Козьминых С.И. Организация защиты информации в ОВД. Ч. 2

91

3)руководящихметодическихматериалов;

4)инструктивных;

5)регистрационных.

Ксправочно-информационным относятся документы, которые содержат полную информацию обо всех аспектах проблемы защиты информации и признаны подавляющимбольшинствомспециалистоввэтойсфере. Сюдаследуетотнести:

– словари, справочники;

– стандарты, утвержденные полномочными органами и являющиеся эталонами основных понятий в области защиты информации, характеристик средств и способовзащиты;

– техническиеописаниясредствзащитыинформации.

Кнормативным правовым относятся документы, составляющие законодательную базу обеспечения информационной безопасности. Это законы и подзаконные акты, определяющие юридическую ответственность участников процесса защиты

изаконодательно регулирующие основные вопросы информационной безопасности. К данной группе относятся и нормативные правовые документы ведомственного уровня, требующие обязательного их выполнения при обеспечении защиты информации (например, требования к защите информации и нормы защищенности, специальные требования по размещению и монтажу средств защиты информации, порядокиправилаобращениясносителямисекретныхданных).

Круководящим методическим материалам (РММ) относится совокупность таких документов, которые содержат полное и систематизированное описание порядка и принципов проведения работ по защите информации и носят рекомендательный характер. Практика организации и обеспечения работ по защите информации показывает, что РММ обычно составляют наиболее представительную группу документов, регламентирующих различные аспекты работ. На объекте информатизацииможновыделитьРММ, определяющиеследующиеметодики:

– оценкибезопасностиинформации;

– измерения технических каналов утечки информации и установления контролируемыхзон;

– применениятехническихиорганизационныхсредствзащиты;

– проектированиясистемызащитыинформацииидр.

Кинструктивным документам относятся систематизированные наборы типовых инструкций для различных категорий подразделений и лиц по защите информации, утвержденныхполномочнымиорганамисучетомихспецифики.

Крегистрационным документам относятся учетные документы, позволяющие контролировать наличие конфиденциальных документов и изделий и ограничивать несанкционированный доступ к ним, а также эксплуатационно-техническая документация, необходимая для регистрации всех событий, происходящих в процессе защиты информации, для получения возможности последующей оценки безопасностиинформациинаобъекте.

Перечень внутренних организационно-распорядительных документов по защитеинформациинаобъектеинформатизацииможетвключатьвсебя:

1.ТехническоезаданиенаСЗИобъектаинформатизации.

2.Техническийпаспортобъектавычислительнойтехники.

3.План размещения основных и вспомогательных средств и систем, устройств защиты и схему прокладки систем электропитания и заземления объекта информатизациивпомещении.

92

4.Планконтролируемойзоныпредприятия.

5.Инструкцию по защите сведений, отнесенных к государственной тайне, при обработкенасредствахВТ.

6.Приказ «О назначении постоянно действующей технической комиссии по ЗИ …».

7.Приказ «Об организации обработки информации, содержащей ГТ, на объекте ВТ».

8.Приказ «О перечне лиц, которым разрешен доступ к обработке информации наАРМ».

9.ИнструкцияпользователяСВТ.

10.Положениеобадминистраторебезопасности.

11.Положениеоразрешительнойсистеме.

12.Дополнениекположениюоразрешительнойсистеме.

13.Положениеопропускномивнутриобъектовомрежиме.

14.Руководствопозащитеинформации.

15.ТехнологическуюсхемуобработкисекретнойинформациинаАРМ.

16.Переченьзадач, выполняемыхнаАРМ.

17.Паспортазадач, выполняемыхнаАРМ.

18.АкткатегорированияобъектаВТнабазенаПЭВМ(помещение№….).

19.Акт классификации АРМ отдела экономической и информационной безопасности.

20.Заключение и предписание на эксплуатацию ПЭВМ и принтера по результатампроведенияспецпроверки.

21.ПротоколспециальныхисследованийАРМнабазеПЭВМотдела.

22.ЗаключениепорезультатамоценкизащищенностиобъектаВТ.

