, регистрация и разграничение доступа к носителям программ- ного обеспечения Верификация программного обеспечения Резервирование программного обеспечения	Ра Р8 Pj
Глава 3. Метод оценки уровня безопасности информации...
255
Продолжение табл. 1
№ п/п	Наименование возможного канала несанкционированного доступа	Класс защиты				Состав средств в контуре защиты (звенья защитного контура)	Прочность звена защиты
		I	II	III	IV		
7	Носители остатков информации	+	—	—	—	Стирание информации Наложение записи слу- чайной последователь- ности чисел Уничтожение носителей	р9 Р,0 Рц
							
8	Средства загрузки про- граммного обеспечения	+	+	—	—	Средства контроля до- ступа к загрузке про- граммного обеспе- чения	12
9	Аппаратура передачи данных во внешние каналы связи	+	+	—	—	Система контроля вскрытия аппаратуры	^13
10	Технологические пульты и органы управления	+	+	+	—	То же	^13
11	Внутренний монтаж аппара- туры	+	+	+	—	То же	^13
12	Внутренние линии связи ме- жду аппаратными средства- ми комплекса средств авто- матизации обработки ин- формации	+	+	+	—	То же	^13
13	Внешние каналы связи ком- плекса средств автоматиза- ции обработки информации	+	+			Система опознания и разграничения доступа к информации (на вхо- де в комплекс средств автоматизации обра- ботки информации) Шифрование инфор- мации (на выходе ком- плекса средств автома- тизации обработки информации)	Ру Ру>
14	Мусорная корзина	+	+	—	—	Средства уничтожения отработанных носите- лей информации	Рц
256
Раздел VI. Оценка уровня безопасности информации...
Окончание табл. 1
№ п/п	Наименование возможного канала несанкционированного доступа	Класс защиты				Состав средств в контуре защиты (звенья защитного контура)	Прочность звена защиты
		I	II	III	IV		
15	Побочное электромагнитное излучение и наводка инфор- мации на цепях электропита- ния, заземления, на вспомо- гательных и посторонних коммуникациях, сервисном оборудовании	+				Средства снижения уровня излучения и на- водок с установлением границ контролируе- мой зоны объекта за щиты, оборудованной системой охранной сигнализации и кон- трольно-пропускным пунктом	<*15
16	Персональные компьютеры					Система защиты ин- формации в ПК	^ПК
17	Локальные компьютерные сети					Система защиты ин- формации в ЛКС	^лкс
Примечания.
1.	Знак «+» означает наличие возможного канала несанкционированно-
го доступа; знак «-» — отсутствие возможного канала несанкционированно-
го доступа.
2.	Пароли являются элементом системы опознания и разграничения
доступа пользователей к информации комплекса средств автоматизации об-
работки информации.
3.	Контроль целостности программного обеспечения производится от-
носительно редко (как правило, I раз в рабочую смену), что не позволяет в
процессе функционирования комплекса средств автоматизации обработки
информации обнаружить нарушителя в момент совершения несанкциони-
рованного доступа. Поэтому такая мера считается профилактической и
здесь в расчет нс принимается. Но для защиты от случайных воздействий
эта мера эффективна и ее наличие обязательно во всех случаях.
4.	Системы оценки защиты информации в ПК и Л КС рассмотрены в
отдельном разделе:
(7ПК — группа показателей безопасности информации в персональных
компьютерах;
Олкс — группа показателей безопасности информации в локальной
компьютерной сети.
Данные показатели учитываются, если ПК или Л КС входит в состав
комплекса средств автоматизации обработки информации.
Глава 3. Метод оценки уровня безопасности информации...
257
После того как для заданной модели нарушителя найдены
все возможные каналы несанкционированного доступа и на них
установлены средства защиты, считаем, что наш виртуальный
защитный контур замкнулся.
Далее для контролируемого возможного канала несанкцио-
нированного доступа определяем его прочность, величина кото-
рой будет равна прочности наиболее слабого звена защитного
контура, для этого определяем по формуле 15, гл. 1, разд. 3
прочность защиты каждого звена защиты и сравниваем результа-
ты. При этом для возможного канала несанкционированного
доступа, закрытых двумя и более средствами защиты, расчет
прочности производим по формуле 18, гл. 1, разд. 3.
Для неконтролируемых возможных каналов несанкциониро-
ванного доступа расчет прочности звена зашиты ведем по фор-
муле 4, гл. 1, разд. 3. В их число войдут значения Р5, Р6, Р8, Р10,
Оценка прочности системы опознания и разграничения
доступа к информации
Оценку прочности системы опознания и разграничения до-
ступа к информации производим по формуле 15, гл. 1, разд. 3
с учетом трех описанных ниже параметров.
I.	Вероятность преодоления преграды нарушителем со сторо-
ны законного входа в систему Рнр определяем по формуле
р =—	(1)
Hip
где As — количество возможных значений кодов паролей соглас-
но формуле 1, гл. 1, разд. 1; п — количество попыток подбора
кода пароля, обычно в проекте допускают три попытки на слу-
чай возможных ошибок законного пользователя; А — число сим-
волов в выбранном алфавите кода, для русского алфавита А - 33;
к алфавиту возможно добавление цифр от 0 до 9, тогда А = 43
и т. д.; 5 — длина кода пароля в количестве символов.
Вероятность обхода преграды Р^ оцениваем как вероятность
несанкционированного доступа нарушителя к действительным
258
Раздел VI. Оценка уровня безопасности информации...
значениям кода пароля, хранимого в информационной системе
и у самого пользователя. Кроме того, необходимо оценить веро-
ятность несанкционированного доступа к информации помимо
кодов паролей. Учитывая возможность нескольких путей обхода,
для определения вероятности необхода преграды нарушителем в
формуле 15, гл. 1, разд. 3 принимаем:
Лбх! — вероятность несанкционированного доступа к дейст-
вительным значениям кодов паролей, хранимым в комплексе
средств автоматизации обработки информации;
Робх2 — вероятность несанкционированного доступа к дей-
ствительным значениям кодов паролей, хранимым у пользова-
теля;
Л>бхз — вероятность несанкционированного доступа к инфор-
мации путем обхода системы кодов паролей. Например, непо-
средственный физический доступ к памяти компьютера, в кото-
рой хранятся коды паролей в открытом виде, или чтение их зна-
чений на экране терминала.
Значения Робх2, ..., РобхЛ определяются в пределах от О
до 1 экспертным путем на основе опыта специалистов. При экс-
пертной оценке вероятности наступления того или иного собы-
тия (Рнр, Р^х и т. д.) в целях унификации метода за основу при-
нимаются следующие градации значений:
Р = 0 — событие невозможно;
Р=0,2 — событие маловероятно;
Р- 0,5 — событие вероятно наполовину;
Р= 0,8 — событие вполне вероятно;
Р- 0,95 — вероятность события высокая;
Р= 1 — событие произойдет наверняка.
Если коды паролей хранятся в комплексе средств автомати-
зации обработки информации в закрытом криптографическим
способом виде, величина вероятности несанкционированного
доступа к ним определяется путем анализа эффективности этого
способа на данном комплексе средств автоматизации. Эффек-
тивность этого способа может привести к Робх1 = 0. Если пользо-
ватель вводит пароли в присутствии посторонних лиц и они
отображаются на экране, величина Ро&х2 приближается к едини-
це. Если коды паролей хранятся в памяти пользователя и он,
скорее всего, для лучшего запоминания записал их в своей
Глава 3. Метод оценки уровня безопасности информации...
259
записной книжке, вероятность перехвата кодов паролей выше,
чем если бы одна часть символов кодов паролей хранилась бы в
памяти пользователя, а другая часть — в носителе кодов паро-
лей. Если имеется свободный физический доступ к памяти ком-
пьютера или программному обеспечению операционной систе-
мы, величина Р^х приближается к единице. Однако, если при
анализе Робх выясняется, что обход возможен через возможный
канал несанкционированного доступа, указанный в табл. 1, счи-
таем, что для данной преграды РобхА. = 0, так как он закрывается
другой преградой.
Такой подход позволяет провести глубокий и всесторонний
анализ системы заши1ы комплекса средств автоматизации обра-
ботки информации и с достаточно высокой достоверностью оце-
нить прочность не только исследуемой преграды, но и ее роль в
создании замкнутого контура защиты.
2.	Вероятность обнаружения и блокировки несанкционирован-
ного доступа в системе опознания и разграничения доступа. Она
определяется способностью соответствующей программы к отра-
ботке данной функции при несовпадении введенного кода паро-
ля с хранимым в памяти комплекса средств автоматизации обра-
ботки информации и выводе ее результата на терминал службы
безопасности. При этом необходимо установить (измерить)
гобл — интервал времени от момента несовпадения кода-пароля
до момента отображения на экране терминала службы безопас-
ности сообщения о несанкционированном доступе, местонахож-
дении, дате и времени события. Это время должно составлять
величину не более 1 с. Увеличение этого времени позволяет на-
рушителю, если не предусмотрена специальная блокировка, по-
вторить попытку подбора кода-пароля, что ведет к снижению
прочности преграды, оговоренной выше при расчете Р11р.
При удовлетворительном выполнении программой системы
опознания и разграничения доступа заданных функций по обна-
ружению и блокировке можно считать, что Ро6л = 1. При увеличе-
нии количества возможных попыток подбора кода-пароля пере-
считывается Рнр. Количество возможных попыток несанкциони-
рованного доступа при этом определяется по формуле
п -	,	(2)
260
Раздел VI. Оценка уровня безопасности информации...
где Го6л — время обнаружения и блокировки несанкционирован-
ного доступа; / — время реакции (ответа) информационной сис-
темы на ввод кода пароля.
Задача несанкционированной блокировки нарушителем ра-
боты системы опознания и разграничения доступа по своей сути
рассматривалась выше при анализе возможного обхода данной
преграды. Однако совсем нелишне проанализировать возмож-
ность скрытого несанкционированного подхода к этому про-
граммному модулю. Например, со стороны пульта системного
программиста, пульта компьютера и других средств комплекса
средств автоматизации обработки информации. Если обнаружи-
вается, что есть один такой канал и этот канал несанкциониро-
ванного доступа находится в числе указанных в табл. 1 и он за-
крывается соответствующим средством защиты, считаем, что
Ро6х = 0. Если обнаруживается возможный канал несанкциониро-
ванного доступа, не учтенный в табл. 1, на него предусматрива-
ется соответствующее средство защиты, вероятность преодоле-
ния которого и будет составлять Робх.
Вероятность влияния отказа системы опознания и разграни-
чения доступа на Роб11 рассчитывается, исходя из надежности
работы данного программного модуля и аппаратных средств,
участвующих в работе СОРДИ за ожидаемый период эксплуата-
ции комплекса средств автоматизации обработки информации,
и вероятности совпадения времени отказа со временем совер-
шения несанкционированного доступа. Однако исходя из наи-
более «опасного» случая, считаем вероятность совпадения близ-
кой к 1. Тогда расчет ведем с учетом только вероятности отказа
системы.
3.	Итоговая прочность системы опознания и разграничения
доступом. Она определяется по наименьшему значению прочно
сти одного из се звеньев, описанных выше.
Оценка прочности системы разграничения и контроля
доступа в помещения объекта защиты
Используя для оценки Р, ту же формулу 15, гл. 1, разд. 3, по-
лучим для нее значения Рнр, Робх, Робл и Ротк данной преграды.
Р11р определяется исходя из технических данных входного
замка на двери помещения, режима работы комплекса средств
Глава 3. Метод оценки уровня безопасности информации...
261
автоматизации обработки информации, наличия системы охран-
ной сигнализации и значений ее параметров. При круглосуточ-
ном режиме работы, как правило, ограничиваются кодовым зам-
ком на двери. При перерывах в работе, когда в помещении ни-
кого не должно быть, аппаратура выключается, помещение
ставится на дистанционный централизованный контроль охран-
ной сигнализации. Поэтому рассмотрим только круглосуточный
режим работы, при котором Р будет определяться по форму-
ле (1), где число попыток подбора кода выбираем равным л = 1,
так как считаем, что в роли элементов обнаружения выступают
законные пользователи, которые согласно инструкции должны
сообщать о посторонних лицах, пытающихся проникнуть в по-
мещение.
В идеальном случае кодовый замок должен быть связан с сис-
темой охранной сигнализации, на которую должен подаваться
дежурному сигнал при несовпадении неправильно набранного
кода замка аналогично системе опознания и разграничения до-
ступа к информации (СОРДИ). Тогда расчет их Рнр должен про-
изводиться по методике расчета прочности СОРДИ, приведен-
ной выше.
Вероятность обхода преграды нарушителем Ро6х должна оце-
ниваться непосредственно на месте, т. е. путем осмотра помеще-
ния на предмет прочности стен и отсутствия посторонних лю-
ков, повреждений стен, потолка, окон.
Особое внимание следует обратить на расположение окон и
конструкцию их рам, форточек, замков, этажность помещения,
вентиляцию. Если помещение расположено на 1-м этаже, на
окнах необходимо проверить установку датчиков охранной сиг-
нализации.
Величину Робх определяем от 0 до 1 экспертным путем на ос-
нове опыта специалистов. Робх зависит также от способа хране-
ния и периодичности замены кода замка. Например, величину
Робл принимаем равной 0,5 при контроле несанкционированно-
го доступа самими пользователями. При наличии связи с ох-
ранной сигнализацией принимаем равной 0,99. Эти цифры,
разумеется, могуч быть уточнены на конкретной системе.
Величины Ро6л и Ротк для системы с кодовым замком оцени-
ваются экспертами от 0 до 1 по его конструкции и техническим
данным. А для системы, связанной с охранной сигнализацией,
Ротк и Ро6л оцениваются также с учетом и ее параметров.
262
Раздел VI. Оценка уровня безопасности информации...
Оценка прочности системы контроля вывода аппаратуры
из рабочего контура обмена информацией,
подлежащей защите
При оценке прочности системы контроля вывода аппаратуры
из рабочего контура обмена информацией во время ремонта и
профилактики входящих в комплекс средств автоматизации об-
работки информации технических средств считаем, что попытка
нарушителя, находящегося в зоне комплекса средств автоматиза-
ции обработки информации, отличной от зоны рабочего места
функционального контроля (РМФК), с которого выводится тех-
ническое средство из рабочего контура, ввести его снова в рабо-
чий контур комплекса средств автоматизации обработки инфор-
мации маловероятна. Следовательно, можно принять Рнр = 0. Но
возможность обхода этой меры у нарушителя существует из-за
ошибок оператора рабочего места функционального контроля.
Факт несанкционированного вскрытия аппаратуры и доступа к
ней обнаруживается системой контроля вскрытия аппаратуры
(СКВА) на устройстве контроля вскрытия аппаратуры, устанав-
ливаемом на автоматизированном рабочем месте службы безо-
пасности (АРМ СБ). Если на его терминал выводится информа-
ция о состоянии рабочего контура обмена информацией, разре-
шение на вскрытие аппаратуры, не выведенной из рабочего
контура, дано не будет.
Таким образом, при оценке PoGx данной преграды необходи-
мо руководствоваться уровнем автоматизации этого процесса.
Возможность скрытой блокировки данной преграды Ро6л прини-
маем равной нулю, так как для этого нужно изменить программ-
ное обеспечение, доступ к которому закрыт системой контроля
вскрытия аппаратуры (СКВА). Величиной Ротк здесь, по-видимо-
му, можно пренебречь, т. с. принять Ротк = 0, так как время и
частота функционирования этой защитной процедуры достаточ-
но малы по отношению к остальному времени функционирова-
ния комплекса средств автоматизации обработки информации.
К тому же вероятность попадания отказа именно на этот период
также мала. Поэтому Ру для табл. 1 целесообразно рассчитывать
по упрощенной формуле
Л = (1-Л,Д-
Робл принимаем равной 1, так как при попытке нарушителя
преодолеть эту преграду путем отключения данной процедуры
Глава 3. Метод оценки уровня безопасности информации...
263
он будет обнаружен наверняка оператором рабочего места функ-
ционального контроля (РМФК) или системным оператором
комплекса средств автоматизации обработки информации.
Оценка прочности средств защиты программного
обеспечения и информации на носителях
Как показала практика, наиболее уязвимыми для несанкцио-
нированного доступа являются носители программного обеспече-
ния и информации. Этому способствуют отдельная унифициро-
ванная конструкция носи гелей, относительно малые ее габарит-
ные размеры и масса, большие объемы хранимой информации,
хранение и транспортировка на них операционных систем и при-
кладных программ.
Отдельная конструкция носителя привлекает возможностью
доступа к большим объемам информации, нс требующего высо-
кой технической квалификации нарушителя, который может
просто похитить носитель. Унифицированная конструкция но-
сителя облегчает задачу подмены носителя. Малые габариты и
вес позволяют похитить носитель незаметным образом. Остатки
информации на носителях даже после обычного стирания позво-
ляют се прочитать с помощью специальной аппаратуры.
Особенностью средств защиты информации на носителях яв-
ляется необходимость учитывать (в зависимости от требований
технического задания) вероятность попадания носителя с защи-
щаемой информацией за пределы объекта защиты, где средства
обнаружения и блокировки несанкционированного доступа и,
следовательно, риск нарушителя отсутствуют. Прочность заши-
ты информации в этом случае должна возрастать и достигать та-
кой величины, когда время преодоления сс нарушителем будет
больше времени жизни информации, размешенной на носителе.
Поэтому оценка подобной ситуации должна проводиться по от-
дельному показателю.
Для защиты информации и программного обеспечения на
носителях используются организационные, аппаратные, про-
граммные и криптографические средства.
В качестве организационной меры применяются учет и реги-
страция носителей в специальном журнале, в котором регист-
рируются все носители информации. Носитель должен иметь
264
Раздел VI. Оценка уровня безопасности информации...
заводской номер, маркировку и паспорт, в котором отмечается
дата и содержание записанной информации или программного
изделия, контрольная сумма. Носитель выдается пользователю
под расписку в журнале.
Данная организационная мера служит определенного рода
преградой для нарушителя. Но эффективность ее при активной
деятельности квалифицированного нарушителя все же невысока.
Однако ее применение необходимо во всех системах, включая и
несекретные. Прочность такой преграды зависит в основном от
качеств человека, ответственного за нее. Поэтому воздержимся
от се оценки и оставим эту меру в качестве резерва.
Эффективной мерой защиты информации и программного
обеспечения на носителях является верификация. Существует
несколько способов верификации: контрольное суммирование
простое, фрагментарное, по определенному маршруту; модуль-
ный диалог и т. д. Эффективность каждого метода определяется
специалистами при конкретной реализации информационной
системы. Контрольное суммирование по определенному мар-
шруту, который хранится втайне, вполне пригодно для ответст-
венных комплексов средств автоматизации обработки информа-
ции для защиты от квалифицированного нарушителя-непрофес-
сионала.
Но верификация указанными методами защищает лишь от
подмены носителя и разрушения информации или программно-
го обеспечения неквалифицированным нарушителем. Поэтому
его с успехом можно применить для защиты программного из-
делия, которое относительно редко содержит секретную инфор-
мацию. Вероятность непреодоления этой преграды оцениваем
по формуле 15, гл. I, разд. 3, где Робх — вероятность несанк-
ционированного доступа к действительному алгоритму сумми-
рования;
р = 1 - Р
об.Л	ибн 5
РцЪк — вероятность необнаружения подмены носителя; Ротк — ве-
роятность случайного отказа системы проверки контрольной
суммы, по-видимому, должна быть близка к нулю, так как ин-
тервал времени проверки достаточно мал и попадание отказа в
этот интервал времени маловероятно. Даже если это событие
произойдет, проверку можно провести на исправной системе
позднее.
Глава 3. Метод оценки уровня безопасности информации...
265
Более эффективной преградой для нарушителя-профессио-
нала является криптографическая защита (шифрование) инфор-
мации на носителях. Прочность этой преграды рассчитывает-
ся по формуле 4, гл. 1, разд. 3, где при оценке РоЬх оценивается
способ хранения ключа дешифрования информации.
Резервирование информации и программного обеспече-
ния — организационно-техническая мера, не требующая поясне-
ний; она применяется во всех системах для защиты от потерь.
Эту меру пока в расчет не принимаем и используем также в ка-
честве резервной, но проверка ее наличия обязательна.
Для защиты от несанкционированного доступа нарушите-
ля-профессионала к остаточной информации на носителях в от-
ветственных системах применяется многократное наложение за-
писи случайной последовательности символов на остаточную
информацию. Прочность этой преграды можно считать близ-
кой к 1 при гарантированной автоматической записи по команде
«стирание», при ручной записи необходима экспертная оценка в
пределах от 0 до I. Процедура физического уничтожения носи-
теля вместе с остаточной информацией производится при отсут-
ствии технической возможности записи указанным выше мето-
дом. Прочность этой преграды оценивается специалистами при
анализе конкретного оборудования, предназначенного для унич-
тожения конкретных носителей.
Простое стирание информации на носителях пригодно лишь
для защиты от неквалифицированных нарушителей.
Оценка прочности системы контроля вскрытия
аппаратуры
Прочность системы контроля вскрытия аппаратуры оценива-
ется по формуле 15, гл. 1, разд. 3. Метод оценки описан в гл. 1,
разд. 3 при выводе этой формулы.
Оценка прочности средств защиты от побочного излучения
и наводок информации
Прочность средств зашиты от побочного излучения и наводок
информации оценивается вероятностью перехвата информации
нарушителем, находящимся вне территории объекта защиты, так
266
Раздел VI. Оценка уровня безопасности информации...
как критерием возможного перехвата является отношение «сиг-
нал-шум» на границе объекта защиты. Величину этой вероятно-
сти определяют опытные специалисты путем анализа средств за-
щиты, измерений сигнала и специальных исследований.
Оценку этой преграды можно производить также по форму-
ле 15, гл. 1, разд. 3. При этом вероятность приема сигнала за пре-
делами контролируемой зоны обозначим через Рнр. Для наруши-
теля, пытающегося попасть на контролируемую территорию, роль
преграды выполняет система охранной сигнализации по перимет-
ру этой территории и контрольно-пропускной пункт, являющие-
ся неотъемлемой составной частью защиты информации от по-
бочного электромагнитного излучения и наводок (ПЭМИН).
Оценка вероятности их возможного непреодоления наруши-
телем согласно принятой методике также оценивается по фор-
муле 15, гл. 1, разд. 3. Но по отношению к рассматриваемому
возможному каналу несанкционированного доступа (ПЭМИН)
охранная сигнализация и КПП считаются средствами перекры-
тия обходных путей несанкционированного доступа. Поэтому в
расчет прочности защиты от ПЭМИН включается
Л>бх1 = О “ Лэхр) И Люх2 = (1 “ ^кпп)*
В качестве Ротк рассматривается вероятность отказа аппарат-
ных средств защиты от ПЭМИН, применяемых на оцениваемой
информационной системе.
Оценка средств регистрации обращений к информации,
подлежащей защите
Средства регистрации обращений к информации, подлежа-
щей защите, являются достаточно эффективной мерой, которая
также требует оценки качества: исполнения программы регистра-
ции (все ли обращения регистрируются, с какими атрибутами),
вероятности ее обхода пользователем-нарушителем, возможно-
сти скрытного отключения, времени работы, безотказности.
Однако регистрация событий с отложенным обнаружением,
скорее, служит для профилактических целей и последующего
анализа прошедшей ситуации, в связи с чем эту меру целесооб-
разно считать обязательной, но вес же резервной, т. с. дубли-
рующей другие меры защиты.
Глава 3. Метод оценки уровня безопасности информации...
267
Оценка эффективности средств управления безопасности
информации в комплексе средств автоматизации
обработки информации
Средства управления защитой информации в комплексе
средств автоматизации обработки информации нс указаны в пе-
речне средств зашиты возможных каналов несанкционированно-
го доступа, но они выполняют эту функцию, являясь важной
составной частью перечисленных в табл. 1 средств защиты.
Управление обеспечивает функции контроля, обнаружения и
блокировки несанкционированного доступа, а также бесперебой-
ное функционирование аппаратных, программных и организаци-
онных средств защиты, ведение статистики и прогнозирование
событий. Все эти параметры учитываются при оценке прочности
отдельных средств защиты комплекса средств автоматизации
обработки информации. В результате оценка эффективности
средств управления защитой может проводиться лишь с качест-
венной стороны на предмет реализации защиты как единого ме-
ханизма — системы защиты информации в техническом смысле
решения задачи: технологии управления, состава аппаратных и
программных средств управления и организационных мероприя-
тий, наличия централизации контроля и управления зашитой.
Оценка степени централизации контроля и управления за-
щитой предполагает оценку степени охвата отдельных средств
зашиты средствами контроля и управления. Этот параметр опре-
деляет вероятность обхода защитных преград нарушителем, уста-
навливаемую экспертным путем. В ответственных системах все
преграды должны находиться под централизованным контролем.
Опенка эффективности средств управления безопасности ин-
формации должна даваться отдельным показателем. При этом
важную роль играет степень автоматизации контроля функцио-
нирования той или иной защитной преграды. Данный показа-
тель можно определить по отношению количества преград с ав-
томатической подачей сигнала несанкционированного доступа
на централизованное средство контроля к общему количеству
преград, используемых в системе защиты информации в ком-
плексе средств автоматизации обработки информации. Это от-
ношение можно выразить формулой
268
Раздел VI. Оценка уровня безопасности информации...
где Кл — коэффициент автоматизации; /V, — количество средств
защиты с автоматической подачей сигнала и блокировкой несанк-
ционированного доступа: N — общее количество средств защиты в
комплексе средств автоматизации обработки информации.
Такая оценка необходима для определения степени прибли-
жения полученных значений прочности защиты к действитель-
ным. Чем больше автоматизированных средств зашиты, тем
меньше экспертных оценок, достоверней результаты оценок и
выше гарантии эффективности защиты.
Оценка прочности безопасности информации в комплексе
средств автоматизации обработки информации
с различными требованиями
С учетом моделей нарушителя для систем различного назна-
чения и предъявляемых требований должны существовать раз-
личные критерии оценки достаточности мер обеспечения безо-
пасности. Рассмотренный выше метод оценки касается наиболее
ответственных систем, ориентированных на нарушителя-про-
фессионала, расположенного вне объекта защиты, т. с. которому
для выполнения несанкционированного доступа к информации
необходимо преодолеть контролируемую границу территории
объекта, систему контроля доступа в помещение объекта и т. д.
Нарушитель-пользователь уже имеет определенные полномо-
чия по санкционированному доступу к информации в соответст-
вии со своими функциональными обязанностями и задачами.
Это означает, что ему известен код пароля для прохода через сис-
тему опознания и разграничения доступа к информации, подле-
жащей защите, в обьеме, определенном таблицей полномочий,
заданных ему администратором комплекса средств автоматиза-
ции обработки информации.
Ожидаемой целью пользователя-нарушителя может стать по-
пытка выйти за пределы своих полномочий и получить доступ к
информации других пользователей комплекса средств автомати-
зации обработки информации, например он может подобрать
чужой код пароля, подсмотреть его украдкой или похитить носи-
тель и т. д., а также выйти на секретную информацию методом
массированных специально составленных запросов с целью ис-
пользования возможных программных ошибок или сбоев аппа-
Глава 3. Метод оценки уровня безопасности информации...
269
ратуры. Это говорит о необходимости применения аппаратуры и
программного обеспечения с высокой надежностью.
Пользователь может воспользоваться и другими возможно-
стями, например снять лишнюю копию информации, подменить
носитель и т. д. Тем не менее успех в попытках нарушителя зави-
сит от уровня прочности средств защиты перечисленных ранее
возможных каналов несанкционированного доступа, который
оценивается указанными выше методами для конкретной инфор-
мационной системы. В число возможных нарушителей включа-
ются также лица из технического и петехнического обслуживаю-
щего персонала. Уровень эффективности средств защиты в по-
добного рода ситуациях в первую очередь определяется уровнем
организации и выполнения требований по разграничению досту-
па. Для более строгой оценки можно проанализировать возмож-
ности несанкционированного доступа с позиций каждого лица,
обслуживающего и работающего с комплексом средств автомати-
зации обработки информации, по приведенным выше методи-
кам, что может оказать влияние на уточнение его полномочий и
совершенствование организационных защитных мероприятий.
Оценка прочности зашиты информации от квалифицирован-
ного нарушителя-непрофессионала предполагает исключение
некоторых возможных каналов несанкционированного доступа
из таблицы оценки, например побочное электромагнитное излу-
чение и наводки, а также остатки информации на магнитных
носителях после стирания.
При оценке зашиты системы от неквалифицированного на-
рушителя можно из числа возможных каналов несанкциониро-
ванного доступа исключить ремонтируемую аппаратуру, средства
загрузки программного обеспечения, мусорную корзину, а также
упростить требования к средствам защиты информации и про-
граммного обеспечения на носителях, ограничиваясь учетом и
регистрацией информации и носителей, резервированием ин-
формации.
Выводы и предложения
Таким образом, уровень требуемой безопасности комплекса
средств автоматизации обработки информации может быть
определен в первом приближении одним из четырех классов.
Эти уровни подобно уже существующим методам определяются
270
Раздел VI. Оценка уровня безопасности информации...
сначала выбранным числом возможных каналов несанкциони-
рованного доступа и соответствующим набором средств защи-
ты. Однако простое наличие последних еще нс гарантирует до-
статочный уровень защиты. Например, даже такая эффективная
зашита, как шифрование, может оказаться слабым средством,
если применен не тот метод криптографического преобразова-
ния или выбран легко угадываемый код ключа или пароля.
Определение числовых значений прочности защиты покажет
результаты, близкие к действительным. Достаточность уровня
прочности защиты для конкретного комплекса средств автома-
тизации обработки информации будет определяться величиной,
указанной в техническом задании.
Величина уровня прочности защиты, вводимая в техниче-
ское задание, может задаваться после накопления определенного
опыта по анализу и оценке прочности по предлагаемому методу
как отдельных средств защиты, так и комплекса средств автома-
тизации обработки информации в целом. Примерная формули-
ровка требований по защите информации от преднамеренного
несанкционированного доступа может быть такой: комплекс
средств автоматизации изделия должен обеспечивать возмож-
ность чащиты информации от преднамеренного несанкционирован-
ного доступа по 1 классу с прочностью защиты не ниже 0,98 Воз-
можно окажется удобней понятие риска или вероятности успеха
нарушителя, величина которой будет равна
Р =(1 - Р ).
НСД X	сзи/
В нашем примере РНС1 = 0,02.
Для оценки сложных комплексов средств автоматизации об-
работки информации необходимо учитывать перестраховку —
принятую нами ранее наиболее «опасную» модель поведения на-
рушителя, а также относительно большой риск нарушителя (в 98
случаях из 100) быть пойманным. При этом следует отмстить су-
щественную разницу в величинах вероятности успеха нарушите-
лей в двух случаях: когда должна работать система обнаружения
и блокировки несанкционированного доступа (информация со-
храняет свою цену постоянно) и не должна (информация со вре-
менем теряет свою цену). В первом случае нарушитель рискует,
а во втором — нет.
Для полной оценки безопасности информации от несанк-
ционированного доступа в комплексе средств автоматизации об-
Глава 3. Метод оценки уровня безопасности информации...
271
работки информации, следуя предлагаемой концепции зашиты,
необходимо также иметь в виду оценку вероятности несанкцио-
нированного доступа от случайных воздействий, а также сочета-
ние преднамеренных несанкционированных действий со случай-
ными отказами, сбоями системы обработки информации. Об-
щий подход к решению этого вопроса заключается в оценке
вероятности появления из всего потока возможных случайных
ошибок, таких, которые на выбранном интервале времени рабо-
ты комплекса средств автоматизации обработки информации
приводят к модификации, утрате или утечке информации. В свя-
зи с тем, что эта задача требует отдельных исследований (в гл. 12
намечено лишь направление решения этой проблемы), целесо-
образно ограничиться пока только данными по оценке достовер-
ности всего потока информации существующими методами.
В эту оценку необходимо включать группу показателей, напри-
мер оценку вероятности следующих случайных событий:
•	вывода на посторонние устройства действительных значе-
ний кодов паролей;
•	вывода секретной информации при вводе неправильного
пароля;
•	вывода информации на устройство, для нее нс предназна-
ченное;
•	формирования несанкционированных команд и сообщений.
Оценку' зашиты от сочетания преднамеренных и случайных
воздействий можно проводить по наличию и качеству исполне-
ния и функционирования программы учета, регистрации и бло-
кировки передачи повторных команд и сообщений, вводимых
пользователем. В случае превышения количества допустимых
повторов данная программа должна блокировать сообщения,
формировать и передавать на терминал службы безопасности
информации информацию о факте, месте и времени несанкцио-
нированного доступа. Данная программа одновременно выпол-
няет и задачу защиты ресурсов информационного комплекса,
которые при интенсивной преднамеренной загрузке могут быть
заняты обработкой несанкционированных запросов или команд,
что в свою очередь может привести к снижению производитель-
ности комплекса средств автоматизации обработки информации,
вплоть до блокировки его функционирования.
Особого внимания заслуживает зашита информации и
средств се обработки от программных вирусов. С одной сторо-
ны, это специально разработанные человеком программы-вреди-
272
Раздел VI. Оценка уровня безопасности информации...
тел и, которые можно отнести к разряду преднамеренного не-
санкционированного доступа, а с другой — факт попадания этих
программ в комплекс средств автоматизации обработки инфор-
мации может быть событием случайного характера. Ввиду осо-
бой специфики вопроса защиты от программных вирусов, свя-
занных с появлением и большим распространением персональ-
ных компьютеров, он рассмотрен отдельно ниже.
В итоге оценка защищенности информации от несанкциони-
рованного доступа в комплексе средств автоматизации обработки
информации может складываться из группы показателей, учиты-
вающих физическую природу, условия воздействия и системный
подход к безопасности информации и определяющих ее уровень.
Такими показателями могут служить уровни безопасности:
•	от преднамеренного несанкционированного доступа;
•	случайных воздействий;
•	сочетания случайных и преднамеренных несанкциониро-
ванных воздействий;
•	программных вирусов.
Уровень безопасности информации от преднамеренного несанк-
ционированного доступа в комплексе средств автоматизации обра-
ботки информации определяется двумя показателями:
•	прочностью защиты информации на контролируемых кана-
лах несанкционированного доступа к информации данного
комплекса средств автоматизации обработки информации;
•	прочностью защиты информации на неконтролируемых ка-
налах несанкционированного доступа к информации данного
комплекса средств автоматизации обработки информации.
Данное количество показателей определено различными
условиями пребывания информации и риском нарушителя. Они
будут резко отличаться между собой уровнем достаточности.
Уровень безопасности информации от случайных воздействий
можно определить пока группой следующих показателей:
•	временем обнаружения и локализации отказов аппаратуры
с точностью до съемного элемента;
•	полнотой контроля функционирования комплекса средств
автоматизации обработки информации;
•	достоверностью контроля функционирования комплекса
средств автоматизации обработки информации.
Приведенные методики оценки средств защиты, особенно в
отношении оценки путей обхода, нс претендуют на полноту. Их
задача — представить методологию подхода и подготовить базу
Глава 4. Метод оценки уровня безопасности информации...
273
для разработки нормативных документов, позволяющих по еди-
ным методикам получать гарантированные качественные и ко-
личественные показатели уровня безопасности информации в
создаваемой информационной системе.
Глава 4
МЕТОД ОЦЕНКИ УРОВНЯ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СЕТЯХ
И В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ
Согласно принципиальному подходу к оценке защиты, при-
веденному в гл. 2, разд. 3, и концепции защиты, описанной в
гл. 1, разд. 3, рассмотрим возможные каналы несанкциониро-
ванного доступа в информационной сети и автоматизированной
системе управления, характерные для нарушителя-профессиона-
ла, и соответствующие им средства защиты, приведенные в гла-
вах выше. Возьмем перечень возможных каналов несанкциони-
рованного доступа, представленный в описании концепции за-
щиты в информационных сетях и автоматизированной системе
управления, и разместим его с соответствующими средствами за-
щиты (табл. 1). При этом полагаем целесообразным для инфор-
мационной сети и автоматизированной системы управления
оценку уровня защищенности информации в будущем прово-
дить только для двух классов нарушителей: первого и второго.
Количество возможных каналов несанкционированного доступа
на уровне сети и автоматизированной системы управления для
обоих классов одинаковое, а уровень безопасности информации
будет определяться количественными показателями уровней
прочности средств защиты, примененных в конкретной системе
на элементах сети (в автоматизированной системе управления),
и выполнением требований по обеспечению безопасности ин-
формации в каналах связи, приведенных в разд. 3.
По-прежнему считаем предметом защиты информацию, цир-
кулирующую в сети (или автоматизированной системе управле-
ния), как нечто целое, т. е. фактом несанкционированного до-
ступа считаем попытку несанкционированного доступа хотя бы
на одном из сс элементов, канале связи или на тракте передачи
информации.
274
Раздел VI. Оценка уровня безопасности информации...
Таблица 1. Возможные каналы несанкционированного доступа к информации сети
(или автоматизированной системы управления) и распределение средств зашиты
к п/п	Наименование возможного канала несанкционированного доступа	Средство защиты	Уровень безопасности
1	ВКНСД КСА — элемента сети (АСУ)	Система безопасности информации КСА —ЭС (АСУ)	^ЭС1 (^ЭАСу)
2	Средства управления конфигура- цией сети (АСУ)	Система опознания и разграничения доступа к информации СПД (АСУ)	Ру
3	Средства управления структур- но-адресными таблицами сети (АСУ)	То же	р,
4	Средства управления полномо- чиями элементов сети (АСУ)		Pl
5	Средства управления полномо- чиями пользователей сети (АСУ)	»	Pl
6	Средства управления функцио- нальным контролем сети (АСУ)	»	Pl
7	Каналы связи	Система защиты информации в каналах связи	Ркс
8	Тракты передачи данных	Система защиты информации в трактах передачи данных	ртд
9	Средства управления безопасно- стью информации в сети (АСУ)	Система безопасности информации управляющего КСА — ЭС (АСУ)	^ЭС2 (^ЭАСу)
Примечание. (^ЭАСу) включает группу показателей КСА — элемен-
та сети (АСУ).
Значения уровней безопасности или прочности защиты эле-
ментов сети (или автоматизированной системы управления) бе-
рем готовыми, рассчитанными для каждого элемента по методи-
ке опенки прочности зашиты информации в комплексе средств
автоматизации обработки информации, рассмотренной в разд. 3.
Независимо от того, входили или нс входили в комплекс средств
автоматизации обработки информации элемента сети (или авто-
матизированной системы управления) средства управления, пе-
речисленные в табл. 1, необходимо дать оценку прочности их
средствам защиты от несанкционированного доступа в рамках
информационной сети (или автоматизированной системы управ-
ления).
Так как предполагается идентификаторы объектов передавать
в открытом виде и защищать их кодом цифровой подписи, оцен-
ка прочности системы контроля и разграничения доступа к ин-
Глава 4. Метод оценки уровня безопасности информации...
275
формации сети (или автоматизированной системы управления)
производится по формуле 15, гл. 1, разд. 3 на основе методики
оценки стойкости к компрометации шифрования информации с
открытым ключом. По ней оценивается время, затрачиваемое
потенциальным нарушителем на преодоление этой зашиты.
Оценка средств защиты в каналах связи и в трактах передачи
данных может определяться по формуле 15, гл. 1, разд. 3 с учетом
криптографического преобразования (шифрования) информа-
ции, примененного в данной информационной сети (или авто-
матизированной системе управления), где при оценке Робх рас-
сматриваются способы хранения и передачи ключей дешифрова-
ния, а также выбранный метод шифрования и уровень развития
криптоанализа на момент оценки. При этом необходимо проана-
лизировать выполнение требований по безопасности информа-
ции, приведенных в разд. 3, на соответствие заданному классу
потенциального нарушителя.
После того как проведена оценка отдельных средств защиты
по каждому возможному каналу несанкционированного доступа,
возможна интегральная количественная и качественная оценка
уровня безопасности информации в информационной сети (или
автоматизированной системе управления) в целом.
Сведение всех параметров защиты в данном случае к одному
показателю так же, как и в комплексе средств автоматизации об-
работки информации, по-видимому, не представляется возмож-
ным, так как и здесь результат решения задачи зависит каждый
раз от первоначальных условий: модели поведения нарушителя и
условий его «работы». Как было упомянуто выше, рассматрива-
ем квалификацию нарушителей двух классов: I — профессионала
и II — непрофессионала. Класс нарушителя должен задаваться в
техническом задании на систему. Результаты оценки уровня
безопасности информации при этом для разных систем могут
даже приближаться друг к другу в количественном выражении.
Но фактически результат оценки, полученный для нарушителя I
класса, разумеется, должен считаться выше результата, получен-
ного для нарушителя II класса.
Условия же «работы» нарушителя, связанные с наличием и
отсутствием его риска, принципиально влияют на конечный ре-
зультат оценки, присутствуют в любой системе и должны быть
рассмотрены каждый в отдельности. Поэтому предлагается для
оценки уровня безопасности информации в информационных
сетях применять группу показателей, приведенных в табл. 1.
276
Раздел VI. Оценка уровня безопасности информации...
В показатель оценки уровня безопасности информации в сети
включается группа показателей защиты информации элемента
сети с наименьшими значениями (наиболее слабого звена защи-
ты информации в сети). Отдельными показателями целесообраз-
но представить группу показателей комплекса средств автомати-
зации обработки информации — элемента сети, в состав которо-
го входят средства управления безопасностью информации в
сети (или автоматизированной системы управления) как наибо-
лее важного элемента защиты. При этом класс нарушителя в
элементе сети и на сетевом уровне должен быть задан на одном
уровне. Если по каким-либо причинам класс зашиты одного из
элементов сети оказался ниже требований сетевого уровня, по-
казатели этого уровня безопасности должны быть рассчитаны
заново в соответствии с сетевыми требованиями. Если в резуль-
тате нового расчета уровень безопасности информации элемента
сети все же нс удовлетворяет требованиям к информационной
сети, прочность его защиты увеличивается.
Уровень безопасности информации на элементах автомати-
зированной системы управления может быть ниже уровня безо-
пасности сс в сети, если это оправдано экономически и отвечает
заданным требованиям к безопасности информации, обрабаты-
ваемой в системе.
Все вышеизложенное касалось защиты информации и
средств ее обработки от преднамеренного несанкционированно-
го доступа в информационной сети и/или автоматизированной
системе управления, построенной на их базе. Особенностью
оценки уровня безопасности информации в системе при этом
является расчет отдельных показателей для информационной
сети как средства передачи информации и данных и для средств
обработки информации в автоматизированной системе управле-
ния на абонентском уровне, так как информация абонентов
и/или информационной сети должна быть недоступна для тех-
нического персонала сети, и системные отношения на абонент-
ском уровне отличаются от системных отношений в сети переда-
чи информации и данных. Опенку уровня безопасности инфор-
мации в информационной системе и/или в автоматизированной
системе управления в целом целесообразно производить по сле-
дующим показателям:
САСУ — группа показателей автоматизированной системы
управления, приведенная в табл. 1, за исключением Ркс;
Глава 4. Метод оценки уровня безопасности информации...
277
(7СПИ — группа показателей системы передачи информации,
приведенная в табл. 1, за исключением /уД.
При этом в группу показателей (7ЭАСУ включается группа по-
казателей автоматизированной системы управления с наимень-
шими значениями после сравнения между собой групп показате-
лей каждого из элементов АСУ. Под элементом АСУ понимается
комплекс средств автоматизации обработки информации, входя-
щий в ее состав. Но скорей всего в региональных и глобальных
АСУ требования к уровню безопасности информации верхнего
объекта управления будут выше тех же требований к нижестоя-
щим объектам. Тогда потребуется указать значения показателей
безопасности для каждого комплекса средств автоматизации об-
работки информации автоматизированной системы управления
или группы КСА с одинаковыми требованиями.
Для полноты картины необходимо провести анализ и опенку
уровня безопасности информации в информационной сети при
ее защите от случайных воздействий, а также от их сочетания с
преднамеренными воздействиями. Для этого целесообразно вос-
пользоваться известными методами повышения достоверности
информации и дать оценку вероятности трансформации сообще-
ния, передаваемого от одного пользователя информационной
сети к другому на всех возможных трактах передачи данных. Ко-
нечным результатом оценки уровня безопасности информации
должно стать наибольшее ее значение. Для проведения оценки
защиты от сочетания преднамеренных и случайных воздействий
необходимо проверить в системе опознания и разграничения
доступа наличие механизма обнаружения, учета и регистрации
многократных повторных неправильных обращений к ней со
стороны пользователей информационной сети. Качественная
сторона этого механизма оценивается экспертным методом на
основе опыта специалистов.
В конечном итоге для оценки уровня безопасности инфор-
мации в информационной сети можно предложить следующую
группу показателей:
(7ЭС — группа показателей уровня безопасности информации
элемента сети (комплекса средств автоматизации обработки ин-
формации) с наименьшими значениями;
G’gcy — группа показателей уровня безопасности информа-
ции элемента сети (комплекса средств автоматизации обработки
278
Раздел VI. Оценка уровня безопасности информации...
информации), включающего средства управления безопасностью
информации в сети;
Р} — вероятность непреодоления нарушителем системы вво-
да и контроля полномочий в сети;
Ркс — вероятность непреодоления нарушителем системы за-
щиты информации в каналах связи сети;
Ртдс — вероятность непреодоления нарушителем системы за-
щиты информации в трактах передачи данных, если таковая
предусмотрена в сети;
Р — вероятность трансформации информации от случайных
воздействий при сс передаче от пользователя к пользователю;
Риб„ — вероятность обнаружения и блокировки многократ-
ных повторных незаконных обращений пользователей к сети.
Контрольные вопросы
1.	Как оценивается защищенность информации в информационных системах?
2.	Как оценивается прочность системы опознания и разграничения доступа к
информации в информационных системах?
3.	Каким образом оценивается прочность системы разграничения и контроля
доступа в помещения объекта защиты?
4.	Каким образом оценивается прочность системы контроля вывода аппаратуры
из рабочего контура обмена информацией, подлежащей защите?
5.	Как оценивается прочность средств защиты программного обеспечения и ин-
формации на носителях?
6.	Каким образом оценивается прочность системы контроля вскрытия аппарату-
ры в информационных системах?
7.	Каким образом оценивается прочность средств защиты от побочного излуче-
ния и наводок информации?
8.	Как оцениваются средства регистрации обращений к информации, подлежа-
щей защите?
9.	Каким образом оценивается эффективность средств управления безопас-
ностью информации в комплексе средств автоматизации обработки инфор-
мации?
10.	Каким образом оценивается прочность безопасности информации в ком-
плексе средств автоматизации обработки информации с различными требо-
ваниями?
Раздел VII
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ В ПЕРСОНАЛЬНЫХ
КОМПЬЮТЕРАХ И ЛОКАЛЬНЫХ СЕТЯХ
Глава 1
БЕЗОПАСНОСТЬ ИНФОРМАЦИИ В ПЕРСОНАЛЬНЫХ
КОМПЬЮТЕРАХ
Персональные компьютеры
как объект защиты
Отличительные особенности персональных компьютеров —
настольной универсальной машины индивидуального приме-
нения:
•	компактность и экономичность, обеспечивающие массовое
применение в различных сферах профессиональной дея-
тельности и в быту;
•	операционные системы, предоставляющие пользователю
простые и удобные средства доступа к ресурсам персо-
нальных компьютеров и средства управления выполнением
задач;
•	диалоговые языки программирования высокого уровня,
позволяющие проектировать интерактивные процедуры об-
работки данных;
•	телекоммуникационные средства, обеспечивающие под-
ключение персональных компьютеров к локальным и гло-
бальным сетям.
280
Раздел VII. Обеспечение безопасности информации в ПК...
Типовой состав устройств персональных компьютеров:
•	системный блок обработки и управления;
-	средства взаимодействия пользователей с системным блоком;
•	средства долговременного хранения и накопления данных;
•	средства подключения к каналам связи;
•	устройства ввода-вы вода.
Системный блок, включающий центральный процессор, ос-
новную память (ОЗУ и ПЗУ), контроллеры и адаптер канала
связи, аппаратный интерфейс внешних устройств, строится на
основе микропроцессорных комплектов БИС, БИС ОЗУ и ПЗУ.
Оперативное запоминающее устройство персональных ком-
пьютеров является энергозависимым запоминающим устройст-
вом, у которого информация разрушается при отключении пита-
ния. Информация, размещаемая в постоянном запоминающем
устройстве, записывается при изготовлении персональных ком-
пьютеров или их системных плат и чаще всего не изменяется в
течение всего периода ее эксплуатации. В постоянном запоми-
нающем устройстве обычно размещаются системные програм-
мы, обеспечивающие подготовку персональных компьютеров к
работе после включения питания, т. е. инициализацию (приведе-
ние в исходное состояние функциональных модулей), тестирова-
ние (проверка работоспособности функциональных модулей) и
загрузку операционной системы.
Средства взаимодействия пользователей с системным блоком
обработки и управления включают клавиатурное устройство, пе-
чатающее устройство (принтер), устройство отображения инфор-
мации на электронно-лучевую трубку, жидкокристаллическую
или газоразрядную матрицу (дисплей). Кроме того, в качестве
устройств ввода-вывода информации, подключаемых к систем-
ному блоку, используются:
•	манипулятор «мышь»;
•	плоттер — устройство для вывода рисунков и другой гра-
фической информации;
•	графопостроитель — устройство для вывода чертежей на
бумагу;
•	сканер — устройство для считывания графической и тек-
стовой информации в компьютер;
•	стриммер — устройство для резервного сохранения инфор-
мации, находящейся на жестком диске. Стриммер записы-
вает информацию на кассеты с магнитной лентой;
•	и другие.
Глава 1. Безопасность информации в персональных компьютерах
281
Средства долговременного хранения и накопления данных
(внешние запоминающие устройства) обеспечивают запись и
чтение больших массивов информации (файлы с данными, тек-
сты программ на языках высокого уровня, программы в машин-
ных кодах и т. д.). В качестве внешних запоминающих устройств
в персональных компьютерах в основном используются накопи-
тели на жестких магнитных дисках типа «винчестер», оптические
диски, носители на флэш-тсхнологиях и все реже накопители на
гибких магнитных дисках.
Носимые накопители позволяют переносить документы и
программы с одного компьютера на другой, хранить информа-
цию, нс используемую постоянно, делать архивные копии ин-
формации, содержащейся на жестком диске. Номенклатура дан-
ных носителей в данное время разнообразна как по емкости на-
копителя, так и по быстродействию.
Накопители на жестком диске (винчестеры) предназначены
для постоянного хранения информации, используемой при ра-
боте с компьютером: программ операционной системы, редак-
торов документов, трансляторов с языков программирования
и т. д. Программное обеспечение персональных компьютеров
включает операционную систему, системы программирования,
прикладные программы самого разного направления профес-
сиональной деятельности. Основой программного обеспечения
является операционная система, с помощью которой достигает-
ся взаимодействие пользователя с аппаратными средствами пер-
сональных компьютеров.
Системы программирования служат инструментальным
средством, с помощью которого пользователи создают програм-
мы решения задач на персональных компьютерах. Система
программирования включает в свой состав средства написания
программ, преобразования их к виду, пригодному для выполне-
ния на персональных компьютерах, контроля и отладки про-
грамм.
В современных персональных компьютерах распростране-
ны и фактически получили статус стандартов операционные
системы типа MS Windows (несколько клонов), UNIX, Linux.
Другие операционные системы, по существу, являются функ-
циональными аналогами перечисленных выше операционных
систем.
Наиболее распространенная операционная система MS Win-
dows состоит из следующих частей.
282
Раздел VII. Обеспечение безопасности информации в ПК...
Базовая система ввода-вывода (BIOS), находящаяся в по-
стоянном запоминающем устройстве. Эта часть определяется
производителем системных плат персональных компьютеров и
разработчикам версий операционных систем остается только
обеспечить совместимость операционной системы с номенкла-
турой базовых систем ввода-вывода. Назначение базовой сис-
темы ввода-вывода состоит в выполнении наиболее простых и
универсальных услуг операционной системы, связанных с осу-
ществлением ввода-вы вода. BIOS содержит также тест функ-
ционирования, проверяющий работу памяти и устройств ком-
пьютера при включении электропитания. Кроме того, BIOS
включает в себя программу вызова загрузчика операционной
системы.
Загрузчик операционной системы — это короткая програм-
ма, находящаяся в первом секторе каждого системного диска.
Функция этой программы заключается в считывании в память
остальных модулей операционной системы, которые и заверша-
ют процесс загрузки.
Дисковые файлы 10.SYS и W1ND0W.SYS (они могут назы-
ваться и по-другому в зависимости от вида и версии операцион-
ной системы) загружаются в память загрузчиком операционной
системы и остаются в памяти компьютера постоянно. Файл
IO.SYS представляет собой дополнение к BIOS. Файл WIN-
DOW. SYS реализует основные высокоуровневые услуги операци-
онной системы.
Командный процессор MS Windows обрабатывает команды,
вводимые пользователем. Командный процессор находится в
дисковом файле COMMAND.COM на диске, с которого загру-
жается операционная система.
Внешние команды MS Windows — программы, поставляемые
вместе с операционной системой в виде отдельных файлов. —
выполняют действия обслуживающего характера.
Драйверы устройств — это специальные программы, которые
дополняют систему ввода-вывода MS Windows и обеспечивают
обслуживание новых устройств или нестандартное использова-
ние имеющихся устройств. Драйверы загружаются в память ком-
пьютера при загрузке операционной системы или при необходи-
мости из подключаемых библиотек, их имена указываются в
специальном файле CONFIG.SYS. Такая схема облегчает добав-
ление новых устройств и позволяет делать это, нс затрагивая
системные файлы MS Windows.
Глава 1. Безопасность информации в персональных компьютерах
283
Доступ к основным загрузочным и текущим настройкам опе-
рационной системы MS Windows осуществляется через файл
MSCONFIG с графическим интерфейсом, приведенным на рис. 1.
Рис. 1. Интерфейс файла MSCONFIG
Персональный компьютер по составу аппаратных и про-
граммных средств, а также по принятой классификации можно
отнести к разряду малогабаритных комплексов средств автома-
тизации, поэтому на них можно распространить тот же подход.
С позиций защиты информации персональный компьютер как
автономная система имеет такой же состав типовых средств вво-
да-вывода, обработки и хранения информации, как и комплекс
средств автоматизации, описанный в разделах выше.
Особенностью персонального компьютера с позиций защиты
являются его конструкция, программные средства и стоимость.
Его конструкция рассчитана на работу в одно время только
одного пользователя. Масса и габаритные размеры этой вычис-
лительной системы таковы, что ее можно разместить в неболь-
шом металлическом шкафу. Благодаря своему назначению,
стоимости и конструкции персональный компьютер может ис-
пользоваться только одним пользователем. А сокращение коли-
чества пользователей уменьшает и количество потенциальных
нарушителей.
284
Раздел VII. Обеспечение безопасности информации в ПК...
Программное обеспечение персональных компьютеров дает
возможность изменять и разрабатывать практически любые про-
граммы, что является одновременно и большим достоинством
системы, и недостатком с позиций зашиты обрабатываемой на
ней информации. Здесь два требования вступают в противоречие.
Во-первых, персональный компьютер отличается полной
доступностью всех ресурсов машины, например, адресуется вся
оперативная память, включая области, используемые системой
(кроме защищенного режима). Пользователь может свободно
обращаться к любой ячейке памяти и изменять ее содержимое.
Конечно, многие программные продукты, используемые на пер-
сональных компьютерах, включают в себя отдельные средства
зашиты, однако отсутствие как базового набора средств гаран-
тированного обеспечения безопасности информации, так и сис-
тематической политики значительно снижают эффективность
использования отдельных, не связанных друг с другом средств
защиты.
Во-вторых, один персональный компьютер может работать в
многопользовательском режиме, а также широко применяться в
вычислительных и информационных сетях различного масштаба
и в круглосуточном режиме, что повышает уязвимость обрабаты-
ваемой информации и делает проблему ее безопасности в персо-
нальных компьютерах весьма актуальной. В силу данных обстоя-
тельств защита информации в персональных компьютерах имеет
свои особенности, что служит основанием для рассмотрения ее в
отдельном разделе.
Потенциальные угрозы информации, обрабатываемой
в персональных компьютерах
Потенциальные угрозы информации в персональных компь-
ютерах так же, как и в больших комплексах средств автоматиза-
ции обработки информации и управления, выражаются в виде
случайных и преднамеренных воздействий, а также их сочетаний.
Методы и средства борьбы с ними, применимые для больших
комплексов (см. раздел 2), используются и для персональных
компьютеров. Особый случай составляют программные вирусы,
природа рождения которых имеет преднамеренный характер, а
попадание в конкретный компьютер — случайный. Однако этот
Глава 1. Безопасность информации в персональных компьютерах
285
процесс нельзя описать обычными методами для случайных про-
цессов, поэтому целесообразно защиту от вирусов строить, как
для преднамеренных воздействий, исходя из наихудшего (опас-
ного) случая: любой вирус может появиться в любое время.
Возможные каналы преднамеренного несанкционированного
доступа к информации в персональных компьютерах зависят от
условий его эксплуатации: используется ли персональный ком-
пьютер одним пользователем или группой. В первом случае по-
требуется защита только от постороннего человека, во втором —
от любого из пользователей, работающих на одном персональ-
ном компьютере.
При отсутствии средств защиты в случае, когда на персо-
нальном компьютере работает один пользователь, возможны
следующие каналы несанкционированного доступа:
•	рабочая станция (терминал) пользователя (клавиатура и
средство отображения информации);
•	средство документирования информации;
•	средство загрузки программного обеспечения;
•	носители информации (машинные и бумажные);
•	внутренний монтаж персональных компьютеров;
•	побочное электромагнитное излучение;
•	побочные наводки информации по сети электропитания и
заземления аппаратуры;
•	побочные наводки на цепях посторонней аппаратуры;
•	отходы, брошенные в мусорную корзину.
Потенциальные угрозы безопасности информации в персо-
нальных компьютерах и возможные каналы несанкционирован-
ного доступа к ней иллюстрируются рис. 2.
Имея доступ к клавиатуре персонального компьютера, нару-
шитель может считать, снять копию, ввести несанкционирован-
ную информацию, похитить или модифицировать ее и про-
граммное обеспечение, включая ввод компьютерного вируса.
Наблюдая за информацией на экране дисплея и распечаткой
на принтере, нарушитель может ознакомиться с обрабатываемой
информацией. Владея средствами загрузки (клавиатурой и соб-
ственным внешним носителем), нарушитель может модифици-
ровать программное обеспечение и ввести компьютерный вирус.
Несанкционированный доступ к носителям информации может
выразиться в подмене, хищении, снятии копии программ и ин-
формации, что может привести к их модификации, утечке и раз-
рушению. На сданных в ремонт или переданных для других не-
286
Раздел VII. Обеспечение безопасности информации в ПК...
Потенциальные
yi розы
Возможные каналы
несанкционированного
доступа
I ^санкционированное	। ' । ।	Дисплей, принтер,
наблюдение	।. 1	1	плоттер,
информации	1 .	графопостроител ь
I доступ к информации f—i
другого пользователя
Клавиатура, сканер.
< • мышь, цифровые фото-
и видеокамеры
Снятие неучтенной копии	1 J..........I 1 1		1 1 ---г 1	Дисководы	
Несанкционированный вход в персональный ' компьютер	1 1		1 1 1.	USB-внешние носители,	
	1		—г* 1	дискеты, стриммеры	
	1 1		1 1 1		
Хищение USB- носителей, дискет, лазерных дисков, носителей стриммеров	1 *1	 1 1 1		1 1 1 1 1 1	Встроенные носители информации (магнитные жесткие диски (винчестеры))	
Ввод
несанкционированных । н*
программ
Внутренний монтаж	
Запись информации на
неучтенный носитель
। । । 1	Программное обеспечение	
Изменение схемы
персонального
компьютера и вставка < *
постороннего
устройства
Побочное
электромагнитное
излучение и наводки
информации
Прием информации
на спецаппаратуру
Ремонт жестких дисков
(винчестеров)
Чтение остатков
информации
Отходы носителей
информации
Рис. 2. Возможные каналы несанкционированного доступа к информации персо-
нальных компьютеров и потенциальные угрозы
Глава 1. Безопасность информации в персональных компьютерах
287
лей машинных носителях может быть прочитана остаточная ин-
формация, даже если она была удалена. Несанкционированный
доступ к внутреннему монтажу может привести к подмене узлов,
вводу сложной неисправности или установке постороннего уст-
ройства — передатчика информации по радиоканалу (закладки).
Побочные электромагнитные излучения и наводки, несущие ин-
формацию, могут приниматься и декодироваться на специаль-
ных высокочувствительных приемниках, находящихся на значи-
тельном расстоянии от работающего персонального компьютера.
Перечисленные возможные каналы несанкционированного
доступа имеют место независимо от присутствия или отсутствия
штатного пользователя, так как мы вначале условились, что
средства защиты, включая организационные, отсутствуют, и не-
санкционированным действиям нарушителя ничто и никто не
препятствует, т. с. исходя из принятой в концепции защиты мо-
дели нарушителя, мы рассматриваем наиболее опасный случай.
Нарушитель воспользуется наиболее удобным для него в данный
момент времени каналом.
При эксплуатации персональных компьютеров несколькими
пользователями и наличии возможного среди них нарушителя
опасность несанкционированного доступа возрастает, так как
каждый из них имеет законный доступ к средствам загрузки,
ввода-вывода информации, и установить факт несанкциониро-
ванного доступа и истинного нарушителя будет очень трудно,
особенно в случаях модификации и утечки информации, а также
преднамеренного ввода компьютерного вируса, активная дея-
тельность которого обычно начинается с задержкой во времени,
величина которой неизвестна.
Система защиты информации от несанкционированного
доступа (НСД) в персональных компьютерах
Наиболее простой и надежный способ зашиты информации
от несанкционированного доступа — режим автономного ис-
пользования персонального компьютера одним пользователем,
работающим в отдельном помещении при отсутствии посторон-
них лиц, без доступа в сети (конечно же, это самая идеальная
ситуация). В этом случае роль замкнутого контура защиты вы-
полняют помещение, его стены, потолок, пол и окна. Если сте-
288
Раздел VII. Обеспечение безопасности информации в ПК...
ны, потолок, пол и дверь достаточно прочны, пол не имеет лю-
ков, сообщающихся с другими помещениями, окна и дверь обо-
рудованы охранной сигнализацией, то прочность защиты будет
определяться техническими характеристиками охранной сигна-
лизации при отсутствии пользователя (персональный компьютер
не включен) в нерабочее время.
В рабочее время, когда персональный компьютер включен,
возможна утечка информации за счет се побочного электромаг-
нитного излучения и наводок. Для устранения такой опасности,
если это необходимо, проводятся соответствующие технические
мероприятия по уменьшению или зашумлению сигнала (см. раз-
дел 2). Кроме того, дверь помещения для исключения доступа
посторонних лиц должна быть оборудована механическим или
электромеханическим замком. В некоторых случаях, когда в по-
мещении нет охранной сигнализации, на период длительного
отсутствия пользователя персональный компьютер полезно по-
мещать в сейф, по крайней мере хотя бы ее системный блок и
носители информации.
Применение в некоторых персональных компьютерах в сис-
теме ввода-вывода BIOS встроенного аппаратного пароля, бло-
кирующего загрузку и работу персонального компьютера, к со-
жалению, не спасает положения, так как данная аппаратная
часть при отсутствии на корпусе системного блока замка и от-
сутствии хозяина может быть свободно заменена на другую —
такую же (так как узлы унифицированы), но только с известным
значением пароля. Обычный механический замок, блокирую-
щий включение и загрузку персонального компьютера — более
эффективная в этом случае мера.
В последнее время для защиты от хищения специалисты ре-
комендуют механически закреплять персональный компьютер к
столу пользователя. Однако при этом следует помнить, что при
отсутствии охранной сигнализации, обеспечивающей постоян-
ный контроль доступа в помещение или к сейфу, прочность зам-
ков и креплений должна быть такова, чтобы ожидаемое суммар-
ное время, необходимое нарушителю для преодоления такого
рода препятствий или обхода их, превышало время отсутствия
пользователя персонального компьютера. Если это сделать нс
удается, то охранная сигнализация обязательна. Тем самым бу-
дет соблюдаться основной принцип срабатывания защиты и,
следовательно, будут выполняться требования по се эффектив-
ности.
Глава 1. Безопасность информации в персональных компьютерах
289
Перечисленные выше меры защиты информации ограни-
ченного доступа от нарушителя-непрофессионала, в принципе,
можно считать достаточными при работе с автономным персо-
нальным компьютером одного пользователя. На практике же че-
ловек не может постоянно быть изолированным от общества, в
том числе и на работе. Его посещают друзья, знакомые, сослу-
живцы обращаются по тем или иным вопросам. Отдельное по-
мещение для его работы нс всегда может быть предоставлено.
По рассеянности или озабоченный личными проблемами, поль-
зователь может включить компьютер, а ключ оставить в замке;
на столе забыть носитель информации, а сам на короткое время
покинуть помещение, что создает предпосылки для несанкцио-
нированного доступа к информации лиц, не допущенных к ней,
но имеющих доступ в помещение. Распространенные развлека-
тельные программы могут послужить средством для занесения
программных вирусов в персональный компьютер.
Все перечисленные средства и им подобные должны с раз-
личной степенью безопасности обеспечивать только санкциони-
рованный доступ к информации и программам со стороны кла-
виатуры, средств загрузки и внутреннего монтажа компьютера.
Защита от несанкционированного доступа со стороны кла-
виатуры усложняется тем, что современные компьютеры по сво-
ему назначению обладают широким спектром функциональных
возможностей, которые с течением времени продолжают разви-
ваться. Болес того, иногда кажется, что требования по защите
вступают в противоречие с основной задачей компьютера: с од-
ной стороны, персональный компьютер — серийное устройство
массового применения, с другой — индивидуального.
Если в каждый из выпускаемых персональных компьютеров,
например, установить на заводе-изготовителе электронный за-
мок, открываемый перед началом работы пользователем с помо-
щью ключа-пароля, то возникает вопрос защиты хранения и по-
следующей замены его ответной части в замке. Если сс может
заменить пользователь, то это может сделать и нарушитель. Если
эта часть компьютера постоянна, то она известна изготовителям,
через которых может стать известной и нарушителю. Однако по-
следний вариант более предпочтителен при условии сохранения
тайны ключа фирмой-изготовителем, а также высокой стойкости
ключа к подделке и расшифровке. Стойкость ключа должна
быть известна и выражаться в величине затрат времени наруши-
теля на выполнение этой работы, так как по истечении этого
290
Раздел VII. Обеспечение безопасности информации в ПК...
времени необходима замена его на новый, если защищаемый
компьютер продолжает использоваться. Но и этого условия тоже
оказывается недостаточно. Необходимо также, чтобы ответная
часть ключа — замок — тоже не был доступен потенциальному
нарушителю. Стойкость замка к замене и подделке должна быть
выше стойкости ключа и равняться времени эксплуатации ком-
пьютера при обязательном условии невозможности его съема и
замены нарушителем. В роли «замка» могут выступать специаль-
ные программные фрагменты, закладываемые пользователем
персонального компьютера в свои программы и взаимодейст-
вующие с электронным ключом по известному только пользова-
телю алгоритму.
Анализ потенциальных угроз безопасности информации и
возможных каналов несанкционированного доступа к ней в
персональных компьютерах показывает их принципиальное
сходство с аналогичными угрозами и каналами, рассмотренны-
ми в разд. 2 и 3. Следовательно, методы должны быть такими
же, а технические средства защиты строиться с учетом их со-
пряжения с ее аппаратными и программными средствами.
В целях перекрытия возможных каналов несанкционированно-
го доступа к информации персонального компьютера, кроме
упомянутых, могут быть применены и другие методы и средства
зашиты.
При использовании персонального компьютера в много-
пользовательском режиме необходимо применить программы
контроля и разграничения доступа, аналогичные описанной
в гл. 3, разд. 4. Существует много подобных программ, которые
часто разрабатывают сами пользователи.
Однако специфика работы программного обеспечения пер-
сонального компьютера такова, что с помощью ее клавиатуры
достаточно квалифицированный программист-нарушитель мо-
жет защиту такого рода легко обойти. Поэтому эта мера эффек-
тивна только для защиты от неквалифицированного нарушите-
ля. Для защиты от нарушителя-профессионала поможет ком-
плекс программно-аппаратных средств. Например, специальный
электронный ключ, вставляемый в свободный слот ПК, и специ-
альные программные фрагменты, закладываемые в прикладные
программы ПК, которые взаимодействуют с электронным клю-
чом по известному только пользователю алгоритму. При отсутст-
вии ключа эти программы нс работают. Однако такой ключ не-
удобен в обращении, так как каждый раз приходится вскрывать
Глава 1. Безопасность информации в персональных компьютерах
291
системный блок персонального компьютера. В связи с этим его
переменную часть — пароль — выводят на отдельное устройство,
которое и становится собственно ключом, а считывающее уст-
ройство устанавливается на лицевую панель системного блока
или выполняется в виде выносного отдельного устройства. Та-
ким способом можно заблокировать и загрузку персонального
компьютера, и программу контроля и разграничения доступа.
Подобными возможностями или аналогичными по действию
обладают наиболее популярные электронные ключи как ино-
странных фирм изготовителей, так и отечественных.
Среди них большая часть предназначена для защиты от не-
санкционированного копирования программного продукта, т. е.
для зашиты авторского права на его создание, следовательно,
для другой цели.
Однако при этом остаются не всегда защищенными каналы
отображения, документирования, носители программного обес-
печения и информации, побочное электромагнитное излучение и
наводки информации. Их перекрытие обеспечивается уже из-
вестными методами и средствами: размещением компьютера в
защищенном помещении, учетом и хранением носителей инфор-
мации в металлических шкафах и сейфах, шифрованием и т. д.
Определенную проблему представляет собой зашита от не-
санкционированного доступа остатков информации, которые
могут прочитать при наложении на старую запись новой инфор-
мации на одном и том же носителе, а также при отказах аппара-
туры.
Отходы носителей скапливаются в мусорной корзине. По-
этому во избежание утечки информации должны быть преду-
смотрены средства механического уничтожения отработанных
носителей с остатками информации.
Отдельную проблему в защите программного обеспечения и
информации составляет проблема защиты от вредоносных про-
грамм (вирусов).
Если персональный компьютер работает в автономном режи-
ме, проникновение вируса возможно только со стороны внеш-
них носителей программного обеспечения и информации. Если
персональный компьютер является элементом информационной
системы и компьютерной сети (или автоматизированной систе-
мы управления), то проникновение вируса возможно также и со
стороны каналов связи. Данный вопрос рассмотрен далее в спе-
циальном разделе.
292
Раздел VII. Обеспечение безопасности информации в ПК...
Еще один уровень защиты от неквалифицированного нару-
шителя может быть обеспечен путем использования компрессии
данных (архивирования). Этот метод выгоден тем, что:
•	экономит пространство при хранении файлов на диске;
•	уменьшает время шифрации-дешифрации;
•	затрудняет незаконное расшифрование файла;
•	уменьшает время передачи в процессе передачи данных.
Компрессия данных (или упаковка) файла представляет со-
бой (в самом простом случае) удаление пробелов и (или) нулей
из файлов и подмену комбинаций. Имеется несколько методов
компрессии данных, из них наиболее известные кодирование
Хоффмана, метод Линга и Палермо, а также Шеграфа и Хипса.
Для использования на компьютере известно достаточно много
программ архивирования. Во всех случаях можно упаковать фай-
лы данных, по крайней мерс, на 40 %, но экономия для про-
грамм и графических файлов менее значительна и зависит от
применяемого языка. Архивирование информации рекомендует-
ся применять в комбинации с шифрованием.
Шифрование обеспечивает самый высокий уровень безопас-
ности данных. Как в аппаратном, так и в программном обеспе-
чении применяются различные алгоритмы шифрования.
Программные средства, работающие с дисками на физиче-
ском уровне, предоставляют в некоторых случаях возможность
обхода программных средств защиты.
Эти программные средства используют в интерактивном или
автоматическом режимах команды считывания и записи секто-
ров по абсолютному адресу на диске.
Кроме того, существуют программы, позволяющие создавать
программное обеспечение, способное производить чтение или
запись по абсолютным адресам, а также программ, обеспечиваю-
щих просмотр и отладку программных продуктов в режиме ди-
зассемблера, просмотр и редактирование оперативной памяти
персональных компьютеров.
К таким программам относятся трансляторы с языков низко-
го уровня, языков высокого уровня, программы-отладчики и
программы работы с оперативной памятью. С помощью таких
программ могут быть раскрыты программные средства защиты
информации на жестких дисках.
Однако наличие таких программных средств служит для дру-
гих целей — для восстановления испорченной вирусами или не-
осторожными действиями пользователей информации. Следова-
Глава 1. Безопасность информации в персональных компьютерах
293
тельно, их применение должно быть строго регламентировано и
доступно только администратору системы. Определенное разви-
тие имеют методы и средства защиты от анализа программ.
Для создания замкнутой оболочки зашиты информации в
персональных компьютерах и объединения перечисленных
средств в одну систему необходимы соответствующие средства
управления и контроля. В зависимости от режима использова-
ния персональных компьютеров — автономного или сетевого
(в составе сети — локальной, региональной или глобальной) —
они будут носить различный характер.
В автономном режиме могут быть два варианта управления:
однопользовательский и многопользовательский. В первом слу-
чае пользователь сам выполняет функции управления и контро-
ля и несет ответственность за безопасность своей и доверяемой
ему информации.
В многопользовательском режиме перечисленные функции
рекомендуется поручить специальному должностному лицу. Им
может быть один из пользователей или руководитель работ. При
этом, однако, ключи шифрования и информация, закрытая ими
другим пользователем, ему могут быть недоступны до момента
передачи руководителю работ.
В автономном режиме в интересах безопасности информа-
ции выполняются следующие функции управления и контроля:
•	ведение списка и идентификация пользователей, допущен-
ных к информации персонального компьютера;
•	генерация значений паролей и их распределение по поль-
зователям;
•	назначение полномочий пользователей;
•	контроль доступа пользователей к информации и регистра-
ция несанкционированного доступа в специальном журна-
ле, недоступном для них;
•	контроль целостности программного обеспечения и ин-
формации персонального компьютера;
•	контроль гарантированного уничтожения остатков секрет-
ной информации;
•	визуальный контроль вскрытия системного блока персо-
нального компьютера;
•	регистрация и учет машинных носителей информации;
•	регистрация и учет бумажных секретных документов;
•	контроль несанкционированной загрузки персонального
компьютера;
294
Раздел VII. Обеспечение безопасности информации в ПК...
г
Дисководы
USB внешние носители,
дискеты, стриммеры
Клавиатура, сканер,
мышь, цифровые фото-
li видеокамеры
Встроенные носители
информации (магнитные
жесткие диски
(винчестеры))
Дисплеи, принтер,
плоттер,
графопостроитель
Внутренний монтаж
Возможные каналы
Программное
обеспечение
Отходы носителей
информации
Побочное электромаг-
нитное излучение
и наводки информации
Ремонт жестких дисков
(винчестеров)
Физическая преграда
с охранной сигнализацией
Отдельное помещение
с контролируемым доступом
Блокировка замком
кожуха системного блока
•*
Блокировка замком
включения электропитания
и загрузка программного
обеспечения
Специальный электронный
ключ
Программа контроля
и рапраничения доступа
(ПКРД)
Операционная системная
оболочка
Антивирусная программа
Специальное преобразование,
компрессия, шифрование
информации
Защита от программ отладки
Уменьшение уровня сигнала
или его зашумление
Специальные средства
стирания остатков
информации на магнитных
носителях
Специальные средства
уничтожения отходов
носителей информации
и организационные
мероприятия
несанкционированною доступа
Средства защиты
Рис. 3. Схема распределения средств зашиты по возможным каналам несанкцио-
нированного доступа персональных компьютеров
Глава 1. Безопасность информации в персональных компьютерах
295
•	антивирусный контроль;
•	периодический контроль функционирования средств заши-
ты от ПЭМ ИН.
Следует отметить, что в автономном режиме функции кон-
троля ослаблены из-за отсутствия механизма быстрого обнару-
жения несанкционированного доступа, так как это приходится
осуществлять организационными мерами по инициативе челове-
ка. Следовательно, многопользовательский режим нежелателен с
позиций безопасности и не рекомендуется для обработки важ-
ной информации.
В сетевом варианте можно автоматизировать процесс кон-
троля и все перечисленные функции выполнять со специального
рабочего места службы безопасности.
В сетевом варианте должностное лицо — пользователь — мо-
жет передавать сообщения и документы другому пользователю
по каналам связи, и тогда возникает необходимость выполнять в
интересах безопасности передаваемой информации дополни-
тельные функции по обеспечению абонентского шифрования и
цифровой подписи сообщений.
Для иллюстрации вышеизложенного на рис. 3 приведена
схема распределения средств защиты по возможным каналам не-
санкционированного доступа персонального компьютера. Со-
гласно принятой концепции безопасности покажем, как отдель-
ные средства защиты образуют систему защитных оболочек. Та-
кая система представлена в табл. 1.
Таблица 1. Система образования замкнутых защитных оболочек
от несанкционированного доступа к аппаратуре, программному обеспечению
и информации в персональных компьютерах
Номер оболочки	Состав защитных оболочек	Примечание
1	Физическая преграда с охранной сигна- лизацией и контрольно-пропускной пункт на территории объекта защиты, средства защиты от ПЭМИН. средства уничтоже- ния остатков информации на носителях, шифрование информации на носителях	Средства защиты закрывают возмож- ные каналы несанкционированного доступа, выходящие за пределы кон- тролируемой территории (носители мо- гут выноситься за ее пределы)
2	Отдельное помещение с контролируе- мым доступом, средства уничтожения остатков информации на носителях, шифрование информации	Доступ к каналу ПЭМИН открыт
296
Раздел VII. Обеспечение безопасности информации в ПК...
Окончание табл. 1
Номер оболочки	Состав защитных оболочек	Примечание
3	Системный блок персонального компью- тера с кожухом на замке, блокировка замком включения электропитания и за- грузки персонального компьютера, сей- фы для хранения носителей информа- ции, шифрование информации	' -
4	Программное обеспечение антивирусной защиты — операционная системная обо- лочка — специальное преобразование данных — раздельное хранение носите- лей информации — электронный ключ	Доступ к клавиатуре, дисплею, принте- ру и дисководу открыт
Компьютерные вирусы и средства
защиты от них
Источники компьютерных вирусов. Защита от компьютерных
вирусов — отдельная проблема, описанию решений которой по-
священо много книг, учебников и учебных пособий. В них дан-
ная проблема рассматривается с разных точек зрения и опреде-
ляются разнообразные подходы к решению задач.
В данном учебном пособии приведены лишь некоторые све-
дения, необходимые для ознакомления с проблемой и отдельны-
ми путями ее решения.
Для современных компьютерных сетей, состоящих из персо-
нальных компьютеров, большую опасность представляю! зло-
умышленники, обладающие достаточно высоким профессио-
нальным интеллектом и способностями. Деятельность этих лип
представляет серьезную опасность. Достаточно ознакомиться с
соответствующей статистикой в информационной сети Интернет
(по сетевым червям, например).
Подобные вредоносные действия наносят существенный
ущерб владельцам компьютеров. Основная часть потерь связана
с прекращением обработки информации, простоем терминалов
пользователей и затратами на восстановление испорченных дан-
ных. Причем восстановление подчас бывает самой дорогостоя-
Глава 1. Безопасность информации в персональных компьютерах
297
щей процедурой. Опасность, которую представляет подобная
деятельность, усугубляется еще и тем, что в их распоряжении
находятся современные средства обмена информацией, такие,
как глобальная информационная сеть Интернет.
Часто злоумышленниками становятся недовольные или не-
лояльные сотрудники, имеющие доступ к компьютерным сред-
ствам. Причем ущерб, который они могут нанести своими дей-
ствиями, может быть особенно велик потому, что они доско-
нально знакомы с особенностями системы зашиты данной сети
и хорошо осведомлены о степени ценности тех или иных дан-
ных. При проникновении в компьютерную систему злоумыш-
ленник размещает в ней программу типа «Троянский конь», ко-
торая модифицирует работу программного обеспечения входа
или управления обменом данными с сетью для того, чтобы вы-
явить пароли пользователей и администраторов системы. Про-
никновение в систему часто осуществляется путем сообщения
ей имен точек входа и паролей, используемых по умолчанию и
упоминаемых в описании системы, а также за счет известных
ошибок в средствах защиты. Если ошибки исправлены, то зло-
умышленникам часто удается угадать пароль. Эффективность
угадывания паролей увеличивается с помощью программ рас-
шифровки, которые вполне можно найти в определенных раз-
делах сети Интернет.
Преступление с помощью компьютерных средств создает ви-
димость безопасного для нарушителей благодаря следующим об-
стоятельствам:
•	не оставляет почти никаких материальных свидетельств;
•	не требует установления прямого контакта между преступ-
ником и его жертвой;
•	осуществляется достаточно быстро (при необходимой
предварительной подготовке);
•	требует применения сложных технических средств для сбо-
ра косвенных улик и доказательств виновности.
Необходимо отметить, что уже выработано достаточно чет-
ких правовых норм, классифицирующих факт данных преступ-
лений и ответственность за них.
Нс существует ни одной исчерпывающей модели поведения
при совершении компьютерных преступлений. Ранее много
вторжений осуществлялось злоумышленниками, которые испы-
тывают потребность совершить то, что, по их мнению, является
решением интеллектуальной задачи или головоломки, которую
298
Раздел VII. Обеспечение безопасности информации в ПК...
они считают вызовом своим способностям. Сейчас вторжения
чаще всего носят финансовый характер, т. е. заказной. И поэто-
му становятся более серьезными как по последствиям, так и по
арсеналу применяемого инструментария.
Вредоносные действия с помощью компьютерных средств
сейчас совершают не столько одиночки, сколько коллективы и
сообщества.
Это создаст еще большие трудности противостоянию дан-
ным деструктивным процессам в информационных системах и
заставляет специалистов, работающих в области защиты инфор-
мации, еще более мобилизоваться и кооперироваться для успеш-
ных действий.
При автономном режиме работы компьютера источниками
компьютерного вируса могут быть посторонние носители про-
граммных изделий: внешние носители информации и совмест-
ная работа за одним компьютером с нарушителем. Попадание
вируса в компьютер происходит по причинам случайного и
преднамеренного характера. Отсутствие учета и порядка в хране-
нии внешних носителей, их проверке перед использованием мо-
жет привести к преднамеренной подмене на «зараженный» но-
ситель.
В компьютерную сеть вирус может проникнуть и по каналам
связи вместе с сообщением, принятым пользователем-нарушите-
лем, имеющим законный доступ или же подключившимся к сети
незаконным образом.
Потенциальные угрозы и характер проявления компьютерных
вирусов. Компьютерный вирус — это специально написанная,
обычно небольшая по размерам программа, которая может
«приписывать» себя к другим программам (т. е. «заражать» их), а
также выполнять различные нежелательные действия на компь-
ютере (например, портить файлы или таблицу размещения фай-
лов на диске, «засоряя» оперативную память, и т. д.). Подобные
действия выполняются достаточно быстро и никаких сообще-
ний при этом на экран нс выдается. Далее вирус передает управ-
ление той программе, в которой он находится. Внешне работа
зараженной программы выглядит так же, как и незаряженной.
Некоторые разновидности вирусов устроены таким образом,
что после первого запуска зараженной этим вирусом программы
вирус остается постоянно (точнее, до перезагрузки операцион-
ной системы) в памяти компьютера и время от времени заражает
файлы и выполняет другие вредные действия на компьютере. По
Глава 1. Безопасность информации в персональных компьютерах
299
прошествии некоторого времени одни программы перестают ра-
ботать, другие — начинают работать неправильно, на экран вы-
водятся произвольные сообщения или символы и т. д. К этому
моменту, как правило, уже достаточно много (или даже боль-
шинство) программ оказываются зараженными вирусом, а неко-
торые файлы и диски испорченными. Более того, зараженные
программы могут быть перенесены с помощью внешних носите-
лей или по локальной сети на другие компьютеры.
Компьютерный вирус может испортить, т. е. изменить лю-
бой файл на имеющихся в компьютере дисках, а может «зара-
зить». Это означает, что вирус «внедряется» в эти файлы, т. е.
изменяет их так, что они будут содержать сам вирус, который
при некоторых условиях, определяемых видом вируса, начнет
свою разрушительную работу. В настоящее время, благодаря
наличию макрокоманд, могут заражаться, а не только быть ис-
порченными тексты программ и документов, информационные
файлы баз данных, таблицы, картинки и другие аналогичные
файлы.
Средства защиты от компьютерных вирусов. Одна из причин,
из-за которых стало возможным такое явление, как компьютер-
ный вирус, — отсутствие в операционных системах эффектив-
ных средств защиты информации от несанкционированного дос-
тупа. В связи с этим различными фирмами и программистами
разработаны программы, которые в определенной степени во-
сполняют указанный недостаток. Эти программы постоянно на-
ходятся в оперативной памяти (являются «резидентными») и
«перехватывают» все запросы к операционной системе на вы-
полнение различных «подозрительных» действий, т. е. операций,
которые используют компьютерные вирусы для своего «размно-
жения» и порчи информации в компьютере.
При каждом запросе на такое действие на экран компьютера
выводится сообщение о том, какое действие затребовано и какая
программа желает его выполнять. Пользователь может либо раз-
решить выполнение этого действия, либо запретить его.
Такой способ защиты не лишен недостатков. Прежде всего
резидентная программа для защиты от вируса постоянно зани-
мает какую-то часть оперативной памяти компьютера, что нс
всегда приемлемо. Кроме того, при частых запросах, довольно
ощутимо замедляется работа пользователя и отвечать на них мо-
жет ему надоесть. И наконец, имеются виды вирусов, работа ко-
торых не обнаруживается резидентными программами защиты.
300
Раздел VII. Обеспечение безопасности информации в ПК...
Однако преимущества этого способа весьма значительны. Он
позволяет обнаружить вирус на самой ранней стадии, когда ви-
рус еще не успел размножиться и что-либо испортить. Тем са-
мым можно свести убытки от воздействий компьютерного виру-
са к минимуму.
Более ранняя диагностика вируса в файлах на диске основа-
на на том, что при заражении и порче вирусом файлы изменя-
ются, а при заражении, как правило, еще и увеличиваются в сво-
ем размере. Для проверки того, не изменился ли файл, вычисля-
ется его контрольная сумма — некоторая специальная функция
всего содержимого файла. Для вычисления контрольной суммы
необходимо прочесть весь файл, а это относительно длительный
процесс. В связи с этим, как правило, при обычной проверке на
наличие вируса вычисление контрольной суммы производится
только для нескольких особо важных файлов, а у остальных
файлов проверяется лишь их размер, указанный в каталоге. По-
добную проверку наиболее целесообразно производить для фай-
лов на жестком диске.
Большинство пользователей знает о том, что запись на дис-
кету, флэш-карту и т. п. можно запретить, используя встроенную
механическую защиту от записи. Эта возможность широко ис
пользуется многими для защиты информации на «эталонных»
подобных носителях, содержащих архивные файлы, программы
и данные, которые могут использоваться, но нс должны менять-
ся. Этот же способ можно применить для защиты от вирусов ра-
бочего носителя, в информацию которого не потребуется вво-
дить какую-либо запись.
Защитить файлы от записи можно и на жестком диске. Для
этого поле памяти диска следует разбить с помощью специаль-
ных программ на несколько частей — условных логических дис-
ков. Если на жестком диске имеется несколько логических дис-
ков, доступных операционной системе, то некоторые из них
можно сделать доступными только для чтения, что также послу-
жит средством защиты от заражения или порчи вирусом (опре-
деленного уровня стойкости к взлому).
Если заранее известно (хотя бы приблизительно), какую
часть жесткого диска могут занимать программы и данные, нс
изменяемые в процессе выполнения текущей задачи, то целесо-
образно разбить жесткий диск на два логических диска, один из
которых отвести для хранения изменяемых программ и данных,
Глава 1. Безопасность информации в персональных компьютерах
301
а другой с защитой от записи — для хранения программ и дан-
ных, которые будут использоваться, но не изменяться.
Другой уровень защиты основывается:
•	на сегментации жесткого диска с помощью специального
драйвера, обеспечивающего присвоение отдельным логиче-
ским дискам атрибута READ ONLY;
•	на системе парольного доступа;
•	на использовании для хранения ценной информации раз-
делов жесткого диска, отличных от С и D, не указываемых
в PATH, или скрытых с помощью средств реестра операци-
онной системы.
При этом рекомендуется раздельное хранение исполняемых
программ и баз данных.
При правильном размещении операционной системы можно
гарантировать, что после канальной загрузки она не будет зара-
жена резидентным файловым вирусом. Главное в этом случае —
разместить операционную систему в защищенном от записи раз-
деле. Кроме того, вновь полученные утилиты нельзя включать в
состав этого диска без тщательной проверки на отсутствие виру-
сов и прохождения «карантинного» режима.
Если программное изделие получено без сертификата, из со-
мнительного источника или не эксплуатировалось в том месте,
откуда было получено, первые несколько дней его полезно экс-
плуатировать в карантинном режиме с использованием, если это
возможно, ускоренного календаря. Это повышает вероятность
обнаружения «троянской» компоненты, срабатывающей в опре-
деленное время. При работе со вновь поступившими программа-
ми целесообразно употребление специального имени пользова-
теля. Для выбранного имени все остальные разделы должны
быть либо невидимы, либо иметь статус READ ONLY. При этом
для всех компонентов операционной системы и некоторых ути-
лит, используемых как «ловушки» для вируса, следует записать в
соответствующий файл контрольные суммы, вычисленные соот-
ветствующей программой.
Основным средством защиты от вирусов служит архивирова-
ние. Другие методы заменить его не могут, хотя и повышают об-
щий уровень защиты. Архивирование необходимо делать еже-
дневно. Архивирование заключается в создании копий исполь-
зуемых файлов и систематическом обновлении изменяемых
файлов. Для этой цели удобно использовать специально разрабо-
танные программы. Они дают возможность не только экономить
302
Раздел VII. Обеспечение безопасности информации в ПК...
место на специальных архивных дисках, но и объединять группы
совместно используемых файлов в один архивный файл, в ре-
зультате этого гораздо легче разбираться в общем архиве файлов.
Наиболее уязвимыми считаются таблицы размещения файлов,
главного каталога и бутсектор. Файлы, создаваемые этими утили-
тами, рекомендуется периодически копировать на специальный
носитель. Их резервирование важно нс только для защиты от ви-
русов, но и для страховки на случай аварийных ситуаций или
чьих-то действий, в том числе собственных ошибок. Современ-
ные операционные системы позволяют это делать в автоматиче-
ском или полуавтоматическом режиме, в них встроены про-
граммные утилиты так называемого аварийного восстановления.
В целях профилактики для защиты от вирусов рекомендуется:
•	работа с внешними носителями информации, защищенны-
ми от записи;
•	минимизация периодов доступности внешних носителей
информации для записи;
•	разделение внешних носителей информации между кон-
кретными ответственными пользователями;
•	разделение передаваемых и поступающих внешних носите-
лей информации;
•	раздельное хранение вновь полученных программ и экс-
плуатировавшихся ранее;
•	хранение программ на жестком диске в архивированном
виде.
Вновь поступившие программные изделия должны подвер-
гаться входному контролю — проверке соответствия длины и
контрольных сумм в сертификате полученным длинам и кон-
трольным суммам. Систематическое обнуление первых трех бай-
тов сектора начальной загрузки на полученных внешних носите-
лях информации до их использования поможет уничтожению
«бутовых» вирусов (хотя в настоящее время их распространение
практически заблокировано).
Многие программисты и организации разрабатывают собст-
венные или используют готовые программы дня обнаружения и
удаления вирусов на своих компьютерах и дисках. Обнаружение
вируса основано на том, что каждая конкретная версия вируса,
как любая программа, содержит присущие только ей комбина-
ции байтов. Программы-фильтры проверяют, имеется ли в фай-
лах на указанном пользователем носителе специфическая для
данного вируса комбинация байтов. При ее обнаружении в ка-
Глава 1. Безопасность информации в персональных компьютерах
303
ком-либо файле на экран выводится соответствующее сообще-
ние. Дня обнаружения вирусов также используется специальная
обработка файлов, дисков, каталогов — вакцинирование', запуск
резидентных программ-вакцин, имитирующих сочетание усло-
вий, в которых заработает данный тип вируса и проявит себя.
Существуют также специальные программы удаления кон-
кретного вируса в зараженных программах. Такие программы
называются программами-фагами. С зараженными файлами про-
грамма-фаг выполняет (если это возможно) действия, обратные
тем, которые производятся вирусом при заражении файла, т. е.
делает попытку восстановления файла. Те файлы, которые не
удалось восстановить, как правило, считаются неработоспособ-
ными и удаляются.
Следует подчеркнуть, что действия, которые надо предпри-
нять для обнаружения и удаления вируса, индивидуальны для
каждой версии вируса. Пока не существует универсальной про-
граммы, способной обнаружить любой вирус. Поэтому надо
иметь в виду, что заражение компьютера возможно и такой раз-
новидностью вируса, которая нс выявляется известными про-
граммами для их обнаружения.
В настоящее время трудно назвать более или менее точно ко-
личество типов вирусов, так как оно постоянно увеличивается.
Соответственно увеличивается, но с некоторым запаздыванием
и число программ для их обнаружения, хотя в настоящее время
существует определенный список лидеров — разработчиков
в данной области создания антивирусного программного обеспе-
чения.
Проблему защиты информации и программных продуктов от
вирусов необходимо рассматривать в общем контексте проблемы
защиты от несанкционированного доступа. Основной принцип,
который должен быть положен в основу методологии защиты от
вирусов, состоит в создании многоуровневой распределенной
системы защиты, включающей приведенные выше средства. На-
личие нескольких уровней позволяет компенсировать недостатки
одних средств защиты достоинствами других. Если вирус обойдет
один вид защиты, то может быть остановлен другим. Для того
чтобы избежать появления компьютерных вирусов, необходимо
соблюдать прежде всего элементарные следующие меры:
•	не переписывать программное обеспечение с других ком-
пьютеров. Если это необходимо, то следует принять пере-
численные выше меры;
304
Раздел VII. Обеспечение безопасности информации в ПК...
•	не допускать к работе на компьютере посторонних лиц,
особенно если они собираются работать со своими носите-
лями;
•	не пользоваться посторонними носителями информации,
особенно с компьютерными играми.
Типичные ошибки пользователя, приводящие к заражению
персональных компьютеров вирусами
Первая ошибка и одна из самых грубых и распространенных
ошибок при использовании персональных компьютеров — от-
сутствие надлежащей системы архивирования информации.
Вторая грубая ошибка — запуск полученной программы без
ее предварительной проверки на зараженность и без установки
максимального режима защиты винчестера с помощью систем
разграничения доступа и запуска резидентного сторожа.
Третья типичная ошибка — выполнение перезагрузки систе-
мы при наличии установленного внешнего носителя в порт, раз-
решенный для загрузки операционной системы с внешнего но-
сителя. При этом BIOS делает попытку загрузиться именно с
этого носителя, а нс с винчестера, в результате, если носитель
заражен вирусом, происходит заражение винчестера.
Одна из грубейших ошибок — анализ и восстановление про-
грамм на зараженной операционной системе. Данная ошибка
может иметь катастрофические последствия. В частности, при
этом могут быть заражены и остальные программы. Например,
ранее существовал резидентный вирус RCE-1800 (Dark Avenger),
запуск программы-фага, не рассчитанной на данный вирус, при-
водит к заражению всех проверявшихся данной программой за-
грузочных модулей, поскольку вирус RCE-1800 перехватывает
прерывание по открытию и чтению файлов и при работе фага
будет заражен каждый проверяемый им файл.
Поэтому проверять зараженный компьютер следует только
на предварительно загруженном с защищенным от записи носи-
телем «эталонной» операционной системы, используя только
программы, хранящиеся на защищенных от записи носителях.
Более подробные сведения по защите от компьютерных ви-
русов можно получить из специальной литературы и описаний
антивирусных программ.
Глава 1. Безопасность информации в персональных компьютерах
305
Оценка уровня безопасности информации
от преднамеренного несанкционированного
доступа в персональных компьютерах
Уровень безопасности информации в персональных компью-
терах представляется целесообразным оценивать следующими
показателями:
РкРС — уровень безопасности информации на возможных ка-
налах несанкционированного доступа, контролируемых сис-
темой;
РшРС — уровень безопасности информации на возможных
каналах несанкционированного доступа, выходящих за пределы
возможностей системы контроля несанкционированного до-
ступа.
Прочность зашиты или вероятность нспрсодолсния наруши-
телем наиболее слабого звена защиты определяется для каждого
показателя по наименьшему значению прочности защиты каж-
дого возможного канала несанкционированного доступа, приве-
денного в табл. 2.
Таблица 2. Возможные каналы НСД к информации персонального компьютера
и средства защиты, рекомендуемые для их перекрытия
№ п/п	Возможные каналы несанкционированно- го доступа	Средства защиты	Прочность	Класс защиты			
				I	II	III	IV
1	Дисплей, принтер, плоттер, графопо- строитель	Отдельное помещение с контролируе- мым доступом	Рг	+	+	+	+
2	Клавиатура, сканер, манипу- лятор «мышь»	То же	р2	+	+	4-	+
		Специальный электронный ключ в со- четании с фрагментами программного обеспечения	Ри	+	+	—	—
		Программа контроля и разграничения доступа (пароли)	Р'	+	+	+	+
		Средства защиты от отладочных про- грамм	^12	+	+	—	—
		Блокировка механическим замком включения электропитания	P13	+	+	+	+
306
Раздел VII. Обеспечение безопасности информации в ПК...
Продолжение табл. 2
№ п/п	Возможные каналы несанкционированно го доступа	Средства защиты	Прочность	Класс защиты			
				I	II	III	IV
		Блокировка механическим замком ме- ханизма загрузки программного обес- печения	₽14	4-	+	—	—
		Средства контроля целостности про- граммного обеспечения	^32	+	4-	4-	4-
3	Дисковод	Отдельное помещение с контролируе- мым доступом	р2	+	4-	4-	4-
		Применение персональных компьюте- ров без дисковода	pis	+	4-	—	—
		Установка механической крышки с ме- ханическим замком	Р-16	—	4-	—	—
		Средства защиты от вирусов	Р17	4-	4-	4-	+
		Средства верификации внешних носи- мых носителей	^18	4-	4-	4-	4-
		Средства защиты пт несанкцилниро- ванной загрузки программного обес- печения	Р31	4-	-I-	4-	—
		Средства контроля целостности про- граммного обеспечения	^32	4-	+	4-	+
4	Внешние носимые накопители, гибкие магнитные диски, стриммер	Отдельное помещение с контролируе- мым доступом	р2	4-	4-	4-	4-
		Учет и регистрация	Р19	4-	4-	+	4-
		Маркировка цветом	^20	4-	4-	4-	4-
		Хранение в металлических шкафах с замком	Р22	—	—	4-	4-
		Хранение в сейфах	^23	+	4-	—	—
		Стирание остатков информации	^24	+	4-	4-	—
		Уничтожение остатков информации	Р25	+	4-	—	—
		Компрессия данных	Р26	—	—	4-	—
		Шифрование данных	Р10	+	4-	—	—
Глава 1. Безопасность информации в персональных компьютерах
307
Окончание табл. 2
№ п/п	Возможные каналы несанкционированно го доступа	Срсдстоа защиты	Прочность	Класс защиты			
				I	II	III	IV
5	Жесткие магнит- ные диски	Отдельное помещение с контролируе- мым доступом	р2	+	4-	4-	+
		Металлический шкаф с замком	Р22	+	+	4-	—
		Блокировка снятия кожуха системного блока механическим замком	Р27	+	+	—	—
		Средства контроля целостности про- граммного обеспечения	Р32	+	+	+	+
		Стирание остаточной информации	Р24	+	+	4-	—
		Уничтожение остаточной информации	Р25	4-	+	—	—
		Шифрование данных	^10	+	+	—	—
6	Внутренний монтаж	Отдельное помещение с контролируе- мым доступом	р2	+	4-	4-	+
		Блокировка снятия кожуха системного блока механическим замком	Р27	+	+	—	—
7	ПЭМИН	Средства уменьшения и зашумления сигналов и установление границ кон- тролируемой зоны	р9	+	—	—	—
8	Отходы носителей с информацией	Отдельное помещение с контролируе- мым доступом	р2	+	+	4-	+
		Средства уничтожения отходов носителей	^28		+	+	4-
9	Документы	Отдельное помещение с контролируе- мым доступом	рг	+	+	—	—
		Учет и регистрация документов	Р29	+	4-	+	+
		Сейф	Р30	+	4-	—	— I
Примечания.
1. Знак «+» означает наличие средств защиты, знак «-» — отсутствие
средств защиты.
2. На всех каналах действуют также средства контроля доступа на тер-
риторию объекта размещения комплекса средств автоматизации обработки
информации, вероятность непреодоления которых обозначим через Р\.
308 Раздел VII. Обеспечение безопасности информации в ПК...
Значения прочности РкРС определяются по формуле 15,
гл. 1, разд. 3, а значение прочности РшРС — по формуле 4, гл. 1,
разд. 3.
В случае применения на одном возможном канале несанк-
ционированного доступа нескольких средств защиты суммарная
прочность рассчитывается по формуле 18, гл. 1, разд. 3.
При работе нескольких пользователей за одним персональ-
ным компьютером уровень безопасности информации от нару-
шителя, являющегося законным пользователем компьютера,
оценивается отдельным показателем, рассчитываемым только по
параметрам защитной оболочки № 4 согласно табл. 1.
При этом для I класса безопасности информации значения
прочности средств защиты согласно формулам 15 и 4, гл. 1,
разд. 3, будут определяться следующим образом:
для контролируемых возможных каналов несанкционирован-
ного доступа:
ДРС =	(| -	(I	- Л)(1	- Л)] U [I - (I - р,)(1 - />„)] и
и [1	-	(1 -	Р2)(1	-	А)(1	-	Л)]	и [1 - (1	- Р,)(1	- Л)(1 - Р|2)]	и
и |1	-	(I -	/>,)(!	-	Л)(1	-	Р,3)|	и |1 - (1	- Р,)(1	- Л)(1 - Р|4)]	U
и [I	-	(I -	/>,)(!	-	/>,)(!	-	Р|5)]	и [1 - (1	- Р,)(1	- W - /’н)]	и
и [I - (1 - р,)(1 - А)(1 - Лз)1 и
и |1 -(1 - Р,)(1 - Р2)(1 - Р„)(1 - р20)| и
и [1 - (1 - />,)(! - Р,)(1 - Р„)| и [1 - (1 - />,)(! - Л)(1 - Л4)] и
U[1-(1-P,)(l-P2)(l-P22)]U
U[I-(I-P,)(1-P2)(1-P27)]UP,U
U [1 - (1 - Р,)(1 - Л)(1 - Р2,)] U [1 - (1 - Р,){1 - Р2)(1-РД];
для неконтролируемых возможных каналов несанкциониро-
ванного доступа:
Р„.рс = Р25 U Р,„ U F, U Р28.
Глава 2. Обеспечение безопасности информации в локальных сетях
309
Глава 2
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В ЛОКАЛЬНЫХ СЕТЯХ
Локальные сети как объект защиты
информации
В широком смысле слова любой способ соединения двух и
более компьютеров с целью распределения ресурсов — файлов,
принтеров ит. п. — можно назвать сетью.
Локальная компьютерная сеть (локальная сеть) представляет
собой особый тип сети, объединяющий близко расположенные
системы, как правило, в пределах группы сотрудников или отде-
ла предприятия. Эти компьютеры и другое оборудование соеди-
нены однотипными средствами коммуникаций — чаше всего ви-
той парой проводов, коаксиальным или оптическим кабелем,
беспроводными средствами связи (инфракрасного или радио-
волнового диапазона).
Все устройства в локальных сетях способны обмениваться
информацией друг с другом непосредственно. Отдельные ло-
кальные сети объединяются в глобальную вычислительную
сеть WAN (wide area network). С помощью ее устройств, не от-
носящихся к одной и той же физической локальной сети, уста-
навливаются соединения через специализированное оборудо-
вание.
Локальная сеть позволяет прозрачно распределять ресурсы,
отсутствующие на рабочих станциях. Подсоединившись к таким
ресурсам, можно распоряжаться ими как собственными. Тот
факт, что многие пользователи сети имеют доступ к одним и тем
же ресурсам, упрощает распространение информации в пределах
локальной сети, так как не требует осваивать новые методы пе-
редачи данных.
Существуют особые сетевые программы, использующие ло-
кальную сеть для передачи информации: электронная почта,
программы планирования, групповое программное обеспечение
и т. п. Однако самое основное свойство локальной сети — про-
стой доступ к сетевым ресурсам. Для доступа к сетевым ресурсам
применяется целый ряд аппаратных и программных компонен-
тов. Аппаратура — сетевая интерфейсная плата — электрически
310
Раздел VII. Обеспечение безопасности информации в ПК...
подсоединяет рабочую станцию к локальной сети. Она устанав-
ливается в пустое расширительное гнездо персонального компь-
ютера либо подключается к соответствующему порту мобильных
компьютеров (или в гнездо PCMCI).
Сетевое программное обеспечение делится на три категории:
•	программное обеспечение управления сетевой платой;
•	программное обеспечение, выполняющее правила (или
протокол) общения в сети;
•	программное обеспечение сетевой операционной системы.
Первый компонент может состоять из одной или несколь-
ких небольших программ. Он отвечает за наведение мостов ме-
жду сетевой платой и стеком протокола. Стек протокола — это
компонент, осведомленный о правилах движения данных по
сети, он связывает интерфейсную плату с оболочкой. Оболочка,
или сетевой клиент, знает особенности используемых в сети
операционных систем и осуществляет связь между ними. Обо-
лочка отвечает за передачу и удовлетворение запросов на сете-
вые ресурсы.
Операционная система рабочей станции — не единственная
операционная система в локальной сети. На файловом сервере
работает особая операционная система, называемая сетевой опе-
рационной системой.
Хотя сейчас уже все операционные системы наделены сете-
выми свойствами, следует различать операционную систему ра-
бочей станции, обеспечивающую ее работу в локальной сети,
и операционную систему узловой станции — Сервера, обеспечи-
вающей работу всей сети.
Информационные свойства локальной сети во многом зави-
сят от состава поддерживаемых ею операционных систем, функ-
ционирующих на рабочих станциях и серверах. Если локальная
сеть поддерживает только одну операционную систему, т. е. име-
ет однородный состав узлов (компьютер или сервер с установ-
ленными в них сетевыми адаптерами), то такая локальная сеть
называется гомогенной (или однородной), в противном случае —
гетерогенной (или разнородной).
Локальные сети бывают двух основных типов: равноправные
(или одноранговые) и с выделенным сервером. В равноправной ло-
кальной сети все узлы равноправны: любая рабочая станция мо-
жет выступать по отношению к другой как клиент или как сер-
вер. В сети с выделенным сервером все клиенты общаются с
центральным сервером.
Глава 2. Обеспечение безопасности информации в локальных сетях
311
Одноранговые сети обычно легко устанавливать и для их
операционной системы не требуется выделять особый компью-
тер. С другой стороны, эти сети обладают меньшими функцио-
нальными возможностями по сравнению с сетями на основе вы-
деленного сервера. В частности, проблемы централизованной за-
щиты ресурсов и данных в таких сетях часто не разрешимы, так
как каждый пользователь сам контролирует доступ к своей сис-
теме. По мере роста размеров таких сетей они быстро становятся
неуправляемыми.
И все же простая сеть с равноправными узлами может стать
оптимальным решением, если необходимо объединить всего не-
сколько машин.
Равноправные сетевые операционные системы хороши для
мелких сетей и идеальны в случае необходимости объединения
лишь нескольких машин в целях коллективного применения
специальных файлов и принтеров, когда не требуется централи-
зованного администрирования. Но иногда доступ к некоторым
ресурсам должен быть представлен лишь определенным пользо-
вателям и администратору требуется управлять такими ресурса-
ми. Например, к определенному ресурсу должен быть организо-
ван централизованный доступ, в частности для организации
пула модемов или принтеров. В этих случаях лучше обратиться к
сети с выделенным сервером. В таких сетях один или несколько
компьютеров организуют централизованный доступ к своим ре-
сурсам. Все запросы от рабочей станции проходят через серверы.
Компьютер, используемый в качестве сервера, должен быть бо-
лее мощным и надежным.
Программное обеспечение сервера обеспечивает централизо-
ванное администрирование и защиту и управляет доступом к ре-
сурсам с помощью реконфигурируемых бюджетов пользователей.
Администратор сети контролирует эти бюджеты и определяет, что
должен видеть и делать пользователь, зарегистрированный в сети.
Локальные сети с выделенным сервером обычно сложнее в уста-
новке по сравнению с одноранговыми, но они мощнее, функцио-
нально многообразнее и поддерживают крупные сетевые системы.
Существует много разновидностей сетей. Те из них, что стро-
ятся на основе мэйнфреймов и мини-компьютеров, часто обес-
печивают такие же возможности, как и локальные сети, но с не-
которыми отличиями. Некоторые сети использует протоколы,
обычно нс применяемые в локальных сетях, и нередко выступа-
ют в качестве средства дистанционного доступа к базам данных.
312
Раздел VII. Обеспечение безопасности информации в ПК...
Наибольшее распространение получили четыре модифика-
ции соединений персональных компьютеров в локальных сетях:
Ethernet, Arknet, Token-Ring и FDDI.
Сети Ethernet (топология «общая шина») отличаются своими
несомненными достоинствами: небольшой стоимостью и опти-
мальной производительностью (10 Мбит/с). Сети Ethernet реализу-
ют недетерминированный метод множественного доступа с кон-
тролем несущей. Все сетевые компьютеры, подключенные к ма-
гистральному кабелю, являются равноправными и пытаются
захватить канал, т. е. начать передачу. Каждый раз, когда узел готов
передавать свой пакет, он должен проверить, занят канал или нет.
Для этого проводится проверка несущей: ее отсутствие означает,
что канал свободен. Если один из узлов начал передачу пакета, ка-
нал становится занятым, и все остальные узлы переходят в состоя-
ние приема. Пакеты, переданные сети одним из ее узлов, направ-
ляются всем остальным активным узлам, т. с. сеть является широ-
ковещательной. Узел назначения сам определяет, что информация
предназначена именно ему, анализируя заголовок пакета, который
содержит и адрес назначения, и адрес отправителя. Если они соот-
ветствуют его данным, происходит прием пакета информации.
При таком методе доступа к каналу следует предусмотреть
ситуацию, когда несколько узлов начинают передачу одновре-
менно, т. е. происходит коллизия — наложение сигналов. В этом
случае передача прерывается, и каждый узел, попавший в колли-
зию, переходит в состояние задержки, в котором он находится в
течение некоторого случайного промежутка времени. Его вели-
чина определяется самим узлом, что уменьшает вероятность по-
падания в новую коллизию сразу же после обработки предыду-
щей. Вышедший из коллизии узел повторяет передачу. В резуль-
тате при больших нагрузках сетей с произвольным методом
доступа пропускная способность сети резко падает и входит в
насыщение. В сетях Ethernet насыщение предотвращается балан-
сировкой нагрузки путем разделения сети на сегменты или вы-
бором оптимальной технологии сети.
Локальные сети типа Ethernet используют топологии (способ
объединения между собой узлов локальной сети) «звезда» и «об-
щая шина». При необходимости можно объединять вместе не-
сколько сетей с обеими топологиями, в результате этого получа-
ются разветвленные конфигурации сети.
Построение сетей Ethernet определяется рекомендациями
IEEE 802.3: спецификациями 10Base2, 1 OBaseS, 10Base-T.
Глава 2. Обеспечение безопасности информации в локальных сетях
313
Спецификация 1 DBase! (шинная топология), представляющая
сеть Ethernet на тонком коаксиальном кабеле (типа RG —
58 А/U), использует легкие кабели и разъемы (BNC). Монтаж
сети при этом предельно прост: соединения осуществляются
прямо на задней стенке персонального компьютера с помощью
Т-коннектора, подключаемого к разъему на сетевом адаптере.
Протяженность сегмента ограничена длиной 185 м, при этом
можно подключить до 30 сетевых узлов. Максимальная протя-
женность ограничена следующими требованиями:
•	можно включить последовательно не более трех сегментов;
•	между сегментами можно включить две соединительные
линии без возможности включения в них рабочих станций;
•	на всей сети должно быть не более 90 сетевых узлов;
•	общая длина кабельной трассы сети должна быть не более
925 м.
Спецификация 10Base5 основана на специальном «толстом»
кабеле и имеет топологию шины.
Основное отличие «толстого» Ethernet состоит в том, что все
подключения к кабелю должны выполняться через внешние
транссиверы. Все сетевые узлы должны иметь AUT-порт и соот-
ветствующий кабель, длина которого не должна превышать 50 м,
а длина сегмента — 500 м.
Максимальный размер сети определяют следующие пара-
метры:
•	максимальное число объединяемых сегментов (без межпо-
вторительных), как и у «тонкого» Ethernet, — 5;
•	максимальная длина сети — 2500 м;
•	максимальное число станций на сегмент — 100.
Сети этого типа реализуются в последнее время в небольших
количествах и только там, где требуется большая протяженность
кабельной трассы, или используются в качестве базовой сети.
Спецификация 10Base-T предлагает использовать кабели с
неэкранированными витыми парами (СТР) категории не ниже
третьей. В отличие от упомянутых выше сетей элементарная сеть
Ethernet на витых парах имеет топологию «звезды».
Рабочие станции с помощью сегментов из витых пар под-
ключаются к концентратору (hub). Такая конфигурация упроща-
ет подключение новых рабочих станций и делает их независи-
мыми друг от друга.
Рабочие группы могут объединяться в более сложные конфи-
гурации локальных сетей соединениями между концентратора-
314
Раздел VII. Обеспечение безопасности информации в ПК...
ми, а также подключением сегментов на толстом или тонком ко-
аксиальном кабеле.
Для рекомендации lOBase Т на витой паре предусматривают
ся ограничения:
•	между рабочими станциями может быть до 5 сегментов и
не более 4 концентраторов;
•	длина сегмента — не более 100 м.
В локальных сетях возможно возникновение такой ситуации,
когда несколько рабочих станций пытаются получить доступ к
одному файл-серверу. В этом случае узким местом становится
канал связи между коммутатором и сервером, а рабочим станци-
ям по-прежнему' приходится конкурировать за этот канал с про-
пускной способностью 10 Мбит/с.
Мы рассмотрели базовые рекомендации для локальных се-
тей. Для более подробного изучения данных вопросов рекомен-
дуем обратиться к соответствующей специальной и учебной ли-
тературе.
Отказоустойчивость локальных сетей в значительной мерс
обусловлена особенностями их топологии, способом доступа к
информации и данным, а также встроенными системами диаг-
ностики и устранения сбоев.
Потенциальные угрозы безопасности информации
в локальных сетях
Рассматривая объект защиты с позиций зашиты циркули-
рующей в ней информации, в общем случае автономную локаль-
ную сеть можно представить как сеть, элементами которой явля-
ются малые комплексы средств автоматизации — персональные
компьютеры с различным набором внешних устройств, а кана-
лами связи — кабельные магистрали. Потенциальные угрозы в
виде попыток несанкционированного доступа с целью модифи-
кации, разрушения, хищения информации или ознакомления с
нею аналогичны приведенным в разд. 2. Возможные каналы не-
санкционированного доступа к информации в локальных сетях
такие же, как в больших информационных и вычислительных
сетях, рассмотренных в гл. 1, разд. 5. Единственным отличием
локальных сетей, учитывая их относительно малую территорию
размещения, является возможность расположения каналов связи
Глава 2. Обеспечение безопасности информации в локальных сетях
315
локальных сетей на охраняемой территории, что значительно со-
кращает количество потенциальных нарушителей и в некоторых
менее ответственных системах с целью экономии позволяет
уменьшить прочность защиты информации в кабельных линиях
связи. Малые габариты компьютера позволяют разместить его на
столе в отдельном защищенном помещении и облегчают, с од-
ной стороны, проблему контроля доступа к его внутренним ли-
ниям связи и монтажу устройств.
С другой стороны, возникает вопрос контроля целостности
локальных сетей, т. е. схемы соединений сети, так как локальная
сеть — система по своей идее децентрализованная. Вполне есте-
ственен вопрос: а всегда ли необходим такой контроль? Специа-
листы считают, что в очень маленьких локальных сетях с парой
компьютеров, которые разделяют жесткий диск и принтер, диаг-
ностика является ненужным излишеством. Но по мере роста
сети возникает необходимость в мониторинге сети и ее диагно-
стике. Большинство локальных сетей имеют процедуры самотес-
тирования низкого уровня, которые должны запускаться при
включенной сети. Эти тесты обычно охватывают кабель, конфи-
гурацию аппаратных средств, в частности плату интерфейса
сети. В составе больших локальных сетей предусмотрены слож-
ные системы с двойным назначением — мониторингом и диаг-
ностикой. Центр управления сетью — это пассивное мониторин-
говое устройство, которое собирает данные о потоках сообще-
ний в сети, ее характеристиках, сбоях, ошибках и т. д. Данные о
потоках сообщений показывают, кто пользуется сетью, а также
когда и как она применяется.
Сетевые операционные системы содержат диагностику ло-
кальных сетей. Обычно консоль и монитор этой системы совме-
стно действуют как маленькая версия центра управления сетью.
Применяются в сети и аппаратные средства сетевой диагности-
ки, для этого обычно применяются специализированные чипы.
Однако упомянутые выше средства диагностики локальных
сетей не обнаруживают несанкционированное подключение к
сети посторонних персональных компьютеров. Отключение ком-
пьютера от сети контролируется иногда с перерывами по жела-
нию оператора или по запросу пользователя.
В больших локальных сетях (до 10 км) кабельные линии мо-
гут выходить за пределы охраняемой территории или в качестве
линий связи могут использоваться телефонные линии связи
обычных автоматизированных телефонных станций, на которых
316
Раздел VII. Обеспечение безопасности информации в ПК...
информация может подвергнуться несанкционированному до-
ступу. Кроме того, сообщения в локальной сети могут быть про-
читаны на всех ее узлах, несмотря на специфические сетевые ад-
реса. Посредством пользовательских модификаций последних
все узлы сети могут считывать данные, циркулирующие в дан-
ной локальной сети.
Таким образом, можно перечислить максимальное количест-
во возможных каналов преднамеренного несанкционированного
доступа к информации для локальных сетей.
Со стороны «периметра» системы они будут следующими:
•	доступ в локальную сеть со стороны штатного персональ-
ного компьютера;
•	доступ в локальную сеть со стороны кабельных линий
связи.
Несанкционированный доступ со стороны штатного персо-
нального компьютера (включая серверы) возможен по каналам,
перечисленным в разд. 7, гл. I, для автономного режима ее рабо-
ты. Нов локальной сети необходимо защищаться и от пользова-
теля-нарушителя, допущенного только к определенной инфор-
мации файл-сервера и/или ограниченного круга других пользо-
вателей данной локальной сети.
Несанкционированный доступ в локальных сетях со стороны
кабельных линий может произойти по следующим каналам:
•	со стороны штатного пользователя-нарушителя одного
персонального компьютера при обращении к информации
другого, в том числе файл-серверу;
•	при подключении постороннего персонального компьюте-
ра и другой посторонней аппаратуры;
•	при побочных электромагнитных излучениях и наводках
информации.
Кроме того, в результате аварийных ситуаций, отказов аппа-
ратуры, ошибок операторов и разработчиков программного
обеспечения локальной сети возможны переадресация информа-
ции, отображение и выдача се на рабочих местах, для нее не
предназначенных, потеря информации в результате ее случайно-
го стирания или пожара. Практика показывает, что большинство
людей не уделяют серьезного внимания защите информации,
особенно резервированию, до тех пор, пока у них не произойдет
серьезная потеря информации.
Магнитная память, а затем лазерная запись — достоинство
автоматизированной системы: освобождение от многочисленных
Глава 2. Обеспечение безопасности информации в локальных сетях 317
бумаг открыла большие возможности для пользователя. Но хра-
нение данных в этой изменчивой среде значительно повышает
вероятность потери данных: несколько нажатий клавиш могут
уничтожить результаты работы многих часов и даже лет. Про-
никновение программного вируса в персональный компьютер
может также неприятно отразиться на всей работе и информа-
ции локальной сети, а также остальных персональных компью-
теров, входящих в состав локальной сети.
Система защиты информации от несанкционированного
доступа в локальных сетях
Защита от преднамеренного несанкционированного доступа.
Анализ локальной сети как объекта защиты, возможных каналов
несанкционированного доступа к информации ограниченного
пользования и потенциальных угроз позволяет выбрать и по-
строить соответствующую систему защиты.
Перечисленные выше возможные каналы несанкциониро-
ванного доступа рассмотрены с позиций максимально возмож-
ных угроз, ожидаемых от нарушителя-профессионала, модель
поведения которого, как наиболее опасная, принята за исходную
предпосылку в концепции защиты (см. разд. 3). Поэтому, не-
смотря на существующие на практике менее опасные модели, бу-
дем пока следовать принятым ранее решениям.
Несанкционированный доступ со стороны пользователя-на-
рушителя, очевидно, потребует создания па программном уровне
локальной сети системы опознания и разграничения доступа к ин-
формации (СОРДИ) со всеми ее атрибутами: средствами иденти-
фикации и аутентификации пользователей, а также разграниче-
ния их полномочий по доступу к информации файл-сервера и
(или) другим персональным компьютерам данной локальной
сети. Такими возможностями в настоящее время обладают все
сетевые операционные система с отличиями в технологиях реа-
лизации.
Средства зашиты сети позволяют устанавливать, кто имеет
право доступа к конкретным каталогам и файлам. При этом за-
щита данных файл-сервера осуществляется одним способом или
в различных сочетаниях обычно четырьмя способами:
•	входным паролем;
318
Раздел VII. Обеспечение безопасности информации в ПК...
•	попечительской зашитой данных;
•	защитой в каталоге;
•	защитой атрибутами файлов.
Первым уровнем сетевой защиты является защита данных
входным паролем. Защита при входе в сеть применяется по отно-
шению ко всем пользователям. Чтобы выйти в файл-сервер,
пользователю нужно знать свое «имя» и соответствующий па-
роль (6—8 символов для устойчивости к автоматизированному
взлому).
Администратор безопасности может установить дополни-
тельные ограничения по входу в сеть:
•	ограничить период времени, в течение которого пользова-
тель может входить в сеть;
•	назначить рабочим станциям специальные адреса, с кото-
рыми разрешено входить в сеть;
•	ограничить количество рабочих станций, с которых можно
выйти в сеть;
•	установить режим запрета постороннего вторжения, когда
при нескольких несанкционированных попытках с невер-
ным паролем устанавливается запрет на вход в сеть.
Второй уровень защиты данных в сети — попечительская за-
щита данных — используется для управления возможностями
индивидуальных пользователей по работе с файлами в заданном
каталоге. Попечитель — это пользователь, которому предостав-
лены привилегии или права для работы с каталогом и файлами
внутри него.
Любой попечитель может иметь восемь разновидностей прав:
•	Read — право Чтения открытых файлов;
•	Write — право Записи в открытые файлы;
•	Open — право Открытия существующего файла;
•	Create — право Создания (и одновременно открытия) но-
вых файлов;
•	Delete — право Удаления существующих файлов;
•	Parental — Родительские права:
право Создания, Переименования, Стираная подкатало-
гов каталога;
—	право Установления попечителей и нрав в каталоге;
—	право Установления попечителей и прав в подкаталоге;
•	Search — право Поиска каталога;
•	Modify — право Модификации файловых атрибутов.
Глава 2. Обеспечение безопасности информации в локальных сетях
319
Третий уровень зашиты данных в сети — защита данных в
каталоге. Каждый каталог имеет «маску максимальных прав».
Когда создастся каталог, маска прав содержит те же восемь раз-
новидностей прав, что и попечитель. Ограничения каталога при-
меняются только в одном заданном каталоге. Защита в каталоге
не распространяется на его подкаталоги.
Защита атрибутами файлов — четвертый уровень защиты
данных в сети. При этом предусмотрена возможность устанавли-
вать, может ли индивидуальный файл быть изменен или разделен.
Защита атрибутами файлов используется в основном для предот-
вращения случайных изменений или удаления отдельных файлов.
Такая защита, в частности, полезна для защиты информационных
файлов общего пользования, которые обычно читаются многими
пользователями. Эти файлы не должны допускать порчи при по-
пытках изменений или стирания. В защите данных используют-
ся четыре файловых атрибута: «Запись—Чтснис/Только чтение»
и « Разделяемый/ Н еразделяем ый».
Действующие права в сети — это те права, которые пользо-
ватель может применять в данном каталоге. Действующие права
определяются сочетанием прав попечительской зашиты и прав
защиты в каталогах. Файловые атрибуты имеют приоритет над
действующими правами пользователя.
Были описаны наиболее часто применяемые атрибуты и по-
литики защиты информации в сетях, имеющих модификации
для разных операционных систем. Однако средства защиты ин-
формации в сети не всегда удовлетворяют требованиям потреби-
телей. Поэтому существует ряд разработок специализированных
систем и комплексов защиты.
Чтобы исключить возможность обхода систем опознания и
разграничения доступа в персональных компьютерах и локаль-
ных сетях путем применения отладочных программ, а также
проникновения компьютерных вирусов, рекомендуется, если это
возможно, в данной локальной сети применять персональные
компьютеры без дисководов и внешних портов (типа СОМ или
USB), позволяющих подключить внешний носитель или по
крайней мере хотя бы заблокировать их механической крышкой,
опечатываемой администратором безопасности. Данная мера,
кроме того, защищает от кражи данных, которые можно скопи-
ровать на флэш-карту в течение нескольких минут. Их легко
спрятать и вынести за пределы даже охраняемой территории.
Многие поставщики сетей сейчас обеспечивают возможность за-
320
Раздел VII. Обеспечение безопасности информации в ПК...
грузки локальных рабочих станций с центрального сервера и та-
ким образом делают персональные компьютеры без диска при-
годными для использования в сети.
В тех же случаях, когда требуется локальное запоминающее
устройство, специалисты допускают возможность замены диско-
вода флоппи-диска, USB и т. п. на местный жесткий диск.
Опознание пользователя и разграничение доступа в локаль-
ных сетях можно также организовать с помощью шифровального
устройства. Лучше всего для этой цели использовать аппаратное
устройство, так как его подмена или отключение нарушителю нс
помогут. Такое устройство устанавливается в каждом персональ-
ном компьютере и тогда законный пользователь обращается в
сеть с помощью ключа-пароля, ответные значения которого хра-
нятся на тех рабочих станциях, к обмену с которыми он допу-
щен. В свою очередь на файл-сервере по этому паролю ему мо-
гут предоставляться персональные массивы данных. Еще одно
достоинство этого метода в том, что ключ-пароль данного поль-
зователя не хранится на данном персональном компьютере, а за-
поминается пользователем или хранится на специальном носи-
теле типа карточки. Решения с шифрованием на программном
уровне введены практически уже во все операционные системы,
в том числе обслуживающие рабочие станции.
Все данные, включая коды паролей, которые поступают в
сеть, и все данные, которые хранятся на жестком диске, должны
быть зашифрованы. При передаче данных в сеть до начала шиф-
рования с целью привязки к передаваемой информации иденти-
фикатор и/или адрес получателя и отправителя (передаваемые в
открытом виде) совместно с информацией должны подвергаться
обработке обычными средствами повышения достоверности, ре-
зультат которой одновременно с зашифрованной информацией
поступает на персональный компьютер-получатель, где после
дешифрации принятая информация проверяется на совпадение.
Данная процедура позволит обнаружить подмену идентификато-
ра и/или адреса, т. с. попытку навязывания ложной информации
при несанкционированном подключении к сети. При этом сле-
дует предостеречь разработчиков и пользователей локальных се-
тей от излишнего увлечения шифрованием. Шифрованию нс
должны подвергаться всем известные формализованные запросы
и сообщения, так как, зная закон преобразования, нарушитель
путем перебора известных формализованных сообщений может
вычислить действительное значение ключа, с помощью которого
Глава 2. Обеспечение безопасности информации в локальных сетях
321
одно из них закрыто, а знание последнего позволит нарушителю
ознакомиться с остальной зашифрованной информацией.
Поступающая в есть зашифрованная ключом отправителя
информация дешифруется на персональном компьютере-получа-
теле с помощью ключа, значение которого соответствует иденти-
фикатору и/или адресу отправителя.
Напомним, что ключи шифрования отправителей хранятся в
персональном компьютере-получателе в зашифрованном виде,
они зашифрованы ключом-паролем получателя информации. Вы-
бор методов и способов шифрования приведен в гл. 10, разд. 2.
В некоторых менее ответственных локальных сетях для за-
шиты от модификации информации при сс передаче по теле-
фонным каналам используется система «обратный вызов».
Система защиты «обратный вызов» и управление пользовате-
лем являются частью телефонных систем и могут быть использо-
ваны в передаче данных «ПК—сеть» на значительное расстоя-
ние. Если нужно подключиться к персональному компьютеру,
где имеется система защиты «обратный вызов», следует сооб-
щить об этом системе, и тогда ее устройство защиты подготавли-
вается для «обратного вызова» на ваше местонахождение. Други-
ми словами, система имеет в памяти полный листинг на каждого
допущенного пользователя. В этот файл включены семизначный
идентификационный номер, который вы должны набрать, когда
хотите обратиться к файлу; телефонный номер, по которому вас
можно найти; главные ЭВМ, к которым вам разрешен доступ.
Одним словом, подлинность обращения обеспечивается обрат-
ным вызовом, т. е. соединение с вами устанавливается вашим
адресатом по вашему вызову. Данный метод, однако, не защи-
щает от утечки информации.
Для защиты данных, передающихся по кабелю, существует
несколько методов. Первый метод — уборка кабеля из поля зре-
ния — должен быть предпринят для защиты кабеля от поврежде-
ния и удовлетворения правил электробезопасности, т. е. если ка-
бель проложить в труднодоступном скрытом месте, это будет
способствовать его защите от несанкционированного доступа.
Кабель, по которому передаются данные, излучает радиосиг-
налы подобно передающей антенне. Простое оборудование для
перехвата, установленное рядом с кабелем, может собирать и за-
писывать эти передачи. Если величина излучающего сигнала
превышает сигналы шумов на расстоянии за пределами охраняе-
мой территории, следует принять определенные меры защиты.
322
Раздел VII. Обеспечение безопасности информации в ПК...
Величину излучающего сигнала на кабеле можно уменьшить
с помощью экрана в виде заземленной оплетки из медных про-
водов. охватывающих провода, несущие информацию. Другой
способ решить эту проблему заключается в применении волокон-
но-оптического кабеля, использующего тонкий стеклянный вол-
новод, по которому передача информации осуществляется с по-
мощью модуляции света. Однако в последнее время появились
сообщения о возможности съема информации и с этих кабелей.
Поэтому наилучшим средством зашиты от вышеуказанных угроз
служит шифрование передаваемой информации, о котором со-
общалось выше. Заметим, что данное шифрование и шифрова-
ние, упоминаемое ранее при описании средств зашиты инфор-
мации в персональных компьютерах, не одно и то же, хотя оно и
может выполняться на одном и том же устройстве (аппаратном
или программном). В одном случае оно может быть предназна-
чено для персонального использования (закрытия информации
на носителях), в другом — для сетевого контроля и разграниче-
ния доступа. В сравнении с обычными большими системами
здесь исчезают понятия абонентского и линейного шифрования,
так как в локальных сетях отсутствуют узлы, подобные узлам
коммутации в больших сетях передачи данных.
Для расчета и оценки уровня безопасности информации в
локальной сети в зависимости от заданной модели нарушителя,
ценности и важности обрабатываемой информации необходимо
использовать три класса защиты, соответствующих первым
трем классам из четырех, приведенных для персональных ком-
пьютеров.
Величина прочности каждого средства защиты определяется
по методике и формулам 4 и 5 гл. 1, разд. 3. Итоговая оценка
уровня прочности защиты информации в локальной сети опре-
деляется в соответствующем разделе.
Средства управления защитой информации
в локальных сетях
Средства централизованного контроля и управления защитой
информации в локальных сетях включают:
•	персональное автоматизированное рабочее место службы
безопасности информации (АРМ СБИ);
Глава 2. Обеспечение безопасности информации в локальных сетях
323
•	специальное программное обеспечение (СПО);
•	организационные мероприятия.
В качестве АРМ СБИ (рис. 1) в больших локальных сетях
лучше всего использовать специально выделенный персональ-
ный компьютер, введенный в состав сети и размещенный в от-
дельном помещении, оборудованном средствами охранной сиг-
нализации. Однако в большинстве случаев будущие владельцы
локальных сетей нс захотят нести лишние расходы. Поэтому в
менее ответственных системах целесообразно выполнение задач
АРМ СБИ совместить с выполнением задач управления локаль-
ной сетью на персональном компьютере администратора сети,
выполняющего также роль супервизора системы. Однако со-
гласно принципу разделения привилегий, исключающему сосре-
доточение всех полномочий у одного человека, в ответственных
системах функции службы безопасности необходимо разделить
между службой безопасности информации и руководством фир-
мы, в организациях — между службой безопасности информа-
ции и владельцем локальной сети. Это означает, что функции
автоматизированного управления безопасностью могут выпол-
няться с двух персональных компьютеров: администратора и ру-
ководителя.
Нормальный режим работы локальной сети — когда функ-
ции управления выполняет администратор, а руководитель кон-
тролирует его действия и при необходимости может в этот про-
цесс вмешаться.
Все изменения, вносимые администратором (руководителем)
в систему, должны автоматически регулироваться и сообщаться
на персональный компьютер руководителя (администратора) в
виде отображения на его дисплее краткого сообщения о характе-
ре произведенных изменений. Далее руководитель (администра-
тор) может специальным запросом уточнить информацию. Со-
вмещение указанных задач, однако, не означает отключение,
даже на короткий период времени, функций обнаружения и бло-
кировки несанкционированного доступа, а также контроля
функционирования средств зашиты.
Специальное программное обеспечение средств централизо-
ванного контроля и управления безопасности информации
включает следующие программы:
•	ввода списков идентификаторов пользователей сети;
•	генерации и ввода кодов ключей-паролей;
•	ввода и контроля полномочий пользователей;
Автоматизированное рабочее место службы безопасности информации
(АРМ СБИ)
Рабочая станция
службы
безопасности
информации
Устройство
коитроля
вскрытия
аппаратуры
(УКВА)
Средства
внутренней
связи
Аппаратура
записи
ключей-
паролей
Вспомогательное
оборудование
ментация
Системный блок
Рабочий стол
11рограмматор
Монитор
Рабочее кресло
Комплект ключей-
паролей
Сейф
Клавиатура
Рис. 1. Структурная схема автоматизированною рабочего места службы безопасности информации:
СБИ — служба безопасности информации; УКВА — устройство контроля вскрытия аппаратуры; КП — ключ-пароль
324 Раздел VII. Обеспечение безопасности информации в ПК...
Глава 2. Обеспечение безопасности информации в локальных сетях
325
•	регистрации и отображения сообщений о фактах несанк-
ционированного доступа: несовпадений кодов ключей-па-
ролей, нарушений полномочий с указанием времени, места
и даты события;
•	регистрации обращений к информации, хранимой в
файл-сервере и рабочих станциях с указанием автора обра-
щения, времени и даты выдачи информации;
•	ведения журнала учета и регистрации доступа к инфор-
мации;
•	формирования и выдачи необходимых справок по несанк-
ционированному доступу;
•	контроля целостности программного обеспечения локаль-
ной сети;
•	контроля конфигурации локальной сети;
•	управления шифрованием информации;
•	периодического тестирования и контроля функционирова-
ния перечисленных функций;
•	документирования перечисленных работ;
•	ведения статистики несанкционированного доступа.
Особое внимание следует обратить на необходимость посто-
янного контроля несанкционированного доступа и выработки
сигнала тревожной сигнализации на автоматизированное место
службы безопасности информации, так как во многих подобных
программах ограничиваются только регистрацией события. От-
сутствие механизма немедленного отображения сигнала несанк-
ционированного доступа с указанием его места возникновения
существенно снижает безопасность информации и дает время на-
рушителю на выполнение своей задачи, так как просмотр журна-
ла регистрации может быть отложен или забыт по каким-либо
причинам.
Организационные мероприятия по управлению и контролю
доступа к техническим средствам и информации необходимы для
проведения централизованной защиты на локальных сетях в це-
лом, а также для дублирования в целях усиления прочности наи-
более слабых звеньев зашиты. Правильная и четкая организация
защиты — залог ее высокой эффективности. Однако необходимо
помнить, что гарантированные результаты даст только автомати-
ка, а не человек со всеми слабостями человеческой натуры.
Объем и виды организационных мероприятий на локальных
сетях аналогичны мероприятиям, приведенным в разд. 2, 4, 5.
326
Раздел VII. Обеспечение безопасности информации в ПК...
Защита информации в локальных сетях от случайного несанк-
ционированного доступа. Природа случайных воздействий на ап-
паратуру, программное обеспечение и в конечном итоге на ин-
формацию в локальной сети не отличается от процессов, опи-
санных в разд. 2. Методы и средства защиты от них в локальных
сетях аналогичны методам и средствам, применяемым в боль-
ших вычислительных сетях. Однако специалисты по локальным
сетям на персональных компьютерах этому вопросу уделяют
специальное внимание, акцентируя его на следующих методах и
средствах защиты, специфичных для локальных сетей.
Для резервирования данных можно использовать несколько
различных типов оборудования и средств: резервные сменные
носители, вспомогательный жесткий диск, дисковод со сменны-
ми жесткими дисками, лентопротяжное устройство со сменными
кассетами.
Из этих возможностей лучшей является лентопротяжное уст-
ройство со сменными кассетами.
Его преимущества:
•	большая емкость ленты;
•	дешевизна;
•	возможность хранения лент в другом месте;
•	неограниченная емкость системы.
Необходимо отметить, что прогресс в технологиях построе-
ния винчестеров позволяет значительно увеличить объем про-
странства записи при сохранении высокой скорости доступа, по-
этому многие компании переходят на комбинированные средст-
ва резервирования.
Весьма желательно хранить резервные ключи отдельно от
оригинальных. Резервные копии, хранящиеся в одном месте с
первичными данными, могут быть уничтожены в одной и той же
аварийной ситуации. Возможность хранения сколь угодно боль-
ших объемов данных особенно важна при создании архивов.
Магнитные ленты имеют один недостаток: медленную за-
пись. Однако если процедура резервирования не требует обслу-
живания устройств, то скорость записи становится несущест-
венной.
Для надежной записи данных на магнитную ленту рекомен-
дуется блок данных записывать более 1 раза в разных местах
ленты.
Обычно используются два типа систем резервирования: поточ-
ный и «файл-за-файлом». Поточные системы предназначены для
Глава 2. Обеспечение безопасности информации в локальных сетях
327
резервирования и восстановления больших блоков данных. Метод
«файл-за-файлом», известный как стартстопный метод, также
может создавать резервные копии больших блоков данных, но мо-
жет еще и восстанавливать отдельные файлы. Перемотка ленты
вперед и назад обеспечивает произвольный доступ к данным. Та-
кие ленты размечены как жесткий диск и могут использоваться
как жесткий диск, хотя они работают с меньшей скоростью.
Большинство потерь данных вызваны ошибками людей, при
этом обычно теряется только один или два файла. Но восстанов-
ление целого диска из-за нескольких файлов — потеря времени.
При восстановлении целого диска все пользователи должны
выйти из сети, что влечет за собой дополнительную потерю вре-
мени у обслуживающего персонала.
Отказоустойчивость — другая область защиты данных, кото-
рая может быть использована с системой резервирования. Отка-
зоустойчивость обеспечивается дополнительными компонентами
системы для предотвращения потери данных или простоя из-за
отказа элемента системы. Благодаря своей базовой архитектуре
локальная сеть обладает высокой степенью отказоустойчивости.
Отказ отдельной рабочей станции не влияет на работу локальной
сети, а отказ сервера или другого оборудования локальной сети
не мешает использовать рабочую станцию как изолированный
персональный компьютер.
Однако локальные сети все чаще применяются для управле-
ния критическими данными и критическими прикладными про-
граммами, что требует большей эффективности защиты. Для
этого в некоторых локальных сетях применяют дополнительные
меры, например установку дополнительных или резервных ком-
понентов. При отказе основного компонента может использо-
ваться резервный.
Система отказоустойчивости не должна рассматриваться как
замена системы резервирования. Отказоустойчивость, например,
не спасет от ошибок оператора, не сможет защитить от потерь
при пожаре или другой аварийной ситуации.
Архивирование данных. Система резервирования может ис-
пользоваться как подключенное архивное устройство. С по-
мощью архива редко используемые данные удаляются с жестко-
го диска и хранятся в архивной библиотеке. При необходимости
файл может быть загружен обратно на жесткий диск. Такая про-
цедура обладает множеством достоинств, включая уменьшение
требуемого свободного пространства на жестком диске.
328
Раздел VII. Обеспечение безопасности информации в ПК...
Система архивирования данных обычно содержит програм-
му, которая проверяет частоту использования отдельных про-
грамм. Когда система находит редко используемую программу,
например, по определению супервизора — 6 дней, то она стано-
вится кандидатом перевода ее в архив. Если файл данных пере-
несен с жесткого диска в архив, его имя, как обычно, поддержи-
вается в каталоге жесткого диска. Но вместо самих данных в
файл должно быть помешено сообщение о местонахождении
файла в архивной библиотеке. Можно также поместить и описа-
ние процедуры для загрузки файла из архива в сеть.
Архивные ленты хранятся так же, как и содержание библио-
теки: ленты пронумерованы и лежат на полке в удобном месте.
Если материал ценный, то для архивных лент должны быть сде-
ланы резервные копии. Для резервирования необходимо выпол-
нить процедуру занесения в архив дважды перед уничтожением
файлов.
Архивы помогают также и при защите данных от преднаме-
ренного доступа. Платежная ведомость, например, может хра-
ниться в архиве, а не на диске. Когда ведомость используют, ее
загружают в сеть, а после завершения работы удаляют с жесткого
диска и снова помещают в архивную библиотеку. Для работы с
платежной ведомостью нужно иметь соответствующие права
доступа к ее файлу.
Дальнейшее улучшение системы архивирования идет в сто-
рону поддержания записанных на ленту файлов в доступном
состоянии. В сети эта технология поддерживается сервером
лент или архивным сервером. С архивным сервером файлы нс
нужно загружать на жесткий диск, вместо этого доступ к ним
может производиться прямо на лентопротяжном устройстве.
Недостатком является то, что лентопротяжные устройства ра-
ботают медленнее, чем жесткий диск. Но это компенсируется
тем, что файлы можно использовать без процедуры восстанов-
ления.
В качестве системы резервирования информации в локаль-
ных сетях может использоваться система управления иерархиче-
ской памятью, позволяющая в современных компьютерных се-
тях хранить информацию практически в неограниченном объ-
еме. Система автоматически перемешает файлы между более
дорогими высокоскоростными магнитными дисками и менее до-
рогими медленными запоминающими устройствами на оптиче-
ских дисках и магнитных лентах.
Глава 2. Обеспечение безопасности информации в локальных сетях 329
Система архивирования данных выполняет роль и устройст-
ва резервирования: днем система может работать как сетевой ре-
сурс, а ночью — как устройство хранения и защиты данных.
Структурная схема системы защиты информации в локальных
сетях. В соответствии с установленными возможными каналами
несанкционированного доступа и выбранными средствами за-
щиты рассмотрим структурную схему системы защиты информа-
ции в локальных сетях, приведенную на рис. 2. Состав средств
защиты информации в локальных сетях в данной структуре по-
казан в расчете на обеспечение I класса безопасности информа-
ции. Функции контроля и управления безопасностью информа-
ции в локальных сетях аналогичны функциям управления и кон-
троля, приведенным в разд. 4.
Система защиты информации
Средства защиты инфор-
мации от преднамеренного
несанкционированного
доступа
Средства
централ и зо ван и о го
контроля
и управления
=1---------
Средства защиты
информации
от случайных
воздействий
Контроль доступа
па территорию объекта
Система защиты
информации в персональ-
ном компьютере
Специальное	
программное обеспечение	
Система опознания и раз-
граничения доступа к ин-
формации в локальной
компьютерной сети
Персональное
рабочее место
службы безопас-
ности информации
локальной ком-
пьютерной сети
Средства повышения
достоверности
информации
Резервирование
информации
Специальные
системотехнические < •—
решения
Система защиты инфор-
мации в линиях связи
Информационно-
лингвистическое
обеспечение
Система функцио-
нального контроля о
и диагностики
отказов
Средства зашиты информа-
ции от побочных электромаг-
нитных излучений и наводок
Организационные
мероприятия
Средства контроля целост-
ности локальной компью- < »-
терной сети
Рис. 2. Структурная схема системы защиты информации в локальных сетях
330
Раздел VII. Обеспечение безопасности информации в ПК...
Оценка уровня безопасности информации
от преднамеренного несанкционированного
доступа в локальных сетях
Оценку уровня безопасности целесообразно проводить по
трем классам: I, II и III, имея в виду, что по I классу оценивают-
ся локальные сети, в которых средствами защиты перекрыты все
перечисленные в табл. 1 возможные каналы несанкционирован-
ного доступа, по II классу — локальные сети, в которых могут
отсутствовать средства защиты от несанкционированного досту-
па со стороны линий связи и каналов ПЭМ ИН, по III классу —
локальные сети, в которых перекрыт только несапкциопирован
ный доступ к персональным компьютерам (см. класс 3 в табл. 2,
гл. 1, разд. 7), серверам, средствам контроля и управления функ-
ционированием и безопасностью информации. Оценка уровня
безопасности внутри класса производится в результате количест-
венной оценки прочности каждого средства зашиты, перекры-
вающего количество возможных каналов несанкционированного
доступа в соответствии с присвоенным локальной сети классом.
Критериями оценки уровня безопасности информации в ло-
кальных сетях может быть выбрана группа показателей, получен-
Таблица 1. Распределение средств защиты по возможному каналу
несанкционированного доступа (ВКНСД) локальной компьютерной сети (ЛКС)
Наименование ВКНСД	Средства защиты	Прочность	Класс защиты		
			1	II	III
Элемента сети (ПК)	Система безопасности инфор- мации элемента сети (ПК)	Gpc	+	+	+
Сервера	Средства контроля доступа на территорию объекта	Рх	+	+	+
	Средства контроля доступа в по- мещение сервера		+	+	—
	Программа контроля и разгра- ничения доступа к информа- ции ЛКС	Р3	+	+	4-
	Средства шифрования	Рд	+	—	—
	Организационные мероприятия	Ps	+	+	+
Глава 2. Обеспечение безопасности информации в локальных сетях
331
Продолжение табл. 1
Наименование ВКНСД	Среде та защи1ы	Прочнишь	Класс защиты		
			1	II	Ill
Несанкционированного дос- тупа со стороны средств кон- троля и управления конфигу- рацией, адресными таблица- ми и функциональным контролем ЛКС	Средства контроля доступа на территорию объекта	р,	+	+	+
	Средства контроля доступа в по- мещение администратора	р2	+	+	—
	Программа опознания и контро- ля доступа к информации ПК	р«	+	+	+
	Программа контроля и разгра- ничения доступа к информа- ции ЛКС	Рз	+	+	4-
	Средства контроля целостно- сти ЛКС	Р2	+	+	+
Несанкционированного дос- тупа со стороны линий связи ЛКС	Средства контроля доступа на территорию объекта	Pl	+	+	+
	Организационные мероприятия	р5	+	+	—
	Система шифрования	Р<	+	—	—
Несанкционированного дос- тупа со стороны аппаратуры передачи данных в каналы связи, концентраторов, мос- тов, коммутаторов и т. д.	Средства контроля доступа на территорию объекта	Р)	+	+	+
	Средства контроля доступа в по- мещение	р2	+	—	—
	Средства контроля вскрытия ап- паратуры	р»	+	—	—
	Оргмероприятия	р5	+	+	4-
Несанкционированного дос- тупа к информации за счет ПЭМИН	Средства контроля доступа на территорию объекта	Pl	+	—	—
	Средства уменьшения и зашум- ления сигналов, несущих секрет- ную информацию	р,	+	—	—
332
Раздел VII. Обеспечение безопасности информации в ПК...
Окончание табл. 1
Наименование ВКНСД	Среди 1ва защи1ы	ПрОЧНОС1Ь	Класс защиты		
			1	II	III
Несанкционированного доступа со стороны средств контроля и управления безопасностью информации вЛКС	Средства контроля доступа на территорию объекта	Pl	+	+	+
	Средства контроля доступа в помещение	рг	+	+	—
	Программа опознания и контро- ля доступа к информации ПК	р6	+	+	4-
	Программа контроля и разгра- ничения доступа к информа- ции Л КС	Рз	+	+	+
	Средства контроля целостно- сти ЛКС	р?	+	+	—
	Средства шифрования инфор- мации в ПК	Рю	+	—	—
	Средства шифрования инфор- мации в ЛКС	р<	+	—	—
	Оргмероприятия	р5	+	+	+
Примечания.
1. Знак «+» означает наличие средства зашиты, знак «-» — отсутствие
средства зашиты.
2. Считаем, что все помещения оборудованы системой контроля одного
типа.
ных в результате расчета прочности отдельных средств защиты,
составляющих в целом систему защиты. Поэтому с учетом табл. 1
целесообразно для оценки уровня безопасности информации в
локальных сетях использовать следующую группу показателей:
^клвс — уровень безопасности информации от преднамерен-
ного несанкционированного доступа, контролируемого системой
защиты локальной сети;
^iii.ibc — уровень безопасности информации на ВКНСД, вы-
ходящих за пределы возможностей системы контроля несанк-
ционированного доступа.
Глава 2. Обеспечение безопасности информации в локальных сетях
333
При этом оценка прочности средства зашиты, перекрываю-
щего один ВКНСД, определяется соответственно по формулам 4
и 15, гл. 1, разд.З, а расчет суммарной прочности зашиты при
применении на одном ВКНСД нескольких средств защиты про-
изводится по формуле 18, гл. 1, разд. 3 (с учетом табл. 1, гл. 2,
разд. 7). В конечном итоге значение прочности защиты для кон-
тролируемых ВКНСД можно определить на основе выражения:
Ллкс = Лрс и [1 - (1 - />,)(! - Л)(1 - Р3)(1 - Р5>] и
U [1 -(1 -/>,)(! -Л)(1 -Р„)] U
U |1 -(1 - />,>(! - Р2)(1 - P3)(l - Л)| U [1 -(I - Р,)(1 - Р,)| U
и [1-(1-p.xi-A)(i-Л)(1 -/’Л и
и [1 - (I - />,)(! - А)(1 - Л)(1 - Л)(1 - Л)1-
Для неконтролируемых ВКНСД:
ЛпЛВС “ Ли PC U Р4 U Р9 U Р|0.
Контрольные вопросы
1.	Каковы потенциальные угрозы информации, обрабатываемой в персональных
компьютерах? В чем заключается система защиты информации от несанкцио-
нированного доступа в персональных компьютерах?
2.	Каковы возможные источники компьютерных вирусов? Как проявляются ком-
пьютерные вирусы и каковы потенциальные угрозы, связанные с ними?
3.	Каковы типичные ошибки пользователя, приводящие к заражению персо-
нальных компьютеров вирусами?
4.	Что представляет собой локальная компьютерная сеть?
5.	По каким стандартам и спецификациям производится построение локальных
компьютерных сетей?
6.	Каковы потенциальные угрозы безопасности информации в локальных сетях?
7.	В чем заключается система защиты информации от несанкционированного
доступа в локальных сетях?
8.	Какие существуют средства управления защитой информации в локальных
сетях?
9.	Как выглядит структурная схема системы защиты информации в локальных
сетях?
10.	Как осуществляется оценка уровня безопасности информации от преднаме-
ренного несанкционированного доступа в локальных сетях?
Раздел VIII
ОРГАНИЗАЦИОННО-ПРАВОВОЕ
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Законодательные меры по обеспечению безопасности ин-
формации от несанкционированного доступа заключаются в ис-
полнении существующих в стране или введении новых законов,
положений, постановлений и инструкций, регулирующих юри-
дическую ответственность должностных лиц, пользователей и
обслуживающего технического персонала за утечку, потерю или
модификацию доверенной ему информации, подлежащей защи-
те, в том числе за попытки выполнить аналогичные действия за
пределами своих полномочий, а также ответственность посто-
ронних лиц за попытку преднамеренного несанкционированно-
го доступа к аппаратуре и информации.
Цель законодательных мер — предупреждение и сдержива-
ние потенциальных нарушителей. В настоящее время в Уголов-
ном кодексе предусматривается три главы, посвященных компь-
ютерным преступлениям.
Глава 1
ИНФОРМАЦИЯ КАК ОБЪЕКТ ПРАВА
СОБСТВЕННОСТИ
По существу сфера безопасности информации — не защита
информации, а защита прав собственности на нее.
Рассмотрим особенности информационной собственности.
Глава 1. Информация как объект права собственности
335
Исторически традиционным объектом права собственности
является материальный объект. Фактически право собственно-
сти до настоящего времени являлось вещным правом.
Информация не является материальным объектом, информа-
ция — это знание, т. е. отражение действительности в сознании
человека (причем истинное или ложное отражение — не сущест-
венно, важно, что в сознании). В дальнейшем информация может
воплощаться в материальные объекты окружающего нас мира.
Не являясь материальным объектом, информация неразрыв-
но связана с материальным носителем, это — мозг человека или
отчужденные от человека материальные носители, такие, как
книга, диск и другие виды «памяти» (запоминающие устройства).
С философской точки зрения, видимо, можно говорить об
информации как об абстрактной субстанции, существующей
сама по себе, но для нас ни хранение, ни передача информации
без материального носителя невозможны.
Как следствие, информация как объект права собственности
копируема (тиражируема) за счет материального носителя. Ма-
териальный объект права собственности некопируем. Действи-
тельно, если рассмотреть две одинаковые веши, то они состоят
из одинаковых структур, но материально разных молекул. А ин-
формация при копировании остается той же, это — то же зна-
ние, та же семантика.
Поэтому информация как объект права собственности легко
перемешается к другому субъекту права собственности без оче-
видного (заметного) нарушения права собственности на инфор-
мацию. Перемещение материального объекта к другому субъекту
права собственности неизбежно и, как правило, влечет за собой
утрату этого объекта первоначальным субъектом права собствен-
ности, т. е. происходит очевидное нарушение его права собствен-
ности.
Опасность копирования и перемещения информации усугуб-
ляется тем, что она, как правило, отчуждаема от собственника,
т. е. хранится и обрабатывается в сфере доступности большого
числа субъектов, не являющихся субъектами права собственности
на эту информацию. Это, например, автоматизированные поис-
ковые системы, информационные сети и т. п.
Рассмотрев особенности информации как объекта права соб-
ственности, подчеркнем, что в остальном информация, очевид-
но, ничем нс отличается от традиционных объектов права интел-
лектуальной собственности.
336
Раздел VIII. Организационно-правовое обеспечение...
Право собственности включает три правомочия собственни-
ка, составляющих содержание (элементы) нрава собственности:
право распоряжения; право владения; право пользования.
Субъект права собственности на информацию может пере-
дать часть своих прав (распоряжение), не теряя их сам, другим
субъектам, например «хранителю», т. е. владельцу материального
носителя информации (это — владение или пользование) или
пользователю (это — пользование и, может быть, владение).
Для информации право распоряжения подразумевает исклю-
чительное право (т. е. никто другой, кроме собственника) опре-
делять, кому эта информация может быть предоставлена (во вла-
дение и пользование).
Право владения подразумевает иметь эту информацию в не-
изменном виде. Право пользования подразумевает право ис-
пользовать эту информацию в своих интересах.
Таким образом, к информации, кроме субъекта права соб-
ственности на эту информацию, могут иметь доступ другие
субъекты права собственности как законно, санкционирован-
ие (это — субъекты права на элементы собственности), так и
незаконно, несанкционированно. Возникает сложная система
взаимоотношений между этими субъектами права собствен-
ности.
Эти взаимоотношения должны регулироваться и охраняться,
так как отклонения от них могут привести к перемещению ин-
формации, что влечет за собой нарушение права собственности
субъекта на эту информацию. Другими словами, речь идет о реа-
лизации права собственности на информацию. Под этим будем
понимать государственную или частную (или государственно-ча-
стную) инфраструктуру, предотвращающую нарушение права
собственности на информацию.
В принципе, как и для любого объекта собственности, такая
инфраструктура состоит из цепочки: законодательная власть —
судебная власть — исполнительная власть (закон — суд — нака-
зание).
Закон должен предусматривать ответственность и полномо-
чия субъектов права собственности (на элементы собственно-
сти). Каждый такой субъект в рамках предоставленных ему соб-
ственником полномочий несет перед ним ответственность за
предусмотренное законом и подтвержденное судом превышение
этих полномочий, которое привело или могло привести к нару-
шению права собственности собственника информации.
Глава 1. Информация как объект права собственности
337
Итак, несмотря на ряд особенностей, информация наряду с
традиционными материальными объектами может и должна рас-
сматриваться законом как объект права собственности.
Любой закон о собственности в целях зашиты права собст-
венника, зафиксировав субъекты и объекты права собственно-
сти, должен регулировать отношения между ними. Особенности
регулирования этих отношений зависят от специфики объектов
права собственности.
В рассматриваемом случае информационной собственности
ввиду перечисленных выше особенностей информации как объ-
екта права собственности (копируемое™», перемещаемость, отчу-
ждаемость) закон должен регулировать отношения субъектов, а
также субъектов и объектов права собственности на информацию
в целях защиты прав как собственника, так и законных владель-
цев и пользователей информации для защиты информационной
собственности от разглашения, утечки — несанкционированного
ознакомления с ней, ее обработки, в частности копирования, мо-
дификации или уничтожения. Учитывая возможность хищения
информации вместе с ее носителем, необходимо указать и на эту
угрозу, в результате осуществления которой может также про-
изойти утечка и утрата информации. Под модификацией инфор-
мации понимается несанкционированное сс изменение, коррект-
ное по форме и содержанию, но другое по смыслу.
В правовой практике России информация определяется в каче-
стве объекта права в первой части Гражданского кодекса РФ
(ст. 128), принятой Государственной Думой 21.10.94 г. Федераль-
ным законом «Об информации, информатизации и защите инфор-
мации» от 20.02.95 г. определено, что информационные ресурсы,
т. е. отдельные документы или массивы документов, в том числе и
в информационных системах, являясь объектами отношений фи-
зических, юридических лиц и государства, подлежат обязательно-
му учету и защите как материальное имущество собственника
(ст. 4.1, ст. 6.1). Этим же законом впервые вводится понятие доку-
ментированной информации с ограниченным доступом (ст. 10.2),
которая подразделяется на информацию, отнесенную к государст-
венной тайне, и конфиденциальную информацию (т. е. представ-
ляющую коммерческую, личную, служебную и другие тайны).
Таким образом, можно определить цель обеспечения безо-
пасности информации, которая заключается в защите прав соб-
ственности на нсс, и задачи безопасности информации, которые
заключаются в защите ее от утечки, модификации и утраты.
338
Раздел VIII. Организационно-правовое обеспечение...
Глава 2
ИНФОРМАЦИЯ КАК КОММЕРЧЕСКАЯ
ТАЙНА
Понятие «коммерческой тайны» введено в практику Россий-
ской Федерации с 1 января 1991 г. ст. 33 закона «О предприяти-
ях в СССР» и сформулировано на сегодняшний день в Феде-
ральном законе Российской Федерации от 29 июля 2004 г.
№ 98-ФЗ «О коммерческой тайне», ст. 3 которого гласит:
1)	коммерческая тайна — конфиденциальность информации,
позволяющая ее обладателю при существующих или возможных
обстоятельствах увеличить доходы, избежать неоправданных рас-
ходов, сохранить положение на рынке товаров, работ, услуг или
получить иную коммерческую выгоду;
2)	информация, составляющая коммерческую тайну, — науч-
но-техническая, технологическая, производственная, финансо-
во-экономическая или иная информация (в том числе состав-
ляющая секреты производства (ноу-хау), которая имеет действи-
тельную или потенциальную коммерческую ценность в силу
неизвсс!Hociи ее третьим лицам, к ко юрой hui свободною до-
ступа на законном основании и в отношении которой обладате-
лем такой информации введен режим коммерческой тайны;
3)	режим коммерческой тайны — правовые, организацион-
ные, технические и иные принимаемые обладателем информа-
ции, составляющей коммерческую тайну, меры по охране ее
конфиденциальности;
4)	обладатель информации, составляющей коммерческую
тайну, — лицо, которое владеет информацией, составляющей
коммерческую тайну, на законном основании, ограничило до-
ступ к этой информации и установило в отношении ее режим
коммерческой тайны;
5)	доступ к информации, составляющей коммерческую тай-
ну, — ознакомление определенных лиц с информацией, состав-
ляющей коммерческую тайну, с согласия ее обладателя или на
ином законном основании при условии сохранения конфиден-
циальности этой информации;
6)	передача информации, составляющей коммерческую тай-
ну, — передача информации, составляющей коммерческую тай-
ну и зафиксированной на материальном носителе, ее обладате-
Глава 2. Информация как коммерческая тайна
339
лем контрагенту на основании договора в объеме и на условиях,
которые предусмотрены договором, включая условие о принятии
контрагентом установленных договором мер по охране ее кон-
фиденциальности;
7)	контрагент — сторона гражданско-правового договора, ко-
торой обладатель информации, составляющей коммерческую
тайну, передал эту информацию;
8)	предоставление информации, составляющей коммерче-
скую тайну, — передача информации, составляющей коммерче-
скую тайну и зафиксированной на материальном носителе, ее
обладателем органам государственной власти, иным государст-
венным органам, органам местного самоуправления в целях вы-
полнения их функций;
9)	разглашение информации, составляющей коммерческую
тайну, — действие или бездействие, в результате которых инфор-
мация, составляющая коммерческую тайну, в любой возможной
форме (устной, письменной, иной форме, в том числе с исполь-
зованием технических средств) становится известной третьим
лицам без согласия обладателя такой информации либо вопреки
трудовому или гражданско-правовому договору.
Для того чтобы иметь возможность контролировать деятель-
ность предприятий, правительство России выпустило 5 декабря
1991 г. постановление №35 «О перечне сведений, которые не
могут составлять коммерческую тайну». Положения данного за-
кона отражены в статье 5 Федерального закона Российской Фе-
дерации от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне».
Порядок защиты государственной тайны регулируется Зако-
ном РФ «О государственной тайне» (от 21 июля 1993 года,
№ 5485-1 (в ред. Федерального закона от 06.10.97 г. № 131-ФЗ) и
связанным с данным законом постановлением Правительства
РФ «Об утверждении Правил отнесения сведений, составляю-
щих государственную тайну, к различным степеням секретно-
сти» от 4.09.95 г. № 870.
Защита информации и прав субъектов в области информаци-
онных процессов и информатизации регулируется главой 5 Фе-
дерального закона РФ № 24-ФЗ «Об информации, информати-
зации и защите информации», принятого 20 февраля 1995 г.
По вопросам, связанным с зашитой государственной тайны,
поскольку это достаточно емкий самостоятельный информаци-
онный блок, к тому же достаточно специфичный в рамках дан-
ного учебного пособия, рекомендуем студентам обратиться к
340	Раздел VIII. Организационно-правовое обеспечение...
специальной литературе, где данный вопрос хорошо рассмотрен
и имеется достаточно много материала (рекомендуем начинать
с журнала «Вопросы защиты информации» ВИМИ за 1995 г. и
соответствующего закона «О гостайне»).
Здесь считаем целесообразным уделить некоторое внимание
вопросу коммерческой тайны.
В приведенном ниже перечне сведения сгруппированы по те-
матическому принципу. Предлагаемое разделение на группы но-
сит рекомендательный характер и может быть изменено в зави-
симости от специфики сведений, составляющих коммерческую
тайну конкретного предприятия (организации). Сведения, вклю-
ченные в данный перечень, могут быть коммерческой тайной
только с учетом особенностей конкретного предприятия (органи-
зации).
1.	Сведения о финансовой деятельности:
•	прибыль, кредиты, товарооборот;
•	финансовые отчеты и прогнозы;
•	коммерческие замыслы;
•	фонд заработной платы;
•	стоимость основных и оборотных средств;
•	кредитные условия платежа;
•	банковские счета;
•	плановые и отчетные калькуляции.
2.	Информация о рынке:
•	цены, скидки, условия договоров, спецификация про-
дукции;
•	объем, история, тенденции производства и прогноз для
конкретного продукта;
•	рыночная политика и планы;
•	маркетинг и стратегия цен;
•	отношения с потребителями и репутация;
•	численность и размещение торговых агентов;
•	каналы и методы сбыта;
•	политика сбыта;
•	программа рекламы.
3.	Сведения о производстве и продукции:
•	сведения о техническом уровне, технико-экономических
характеристиках разрабатываемых изделий;
•	сведения о планируемых сроках создания разрабатывае-
мых изделий;
Глава 2. Информация как коммерческая тайна
341
•	сведения о применяемых и перспективных технологиях,
технологических процессах, приемах и оборудовании;
•	сведения о модификации и модернизации ранее извест-
ных технологий, процессов, оборудования;
•	производственные мощности;
•	состояние основных и оборотных фондов;
•	организация производства;
•	размещение и размер производственных помещений и
складов;
•	перспективные планы развития производства;
•	технические спецификации существующей и перспек-
тивной продукции;
•	схемы и чертежи отдельных узлов, готовых изделий, но-
вых разработок;
•	сведения о состоянии программного и компьютерного
обеспечения;
•	оценка качества и эффективности;
•	номенклатура изделий;
•	способ упаковки;
•	доставка.
4.	Сведения о научных разработках:
•	новые технологические методы, новые технические, тех-
нологические и физические принципы, планируемые к
использованию в продукции предприятия;
•	программы НИР;
•	новые алгоритмы;
•	оригинальные программы.
5.	Сведения о системе материально-технического обеспечения:
•	сведения о составе торговых клиентов, представителей и
посредников;
•	потребности в сырье, материалах, комплектующих узлах
и деталях, источники удовлетворения этих потребностей;
•	транспортные и энергетические потребности.
6.	Сведения о персонале предприятия:
•	численность персонала предприятия;
•	определение лиц, принимающих решение.
7.	Сведения о принципах управления предприятием:
•	сведения о применяемых и перспективных методах
управления производством;
342
Раздел VIII. Организационно-правовое обеспечение...
•	сведения о фактах ведения переговоров, предметах и це-
лях совещаний и заседаний органов управления;
•	сведения о планах предприятия по расширению произ-
водства;
•	условия продажи и слияния фирм.
8.	Прочие сведения:
•	важные элементы систем безопасности, кодов и проце-
дур доступа к информационным сетям и центрам;
•	принципы организации защиты коммерческой тайны.
Федеральным законом «О банках и банковской деятельности*
№ 395-1 от 02.12.1990 г. введено понятие «банковской тайны».
Под банковской тайной подразумевается обязанность кре-
дитного учреждения сохранять тайну по операциям клиентов,
ограждение банковских операций от ознакомления с ними по-
сторонних лиц, прежде всего конкурентов того или иного кли-
ента, тайну по операциям, счетам и вкладам своих клиентов и
корреспондентов. Иначе банковскую тайну можно определить
как личную тайну вкладчика банка. В итоге коммерческая тайна
банка включает коммерческую тайну самого банка и личную
тайну вкладчика.
Уголовный кодекс Российской Федерации включает в себя
статьи, регламентирующие исход прецедентов в области без-
опасности информации:
Статья 272. Неправомерный доступ к компьютерной
информации
I. Неправомерный доступ к охраняемой законом компьютер-
ной информации, т. е. информации на машинном носителе, в
электронно-вычислительной машине (ЭВМ), системе ЭВМ или
их сети, если это деяние повлекло уничтожение, блокирование,
модификацию либо копирование информации, нарушение рабо-
ты ЭВМ, системы ЭВМ или их сети, — наказывается штрафом в
размере до двухсот тысяч рублей или в размере заработной платы
или иного дохода осужденного за период до восемнадцати меся-
цев, либо исправительными работами на срок от шести месяцев
до одного года, либо лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предваритель-
ному сговору или организованной группой либо лицом с ис-
пользованием своего служебного положения, а равно имеющим
Глава 2. Информация как коммерческая тайна
343
доступ к ЭВМ, системе ЭВМ или их сети, — наказывается штра-
фом в размере от ста тысяч до трехсот тысяч рублей или в разме-
ре заработной платы или иного дохода осужденного за период от
одного года до двух лет, либо исправительными работами на
срок от одного года до двух лет, либо арестом на срок от трех до
шести месяцев, либо лишением свободы на срок до пяти лет.
Статья 273. Создание, использование и распространение
вредоносных программ для ЭВМ
1. Создание программ дня ЭВМ или внесение изменений в
существующие программы, заведомо приводящих к несанкцио-
нированному уничтожению, блокированию, модификации либо
копированию информации, нарушению работы ЭВМ, системы
ЭВМ или их сети, а равно использование либо распространение
таких программ или машинных носителей с такими программа-
ми — наказываются лишением свободы на срок до трех лет со
штрафом в размере до двухсот тысяч рублей или в размере зара-
ботной платы или иного дохода осужденного за период до во-
семнадцати месяцев.
2. Тс же деяния, повлекшие по неосторожности тяжкие по-
следствия, — наказываются лишением свободы на срок от трех
до семи лет.
Статья 274. Нарушение правил эксплуатации ЭВМ,
системы ЭВМ или их сети
I. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или
их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их
сети, повлекшее уничтожение, блокирование или модификацию
охраняемой законом информации ЭВМ, если это деяние причи-
нило существенный вред, — наказывается лишением права за-
нимать определенные должности или заниматься определенной
деятельностью на срок до пяти лет, либо обязательными работа-
ми на срок от ста восьмидесяти до двухсот сорока часов, либо
ограничением свободы на срок до двух лет.
2. То же деяние, повлекшее по неосторожности тяжкие по-
следствия, — наказывается лишением свободы на срок до четы-
рех лет.
344
Раздел VIII. Организационно-правовое обеспечение...
Глава 3
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
С наступлением эры компьютеров, а потом и эры телеком-
муникационных технологий, доступ к информации, ее объемы,
возможность быстро получать и компилировать данные из де-
сятков разных источников привели к тому, что технологическое
количество породило новое качество.
Если раньше бумажные документы ограничивали использо-
вание в полной мере персональных данных, хранящихся на этих
носителях, то с наступлением компьютерной эры, особенно с
развитием Интернета, появились почти неограниченные воз-
можности поиска, сортировки, обобщения, копирования и вто-
ричного использования документов.
Данное обстоятельство, с одной стороны, увеличивает важ-
ность персональных данных, как фактора экономической, соци-
альной и культурной жизни, с другой стороны способно карди-
нально и в наихудшей мерс повлиять на право каждого защитить
свои права и свободы.
Наконец, доступность персональных данных и связанная с
ней открытость частной жизни могут привести и часто приводят
не только к правонарушениям, но и к тяжким преступлениям,
жертвами которых становятся граждане.
Можно перечислить основные факторы, способствующие
возникновению и развитию оборота персональных данных:
•	данные в подавляющем большинстве стали представляться
и обрабатываться в электронном виде;
•	стало легко комбинировать данные, полученные из разных
баз данных (источников);
•	возросшая скорость компьютеров позволяет производить
любую необходимую обработку информации, содержащей
персональные данные;
•	стоимость храпения данных и доступа к их массивам резко
снизилась;
•	персональные компьютеры превратились в общедоступное
средство;
•	возникший Интернет завершил формирование среды ин-
формационного обмена, связанного с персональными дан-
ными.
Глава 3. Персональные данные
345
Есть все основания полагать, что оборот персональных дан-
ных в России по вполне объективным причинам будет неуклон-
но расти. Одновременно с ростом потребностей в персональных
данных и увеличением оборота этих данных будет расти и число
преступлений, связанных с ними. Все это заставляет самым при-
стальным образом рассматривать правовые вопросы, связанные
с персональными данными.
Сферы обращения персональных данных всеобъемлющи.
В оборот персональных данных включены все:
•	сам гражданин (субъект персональных данных);
•	общество в целом и другие граждане;
•	государство, как многослойная и многофункциональная
управляющая структура;
•	бизнес.
Соответственно, все участники оборота связаны между собой
подчас весьма сложными взаимными отношениями, которые
схематично можно показать на рис. 1.
Рис. 1. Схема связей с субъектом персональных данных
В центре (треугольника) этих отношений находится субъект
персональных данных, соединенный с государством, обществом,
отдельными гражданами и бизнесом множеством формальных и
неформальных связей.
Такими же связями соединены все остальные субъекты отно-
шений:
•	субъект персональных данных — другой гражданин. Сущест-
вует множество случаев и причин, по которым один граж-
данин на законных основаниях нуждается в определенных
сведениях о другом гражданине. Оказавшимся в разных го-
346
Раздел VIII. Организационно-правовое обеспечение...
родах друзьям необходимо найти друг друга, пациенту нуж-
но знать о наличии лицензии у частнопрактикующего вра-
ча, покупателю недвижимости необходимо знать о всех
имущественных правах, которые существуют в отношении
интересующего его объекта недвижимости;
•	субъект персона льных данных—общество. Общество, как со-
вокупность граждан, испытывает определенную потреб-
ность в получении информации, что выражено емким тер-
мином «свобода слова» и реализовано в связанной с этой
свободой деятельности средств массовой информации. Ма-
териалы средств массовой информации содержат, в том
числе, огромное количество персональной информации.
Кроме этого, к общественным интересам может быть отне-
сена деятельность писателей и ученых, которые в силу сво-
ей профессии могут сталкиваться с необходимостью полу-
чения и использования персональной информации. Важ-
ность соотношения персональных данных и деятельности
средств массовой информации была отражена в официаль-
ных европейских документах;
•	субъект персональных данных—бизнес. Интересы большин-
ства коммерческих организаций требуют знания персо-
нальной информации о тех лицах, с которыми им прихо-
дится иметь дело. Поэтому большинство из этих коммерче-
ских организаций нс только получают необходимую им
информацию от своих клиентов, но и используют различ-
ные иные источники получения такой информации. Этими
источниками являются как базы данных других коммерче-
ских организаций, так и базы данных, находящиеся в рас-
поряжении у государства, а также общедоступные источни-
ки информации;
•	субъект персональных данных—государство. Государство в
совокупности было и остается основным и самым большим
держателем и потребителем персональных данных. Это
обусловлено теми публичными функциями, которые вы-
полняет государство. Чаще всего выполнение этих функ-
ций требует обязательного предоставления гражданами их
персональных данных государственным ведомствам, что, в
свою очередь, предопределяет тотальность многих из тех
баз персональных данных, которыми распоряжается госу-
дарство (например, налоговые органы или органы, ответст-
венные за регистрацию актов гражданского состояния);
Глава 3. Персональные данные
347
•	общество—государство. Государство несет множество обя-
занностей по отношению к обществу, обладая при этом аде-
кватными этим обязанностям полномочиями. В первую
очередь, это обязанности по поддержанию общественной
безопасности. Кроме случаев, когда полномочия государст-
ва связаны с правоприменением в отношении конкретного
гражданина, государству предоставлены такие полномочия,
как осуществление видео наблюдения в общественных мес-
тах, определенный контроль за информационными потока-
ми в Интернете и пр. Все это ставит общий вопрос о взаимо-
отношениях между обществом и государством в терминах
получения и использования персональных данных граждан;
•	общество—бизнес. Несмотря на то, что основным объектом
защиты являются права конкретного гражданина, задача
защиты этих прав часто и неизбежно выходит далеко за
рамки двухсторонних отношений. Некоторые проблемы, в
частности, такие, как взаимоотношения между работником
и работодателем, нс могут быть в полной мере решены на
двухсторонней основе и требуют решения в рамках иногда
очень больших коллективов. Наконец, в тех сферах, кото-
рые принципиально не являются «вотчиной» бизнеса, в ча-
стности в Интернете, как не только информационном, но
и общественном явлении, взаимоотношения между обще-
ством и бизнесом в части получения и использования пер-
сональных данных должны соответствовать определенным
правовым нормам;
•	бизнес—государство. С точки зрения персональных данных
бизнес соединяет с государством множество нитей. Работо-
датель обязан в соответствии с законом исполнять опреде-
ленные обязанности, связанные, например, с перечислени-
ем налогов в качестве налогового агента. Тот же работода-
тель может нуждаться в помощи государства тогда, когда
имеет законные основания подозревать своего работника в
нарушении своих прав, в частности права собственника.
Банки обязаны сообщать госорганам определенные под-
робности о частных вкладах граждан, размещенных на сче-
тах банка. С другой стороны, бизнес нуждается в той пер-
сональной информации, которая находится в распоряже-
нии у государства.
Вес эти отношения порождают массу конкретных проблем, в
целом объединенных общими свойствами.
348
Раздел VIII. Организационно-правовое обеспечение...
В первую очередь, они затрагивают интересы самого гражда-
нина, находящегося в центре отношений, и, в конечном итоге,
его права и свободы, гарантированные Конституцией.
Во-вторых, — и это не менее значимо, — эти отношения
связаны с реализацией прав (или полномочий) других участни-
ков отношений, также определенных и/или гарантированных
Конституцией. Это порождает разнообразные и многочисленные
конфликты интересов, одной из сторон которых является субъ-
ект персональных данных, другой — все остальные субъекты от-
ношений. Очевидно, что сложность и многоплановость этих
конфликтов не предполагает простое или тривиальное их реше-
ние. Это обстоятельство отражено и в международных докумен-
тах, посвященных персональным данным.
В-третьих, отношения гражданина-субъекта персональных
данных с остальными субъектами (обществом, государством,
бизнесом), несмотря на специфику каждого из этих отношений,
обладают для него одинаковой значимостью. Человек в равной
степени является экономическим субъектом, членом общества и
«подданным государства».
Современная система европейского законодательства о пер-
сональных данных основана на нескольких международных до-
кументах. Два из них имеют особый статут.
Евроконвенция — Конвенция Совета Европы о защите лично-
сти в связи с автоматической обработкой персональных данных
(1981 год). Для России этот документ имеет принципиальное
значение не только потому, что она входит в Совет Европы, но и
в силу того, что национальные законы, принимаемые в соответ-
ствии с Евроконвенцией, напрямую запрещают частному секто-
ру и госведомствам трансграничную передачу персональных дан-
ных в страны, в которых нет адекватного правового режима за-
щиты.
Евродиректива, В 1995 г. Европейский парламент и Совет
Европейского союза приняли Директиву 95/46/ЕС о защите прав
частных лиц применительно к обработке персональной инфор-
мации данных и о свободном движении таких данных. По сво-
ему статусу Евродиректива является правовым стандартом, обя-
зательным для применения в национальных законодательствах
стран-членов Европейского союза.
В настоящее время во многих европейских странах приняты
национальные законы, которые подробно регламентируют все
нюансы работы с персональными данными, разработаны реко-
Глава 3. Персональные данные
349
мендации для операторов персональных данных, созданы соот-
ветствующие контролирующие органы. Российская Федерация,
ратифицировав в 2005 г. Конвенцию Совета Европы о защите
физических лиц при автоматизированной обработке персональ-
ных данных, также вошла в число стран, в основе законода-
тельств которых, наравне с другими, лежит принцип обеспече-
ния прав личности на защиту своих персональных данных. Ев-
родиректива 95/46/ЕС является сегодня правовым стандартом,
обязательным для применения в национальных законодательст-
вах стран-членов Европейского союза, поэтому положения Фе-
дерального закона Российской Федерации от 27 июля 2006 г.
№ 152-ФЗ «О персональных данных» во многом повторяют нор-
мы, предусмотренные европейским законодателем, но в то же
время российский закон имеет и ряд существенных отличий.
Федеральный закон № 24-ФЗ от 20.02.95
«Об информации, информатизации и защите
информации»
Статья 11. Информация о гражданах (персональные данные)
1.	Перечни персональных данных, включаемых в состав фе-
деральных информационных ресурсов, информационных ресур-
сов совместного ведения, информационных ресурсов субъектов
Российской Федерации, информационных ресурсов органов ме-
стного самоуправления, а также получаемых и собираемых него-
сударственными организациями, должны быть закреплены на
уровне федерального закона. Персональные данные относятся к
категории конфиденциальной информации. Не допускаются
сбор, хранение, использование и распространение информации о
частной жизни, а равно информации, нарушающей личную тай-
ну, семейную тайну, тайну переписки, телефонных переговоров,
почтовых, телеграфных и иных сообщений физического лица без
его согласия, кроме как на основании судебного решения.
2.	Персональные данные не могут быть использованы в це-
лях причинения имущественного и морального вреда гражданам,
затруднения реализации прав и свобод граждан Российской Фе-
дерации. Ограничение прав граждан Российской Федерации на
350
Раздел VIII. Организационно-правовое обеспечение...
основе использования информации об их социальном происхо-
ждении, о расовой, национальной, языковой, религиозной и
партийной принадлежности запрещено и карается в соответст-
вии с законодательством
3.	Юридические и физические лица, в соответствии со свои-
ми полномочиями владеющие информацией о гражданах, полу-
чающие и использующие ее, несут ответственность в соответст-
вии с законодательством Российской Федерации за нарушение
режима зашиты, обработки и порядка использования этой ин-
формации.
4.	Подлежит обязательному лицензированию деятельность
негосударственных организаций и частных лиц, связанная с об-
работкой и предоставлением пользователям персональных дан-
ных. Порядок лицензирования определяется законодательством
Российской Федерации.
5.	Неправомерность деятельности органов государственной
власти и организаций по сбору персональных данных может
быть установлена в судебном порядке по требованию субъектов,
действующих на основании статей 14 и 15 настоящего Федераль-
ного закона и законодательства о персональных данных.
Контрольные вопросы
1.	В каком отношении информация определяется как право собственности?
2.	Как в законах и нормативно-правовых актах устанавливается понятие инфор-
мации как коммерческой тайны?
3.	Приведите перечень и основное содержание документов, устанавливающих
меры воздействия за нарушение законодательства в области информации.
4.	Что такое персональные данные?
5.	Как осуществляется защита персональных данных с точки зрения законода-
тельства?
Заключение
В данном учебном пособии приводятся свойства информа-
ции как предмета защиты в информационных системах, системы
автоматизированной обработки и обмена информацией как объ-
екты ее защиты. Приводятся методики анализа и систематиза-
ции потенциальных угроз безопасности информации, современ-
ные методы и средства управления санкционированным досту-
пом к информации. В доступном для студента изложении
приводится анализ и методика анализа обеспечения рассматри-
ваемых вопрос и задач в организации любого уровня, будь то го-
сударственная, корпоративная, банковская структура или ком-
мерческая фирма. Наряду с практическим преломлением мате-
риала, представленным в пособии, более глубоко рассмотрена и
теоретическая сторона. Определены предмет и объекты защиты,
цели и задачи защиты, единые подход, концепция и принципы
построения системы безопасности информации в информацион-
ных системах, сетях и компьютерных системах управления. Не-
сомненным достоинством учебного пособия являются расчетные
соотношения и формулы для расчета уровня прочности отдель-
ных средств защиты и информационной системы в целом, что
позволит специалистам определить уровень безопасности в кон-
кретной функционирующей информационной системе, задать
соответствующие показатели в техническом задании на разра-
ботку системы в будущем.
Приведенные и рекомендуемые для изучения подходы, кон-
цепция, принципы построения защиты информации и расчетные
соотношения позволят независимо от вида, назначения и мас-
штабов информационной системы создать на пути нарушителя и
случайных воздействий строгую и управляемую систему равно-
прочных и взаимосвязанных преград с возможностью обоснован-
ного получения ее количественных и качественных параметров,
отвечающих заданным требованиям по уровню безопасности об-
рабатываемой информации.
352
Заключение
Особое внимание при изучении следует обратить на приве-
денные в пособии результаты системных исследований сущно-
сти проблемы: разработку полной и непротиворечивой концеп-
ции ее решения, применение которой в любой конкретной авто-
матизированной информационной системе позволит решить
проблему в виде частного случая.
В настоящее время исследования и разработка защиты ин-
формации от несанкционированного доступа в информацион-
ных системах ведутся разными специалистами в основном по
двум направлениям: территориально сосредоточенным инфор-
мационным системам и распределенным информационным
сетям. При этом используются где-то совпадающие и несов-
падающие подходы, терминология и определения. При сопря-
жении данных систем системотехнические решения по реали-
зации безопасности информации в них часто не стыкуются
между собой, дублируют друг друга и вместе с тем не пере-
крывают возможные каналы несанкционированного доступа к
информации.
Рассматриваемая в учебном пособии концепция безопасно-
сти информации одинаково эффективна в обоих направлениях
и, следовательно, эффективно будет работать при сопряжении
указанных информационных систем, хотя и есть различие в под-
ходах, которые учитывают специфические принципы обработки
и передачи данных, но не противоречат, а дополняют друг друга.
Качество защиты при этом зависит от выбранного заказчиком
информационной системы класса модели поведения потенци-
ального нарушителя, уровня прочности установленных разработ-
чиком средств защиты и обеспечения уровня автоматизации и
централизации управления последними.
Предлагаемая для изучения в рамках концепции постановка
задачи отличается от существующих постановок простотой, кон-
кретностью и ясностью, а следовательно, лучшей с точки зрения
дидактики в учебном процессе. В ней обоснованно разделены
задачи защиты от случайных воздействий на информацию и за-
дачи преднамеренного несанкционированного доступа к ней по
причине различного характера происхождения событий и мест
их проявления.
В пособии в основном рассматривается задача защиты ин-
формации от преднамеренного несанкционированного доступа
только от нарушителя в единственном числе, так как без сс ре-
шения невозможно решение задачи защиты от организованной
Заключение
353
группы нарушителей. Такой подход не исключает того, что сис-
темотехнические решения первой задачи могут быть эффектив-
ны и для защиты от неорганизованной группы нарушителей. Во-
прос заключается лишь в том, какую ситуацию рассматривать и
насколько велика вероятность ее появления в реальных условиях
в конкретной информационной системе.
Рассматриваемые в данном пособии теория и принципы по-
строения защиты отвечают привычному и понятному всем физи-
ческому смыслу, заключающемуся в создании замкнутой обо-
лочки, прочность которой определяется ее слабейшим звеном,
этот принцип позволит специалисту подойти с единой мерой к
расчету и оценке ожидаемой эффективности защиты информа-
ции от несанкционированного доступа на любом уровне работы
с ней, начиная с персонального компьютера и кончая глобаль-
ными сетью и автоматизированной системой управления.
В учебном пособии дается единый учебный материал для
понимания студентом как теоретических вопросов, так и их
практической реализации. Рассмотрение некоторых вопросов
пришлось ограничить по глубине рассмотрения. Здесь авторы
отсылают пытливого студента к существующим монографиям
и практическим руководствам соответствующего направления,
в том числе и для ограниченного использования.
В приведенных методиках используется метод экспертных
оценок, но объем его применения по сравнению с существующи-
ми методами значительно сокращен, а характер экспертных оце-
нок изменен в техническую сторону, что позволяет получить бо-
лее точный результат оценки. С увеличением объемов автомати-
зации процессов контроля доступа результаты оценок прочности
зашиты станут еше точнее.
Использование в оценке прочности защиты фактора време-
ни предоставляется более удачным, чем фактор стоимости. Из-
вестно, что стоимостная оценка информации и соответствую-
щих затрат на несанкционированный доступ к ней потенциаль-
ного нарушителя может быть весьма приблизительной и пока
практических методик, определяющих такие затраты, не суще-
ствует. Для больших систем подобная работа, учитывая динами-
ку движения информации и изменения се цены, вообще вряд
ли целесообразна.
Известно, что временной фактор уже используется при оцен-
ке стойкости криптографических средств защиты, что говорит в
пользу решения приводимого в пособии. В результате использо-
354
Заключение
вана возможность применения общих для всех средств защиты
принципов расчета и оценки их прочности с помощью одной
широко известной единицы измерения — вероятности наступ-
ления события.
Приведенная в пособии концепция безопасности информа-
ции позволит будущему специалисту научиться быстро ориенти-
роваться в решении таких задач:
•	юридически строго и конкретно обозначить предмет защи-
ты, сосредоточить на его защите и устранить избыточность
применяемых средств защиты;
•	провести глубокий и всесторонний анализ разрабатывае-
мой информационной системы на предмет выявления воз-
можных каналов несанкционированного доступа к инфор-
мации в соответствии с заданной моделью поведения по-
тенциального нарушителя;
•	выбрать готовые и разработать на основе предлагаемых
расчетных соотношений новые средства защиты с полуге-
нием гарантированных показателей их прочности;
•	создать обоснованную замкнутую оболочку защиты с га-
рантированными показателями ее прочности;
•	увидеть единую для всех информационных систем теорию
защиты информации от несанкционированного доступа;
•	упростить систему защиты информации в сетях передачи
данных;
•	сократить количество экспертных оценок эффективности
средств зашиты и упростить их методику;
•	на основе более точных расчетов получить значительное
повышение уровня безопасности информации в разрабаты-
ваемых и монтируемых информационных системах;
•	сформировать единое информационное и лингвистическое
обеспечение системы безопасности информации в инфор-
мационных системах;
•	искать пути унификации и стандартизации методов и
средств защиты информации;
•	искать методы сертификации информационных систем в
интересах определения в них гарантированного уровня
безопасности информации;
•	выработать типовые требования к аппаратуре, програм-
мному обеспечению и организационным мероприятиям
для обеспечения в информационной системе необходи-
мой безопасности информации.
Заключение
355
Авторы надеются, что изложенный выше учебный материал
позволит будущим и настоящим специалистам соответствующего
профиля быстро сориентироваться в преимуществах и недостат-
ках множества предлагаемых на рынке решений по обеспечению
безопасности информационных систем и управлению доступом в
них и принять единственно правильное решение. Права на
ошибку у специалиста по информационной безопасности нет, за
ней стоит неприкосновенность информации организации-собст-
венника.
Успехов!
Литература
1.	Бройдо В. Л., Ильина О. П. Архитектура ЭВМ и систем : учеб-
ник для вузов / В. Л. Бройдо, О. П. Ильина. — СПб. : Питер, 2006.
2.	Петров В. Н. Информационные системы: учеб, пособие для
вузов / В. Н. Петров. — СПб. : Питер, 2003.
3.	Васильков А. В. и др. Информационные системы и их безопас-
ность : метод, пособие / А. В. Васильков. — М. : УМЦ ПО ДОМ,
2007.
4.	Васильков А. В. и др. Информационные системы и их безопас-
ность : учеб, пособие / А. В. Васильков. — М. : Форум, 2008.
5.	Якубайтис Э. А. Информационные сети и системы. Справоч-
ная книга / Э. А. Якубайтис. — М. : Финансы и статистика, 1996.
6.	Мельников В. В. Зашита информации в компьютерных систе-
мах / В. В. Мельников. — М. : Финансы и статистика; Электронин-
форм, 1997.
7.	Ирвин Дж., ХарлъД. Передача данных в сетях: инженерный
подход / Дж. Ирвин, Д. Харль ; пер. с англ. — СПб. : БХВ-Петер-
бург, 2003.
8.	Пвики Э., Купер С., Чапмен Б. Создание зашиты в Интернете /
Э. Цвики, С. Купер, Б. Чапмен ; пер. с англ. — СПб. : Сим-
вол-Плюс, 2002.
9.	Норткатт С. Защита сетевого периметра / С. Норткатт ; пер.
с англ. - К. : ТИД «ДС», 2004.
10.	Харламов В. П. Некоторые концептуальные аспекты защиты
информации / В. П. Харламов // Вопросы зашиты информации. —
1994. - № 1. М. : ВНИИМИ.
И. Ухлинов Л. М. Международные стандарты в области обеспе-
чения безопасности данных в сетях ЭВМ. Состояние и направления
развития / Л. М. Ухлинов // Электросвязь. — 1991. — № 6.
12.	Гайкович В., Першин А. Безопасность электронных банков-
ских систем / В. Гайкович, А. Першин. — М. : Единая Европа, 1994.
Литература
357
13.	Герасименко В. А. Защита информации в автоматизирован-
ных системах обработки данных / В. А. Герасименко. — М. : Энер-
гоатом и здат, 1994.
14.	Мафтик С. Механизмы защиты в сетях ЭВМ / С. Мафтик. —
М. : Мир, 1993.
15.	Лебедев А. //. Открытые системы для «закрытой» информа-
ции /А. Н. Лебедев // Открытые системы. — 1993. — Вып. 3.
16.	Гостехкомиссия РФ. Временное положение по организации
разработки, изготовления и эксплуатации программных и техниче-
ских средств защиты информации от несанкционированного досту-
па в автоматизированных системах и средствах вычислительной тех-
ники. — М. : Восниздат, 1992.
17.	Гостехкомиссия России. Руководящий документ. Средства
вычислительной техники. Защита от несанкционированного доступа
к информации. Показатели защищенности от НСД к информа-
ции. — М. : 1992.
18.	Защита информации в персональных ЭВМ / А. В. Спесив-
цев, В. А. Вегнер, А. Ю. Крутиков и др. — М. : Радио и связь — Вес-
та, 1992.
19.	Ларионов A. М., Майоров С. А., Новиков Г. Н. Вычислительные
комплексы, системы и сети / А. М. Ларионов, С. А. Майоров,
Г. Н. Новиков. — Л. : Энергоатомиздат, 1987.
20.	Мельников Ю. Н. Достоверность информации в сложных сис-
темах / Ю. Н. Мельников. — М. : Сов. радио, 1973.
21.	Протоколы и методы управления в сетях передачи данных /
под ред. Ф. Ф. Куо ; пер. с англ. — М. : Радио и связь, 1985.
22.	Давыдовский А. И., Дорошкевич П. В. Зашита информации в
вычислительных сетях / А. И. Давыдовский, П. В. Дорошкевич //
Зарубежная радиоэлектроника. — 1989. — № 12.
23.	Хоффман Л. Дж. Современные методы защиты информа-
ции / Л. Дж. Хоффман ; пер. с англ. — М. : Сов. радио, 1980.
24.	Шуриков В. В. Обеспечение сохранности информации в сис-
темах обработки данных / В. В. Шураков. — М. : Финансы и стати-
стика, 1985.
25.	Герасименко В. А. Проблемы зашиты данных в системах их
обработки / В. А. Герасименко // Зарубежная радиоэлектроника. —
1989. - № 12.
26.	Буланов В. Д., Козырь В. И., Конашев В. В. О возможном под-
ходе к комплексной оценке защищенности объекта АСУ / В. Д. Бу-
358
Литература
ланов, В. И. Козырь, В. В. Конашев. Сб. статей / Вопросы спец, ра-
диоэлектроники. — Сер. СОИУ. — 1989. — Вып. 23.
27.	Шуриков В В. Надежность программного обеспечения сис-
тем обработки данных / В. В. Шураков. — М. : Статистика, 1987.
28.	Сяо Д., Керр Д., Мэдник С. Защита ЭВМ / Д. Сяо, Д. Керр,
С. Мэдник ; пер. с англ. — М. : Мир, 1982.
29.	Герасименко В. А., Размахнин М. К. Программные средства за-
щиты информации в вычислительных, информационных и управ-
ляющих системах и сетях / В. А. Герасименко, М. К. Размахнин //
Зарубежная радиоэлектроника. — 1986. — № 5.
30.	Протоколы и методы управления в сетях передачи данных /
под ред. Ф. Ф. Куо ; пер. с англ. М. : Радио и связь, 1985.
31.	Галкин В. А., Кононыхин В. Н. Абонентские информацион-
но-управляющис системы телеобработки данных / В. А. Галкин,
В. Н. Кононыхин. — М. : Высш, шк., 1990.
32.	Диев С. И. Защита информации в персональных компьюте-
рах / С. И. Диев И Зарубежная радиоэлектроника. — 1989. — № 12.
33.	Harrison М. A., Ruzzo W. L., Velmon I. D. On Protection
Operation Systems / M. A. Harrison, W. L. Ruzzo, I. D. VelTon //
Communication of the ACM. — 1975.
34.	Purdy G. B. A High Security Log — in Procedure,
Communications of the ACM. — Vol. 17. № 8. — Aug. 1974.
Предметный указатель
1-й контур защиты /66
2-й контур защиты /66
А
Абонентские пункты J7
Аддитивные методы шифрования 87
Адекватность функциональности 247
Активный перехват 57
Алгоритм DES 93
Алгоритм контроля и управления
разграничением доступа 170
Алфавит /7
Анализ потока сообщений 57
Арифмстичсско-логичсскос
устройство 28
Аутентификация 69
Б
Безопасная информационная сеть
и автоматизированная система
управления /55
Безопасность действий /5
Безопасность информации 3, 146
Безопасность информации
в информационных сетях 208
Безответственность пользователя 245
Блок 20
В
Важная информация 13
Вероятность обнаружения
и блокировки 259
Вероятность преодоления преграды
нарушителем 257
Виды и формы представления
информации 16
Виртуальный канал передачи 39
Возможные каналы несанкциониро-
ванного доступа 53
Возможные каналы несанкциониро-
ванного доступа к информации
КСА и средства защиты, рекомен-
дуемые для их перекрытия 254
Возможные каналы несанкциониро-
ванного доступа к информации
персональных компьютеров 286
Возможные каналы несанкциониро-
ванного доступа к информации
сети 275
Возможные каналы НСД к информа-
ции персонального компьютера
и средства защиты, рекомендуемые
для их перекрытия 305
Временная диаграмма контроля не-
санкционированного доступа 132
Временная избыточность 106
Встроенная система контроля
и разграничение доступа 143
Выбор пароля 176
Вычислительные сети 37
Гаммирование 88
Г ара н ти рова н ность 24 7
Глобальные, информационные
и вычислительные сети 38
Головные компьютеры — серверы 36
Два вида возможных каналов несанк-
ционированного доступа к инфор-
мации автоматизированной систе-
мы управления (сети) 149
Дейтаграммный способ
передачи 39
Держатель информации 13
Децентрализованная обработка
информации 122
360
Предметный указатель
Дискретные сообщения 17
Дистанционный пульт управления 29
Дифференцированное разграничение
доступа пользователей к информа-
ции и данным 117
Документированная информация 23
Доступ к основным загрузочным
и текущим настройкам операцион-
ной системы 283
Дублирование контроля 203
Дублирование оборудования 101
Ж
Жизненно важная незаменимая
информация 13
Задача средств ограничения
доступа 63
Задачи системы опознания
и разграничения доступа 175
Запись 20
Зашита кодов паролей 180
Зона или сектор 21
И
Идентификация 69
Идентификация и установление
подлинности документов 74
Идентификация и установление
подлинности информации
на средствах отображения 77
Идентификация и установление
подлинноеги личности 70
Идентификация и установление под-
линности технических средств 74
Изменение потока и содержания
сообщений 58
Изоляция областей доступа
к информации 109
Индекс соответствия 89
Инициирование ложного
соединения 58
Интерфейсные процессоры 37
Интерфейсные серверы 37
Информационная (компьютерная)
система или система обработки
информации 33
Информационная избыточность 106
Информационная система с безопас-
ной обработкой данных 147
Информационно-вычислительные
сети 37
Информационные сети 37
Информация 12
Источник информации 13
Итоговая прочность системы 260
К
Канальное шифрование 220
Категории угроз безопасности 58
Классификация методов шифрования
информации 78
Коммерческая тайна 338
Компьютерная система с закрытым
доступом 47
Компьютерная система с ограничен-
ным доступом 47
Компьютерная система с открытым
доступом 47
Компьютерное представление инфор-
мации 17
Компьютерные (информациониые,
вычислительные) сети 34
Компьютерные вирусы 296
Компьютерные комплексы или ком-
плексы обработки 33
Контролируемый возможный канал
несанкционированного доступа 142
Контроль доступа к аппаратуре 65
Контроль по модулю 100
Конфиденциальность информации 14
Корректность 247
Л
Локальная компьютерная сеть 309
Локальная сеть 41
Локальные информационные
и вычислительные сети 38
Локальные сети как объект защиты
информации 309
Предметный указатель
361
М
Мандатные схемы ПО
Массив 20
Матрица установления
полномочий /72
Мсжконцсвос шифровании 221
Методы замены (подстановки) 83
Методы и средства защиты
информации от ПЭМИН 97
Методы и средства защиты информа-
ции от случайных воздействий 98,
99, 101, 103, 105, 107, 109, 111
Методы контроля достоверности 105
Методы обеспечения безопасности
информации 61
Методы обеспечения безопасности
информации при аварийных
ситуациях /72
Методы перестановки 81
Методы функционального
контроля 99
Минимизация информации и данных,
доступных персоналу 203
Минимизация сведений, доступных
персоналу 202
Минимизация связей персонала 202
М ногомашинный комп ьютерн ый
(вычислительный) комплекс 31
Многопроцессорный комплекс 32
Многоуровневая защита 137
Модель многозвенной защиты 134
Модель многоуровневой защиты 137
Модель нарушителя 251
Модель поведения потенциального
нарушителя 125
Модель предмета защиты и безопас-
ности информации 15
Модель элементарной зашиты 127
Модификация информации 146
Мощность механизма защиты 247
н
Нарушитель 13
Неконтролируемый канал несанкцио-
нированного доступа 143
Неоднородные сети 38
Непрерывное сообщение 17
Несанкционированный доступ 125
Несущественная информация 13
Носители кодов паролей 183
О
Обеспечение целостности данных 228
Обучение персонала 206
Объекты идентификации 70
Объем алфавита 17
Ограничение доступа 62
Одномашинная система обработки
информации и данных 31
Однородные сети 38
Организационные мероприятия
по обеспечению безопасности
информации 113
Организационные меры по контролю
и управлению безопасностью
информации 201
Оргмсры внутри организации
в конкретных условиях ИЗ
Основной контур защиты 166
Оценка зашишенносчи информации
в информационной системе 250
Оценка прочности СОРДИ 257
Оценка уровня безопасности инфор-
мации от преднамеренного несанк-
ционированного доступа в локаль-
ных сетях 330
Оценка уровня безопасности инфор-
мации от преднамеренного несанк-
ционированного доступа в персо-
нальных компьютерах 305
Оценка эффективности средств
управления 267
Ошибки пользователя, приводящие
к заражению 304
Ошибки человека 50
п
Память 28
Параллельное проектирование 156
Пассивный перехват 57
Персональные данные 344
Персональные компьютеры 37
362
Предметный указатель
Персональные компьютеры
как объект защиты 279
Подлинность 222
Поле 79
Полезная информация 13
Попытка несанкционированного
проникновения 245
Последствия угроз 48
Потенциальные угрозы безопасности
информации в локальных сетях 314
Потенциальные угрозы информации,
обрабатываемой в персональных
компьютерах 284
Потенциальные у i розы ПЭМ ИН 96
Правило зашиты любого предмета 134
Преграда 127
П редI смеренные поте нциал ьн ые
угрозы 140
Преднамеренные угрозы 48
Прерывание передачи сообщений 58
Программно-аппаратный
интерфейс 31
Производный шифр 92
Проникновение 246
Процедура заполнения потока 228
Процедура подтверждения
характеристик данных 229
Процедуры аутентификации 228
Прочность контролируемой
преграды 134
Прочность неконтролируемой
преграды 134
Р
Рабочее место службы безопасности
информации /97
Разграничение доступа в информаци-
онной системе 66
Разграничение доступа пользовате-
лей-потребителей 67
Разграничение полномочий пользова-
телей 171
Разделение полномочий
(привилегий) 202
Разделение привилегий на доступ
к информации 68
Распределение возможных каналов
несанкционированного доступа
по классам 141
Распределение средств защиты по
возможному каналу несанкциони-
рованного доступа (ВКНСД)
локальной компьютерной сети
(ЛКС) 330
Региональные сети 38
С
Связные процессоры 36
Сетевой клиент 310
Сеть передачи информации 36
Система безопасности ресурса 118
Система зашиты информации
от несанкционированного доступа
(НСД) в персональных
компьютерах 287
Система защиты информации
от несанкционированного доступа
в локальных сетях 317
Система образования замкнутых
защитных оболочек от несанкцио-
нированного доступа к аппаратуре,
программному обеспечению и ин-
формации в персональных
компьютерах 294
Система опознания и разграничения
доступа к информации
(СОРДИ) 168
Система с открытым ключом 94
Система требований к алгоритму
шифрования 93
Системы с динамической
структурой 33
Системы телеобработки
информации 34
Слово 20
Случайные потенциальные угрозы 140
Случайные угрозы 48
Списковые схемы 110
Средства безопасности информации
в каналах связи 276
Средства контроля и управления
доступом 176
Средства повышения достоверности
информации 217
Предметный указатель
363
Средства управления безопасностью
информации в автоматизированной
системе управления 216
Средства управления зашитой
информации в комплексе средств
автоматизации обработки
информации 196
Средства управления зашитой инфор-
мации в локальных сетях 322
Средства защиты информации
в трактах передачи информации 215
Статья 272 УК РФ 342
Статья 273 УК РФ 343
Статья 274 УК РФ 343
Стек протокола ЗЮ
Стратегии нарушителя 59
Структура информационной базы
информационной системы 25
Структура системы безопасности
информации в автоматизированной
системе управления 214
Структурная избыточность 106
Структурная схема автоматизирован-
ного рабочего места службы без-
опасности информации 326
Структурная схема системы
защиты информации
в локальных сетях 329
Структурная схема системы обеспече-
ния безопасности информации
в комплексе средств автоматизации
ее обработки 165
т
Таблица Вижинера 84
Таблица колов паролей 173
Теорема Харрисона 119
Терминал службы безопасности 197
Том 21
Топология сети 39
Тракты передачи данных в автомати-
зированной системе управления 229
Требования, предъявляемые к мето-
дам защитного преобразования 79
Три способа физического представле-
ния информации 21
Троирование оборудования 101
У
Узел коммутации 208
Узлы (центры) коммутации
и маршрутизации 36
Упорядоченность 222
Управление доступом 228
Управление маршрутом 228
Управляющее устройство 29
Уровень секретности 14
Уровни взаимодействия открытых
систем 219
Условно-постоянная информация 22
Устройство вывода 29
Утечка информации 146
Утрата информации 146
ф
Файл 21
Функции СОРДИ 195
Функциональный контроль задачи 99
ц
Целостность 222
Центр управления сетью 315
Централизованная обработка
информации 122
Централизованные средства
управления 143
Центры коллективного пользова-
ния - ЦКП 36
Цифровая подпись 227
ч
Четыре защитных пояса 119
Четыре класса безопасности 126
Ш
Шифрование данных 227
Штатные каналы санкционированно-
го доступа 139
э
Этап создания системы 114
Эффективность 247
Оглавление
Предисловие .........................................3
Введение ........................................... 9
Раздел I. АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ
ОБРАБОТКИ ИНФОРМАЦИИ И УПРАВЛЕНИЯ
КАК ОБЪЕКТЫ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ......................................... 12
Глава 1.	Предмет безопасности информации ....... 12
Глава 2.	Объекты информационной безопасности ... 26
Глава 3.	Потенциальные угрозы безопасности информации
в информационных системах ................48
Раздел II. МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ........................................... 61
Глава 1. Краткий обзор методов обеспечения безопасности
информации.................................. 61
Глава 2.	Ограничение доступа ................... 62
Глава 3.	Контроль доступа к аппаратуре.......... 65
Глава 4. Разграничение и контроль доступа к информации
в системе ....................................... 66
Глава 5.	Разделение привилегий	на доступ........ 68
Глава 6. Идентификация и установление подлинности
объекта (субъекта)............................... 69
Глава 7. Криптографическое преобразование
информации....................................... 78
Оглавление	365
Глава 8. Зашита информации от утечки за счет побочного
электромагнитного излучения и наводок
(ПЭМИН).......................................... %
Глава 9. Методы и средств;! зашиты информации
от случайных воздействий........................ 98
Глава 10. Методы обеспечения безопасности информации
при аварийных ситуациях........................ 112
Глава 11. Организационные мероприятия по обеспечению
безопасности информации........................ 113
Раздел III. ПРОЕКТИРОВАНИЕ СИСТЕМЫ
ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ
СИСТЕМАХ ОБРАБОТКИ ИНФОРМАЦИИ
И ДАННЫХ............................... 116
Глава 1. Концептуальные основы проектирования
системы обеспечения безопасности информации
в информационных системах...................... 116
Глава 2. Основные принципы проектирования систем
обеспечения безопасности информации
в автоматизированных системах
обработки информации........................... 156
Раздел IV. ПОСТРОЕНИЕ СИСТЕМЫ ОБЕСПЕЧЕНИЯ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В КОМПЛЕКСАХ СРЕДСТВ
АВТОМАТИЗАЦИИ ЕЕ ОБРАБОТКИ............. 161
Глава 1. Исходные предпосылки.................. 161
Глава 2. Состав средств и структура системы обеспечения
безопасности информации от несанкционированного
доступа в комплексе средств автоматизации
обработки информации........................... 163
Глава 3. Система опознания и разграничения доступа
к информации (СОРДИ)........................... 168
Глава 4. Обеспечение безопасности информации
и программного обеспечения от преднамеренного
несанкционированного доступа (ППСД) при вводе,
выводе и транспортировке....................... 189
366
Оглавление
Глава 5. Средства управления обеспечения безопасности
информации от несанкционированного доступа
в комплексе средств автоматизации обработки
информации информационной системы ............ 194
Глава 6. Организационные мероприятия но обеспечению
безопасности информации в комплексах средств
автоматизации информационных систем............204
Раздел V. БЕЗОПАСНОСТЬ ИНФОРМАЦИИ
В ИНФОРМАЦИОННЫХ СЕТЯХ
И АВТОМАТИЗИРОВАННЫХ
СИСТЕМАХ УПРАВЛЕНИЯ ....................208
Глава 1. Анализ объектов обеспечения безопасности
информации и постановка задачи.................208
Глава 2. Принципы построения системы безопасности
информации в информационных сетях
и автоматизированных системах управления.213
Глава 3. Эталонная модель открытых систем ..... 217
Глава 4. Механизмы безопасности информации
в трактах передачи данных и в каналах связи .... 220
Глава 5. Рекомендации по безопасности информации
в телекоммуникационных каналах связи ......... 225
Глава 6. Система безопасности информации в трактах
передачи данных автоматизированной
системы управления ........................... 229
Глава 7. Управление доступом к информации в сети
передачи и в автоматизированной системе
управления ....................................237
Глава 8. Организационные мероприятия по обеспечению
безопасноети информации в сетях передачи
информации и автоматизированных
системах управления........................... 241
Раздел VI. ОЦЕНКА УРОВНЯ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ............................... 244
Глава 1. Анализ методов оценки защищенности
информации .................................... 244
Оглавление
367
Глава 2. Принципиальный подход к оценке уровня
безопасности информации от преднамеренного
несан кци oi 1 и рован i юго доступ а
в информационной системе............... 249
Глава 3. Метод оценки уровня безопасности информации
в комплексе средств автоматизации
обработки информации................... 253
Глава 4. Метод оценки уровня безопасности
информации в информационных сетях
и в автоматизированных системах управления .... 273
Раздел VII. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ В ПЕРСОНАЛЬНЫХ
КОМПЬЮТЕРАХ И ЛОКАЛЬНЫХ СЕТЯХ...........279
Глава 1. Безопасность информации в персональных
компьютерах....................................279
Глава 2. Обеспечение безопасности информации
в локальных сетях..............................309
Раздел VIII. ОРГАНИЗАЦИОННО-ПРАВОВОЕ
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ .......................... 334
Глава 1. Информация как объект права собственности .... 334
Глава 2. Информация как коммерческая	тайна.....338
Глава 3. Персональные данные.................. 344
Заключение....................................... 351
Литература....................................... 356
Предметный указатель ............................ 359