23.ПредписаниенаэксплуатациюобъектаВТ.

24.Документы, подтверждающие освоение учебных программ должностными лицамииспециалистамипоЗИ(илидипломспециалистав сфереЗИ).

6. Защита информации в экстремальных ситуациях

Система организационных мер по обеспечению информационной безопасности на объекте информатизации может быть довольно быстро нарушена при возникновении нештатных и чрезвычайных ситуаций (ЧС). К таким можно отнести любые ситуации, грозящие серьезным материальным или моральным ущербом для организации. Результатом ЧС могут быть утечка, разглашение, утрата и другие виды ущерба, причиняемого конфиденциальной информации. Это часто приводит к существеннымиэкономическимпотерям.

ЧС можно разделить на внутренние (различные конфликтные ситуации, техногенные аварии и сбои в работе оборудования) и внешние (социальные, правовые, экономическиекризисныеситуации, стихийныебедствия, преступныедействия).

Виды чрезвычайных ситуаций

Антропогенные:

–общественные беспорядки (забастовки, революции, перевороты, межнациональныеконфликты, войны);

–различные социальные конфликты (межличностные, иерархические и управленческие);

–преступные действия (со стороны организованной преступности, коррупционеров, неорганизованнойпреступности).

93

Экономические – ухудшение экономического положения в стране или регионе, банкротство, блокирование счетов, скупка контрольного пакета акций, сверхсильнаяконкуренцияит.п.

Правовые – принятие, отмена или изменение законов, обеспечивающих деятельность организации, неправомерные и незаконные действия правоохранительныхорганов.

Природные – землетрясения, наводнения, оползни, ураганы, аномальные температуры, засухиит.п.

Техногенные – пожары, взрывы газа, разрушение зданий, компьютерные вирусы, аварии на электростанциях и телефонных станциях, прорывы газа и водопроводов (под техногенные аварии могут маскироваться диверсии, которые отличаютсяумышленностью инаправленностью воздействия).

Любая ЧС характеризуется определенным набором деструктивных факторов, воздействующих на СЗИ. Факторами ЧС можно назвать внешние или внутренние комплексные процессы, протекающие в определенной сфере, оказывающие экстремальное воздействие на систему. Факторы ЧС непосредственно влияют на защищенность информации, воздействуя также на технические средства защиты информации; сейфы и хранилища; программное обеспечение, непосредственно на носители информации; технические средства охраны, инженерные сооружения; сотрудников, отвечающих за безопасность информации; снижение управляемости системы. Влияя на поведение сотрудников, ЧС создают условия для неэффективнойработывсейсистемызащитыинформации.

Воздействие любой ЧС на СЗИ может иметь комплексный (системный) характер и осуществляться одновременно по нескольким направлениям. Каждая ЧС может содержать целый набор поражающих факторов. Так, обязательными спутникамилюбойЧСявляютсяпсихологическиеиэкономическиефакторы.

Установлена связь между факторами, направленными на защиту информации, и факторами ЧС. Опасность любой ЧС во многом заключается в том, что некоторые ЧС, не оказывая прямого влияния на безопасность информации, создают условия для реализации информационной угрозы. Таковы, например, экономические ЧС и внутренние социальные конфликты. Это необходимо учитывать при анализе угроз информации, т.е. нужно проанализировать, какие ЧС являются наиболее опасными. Для осуществления надежной защиты информации в любой ситуации необходимо представлять себе тот комплекс информационных угроз, который исходитотконкретнойчрезвычайнойситуации.

Естественно, для каждой организации существуют особенности, обусловленные регионом и районом, в которых они расположены, их экономическим положением и многими другими факторами. При этом необходимо учитывать общую экономическую и общественно-политическую обстановку в стране на данный моментистепеньеевлияниянадеятельностьорганизации.

Наиболее опасными для системы защиты информации являются ситуации, связанные сумышленнымнанесениемущербаинформационной безопасности организации – диверсии и другие преступные проявления. Диверсии опасны тем, что для достижения поставленных целей могут использоваться любые средства. Поэтому конфиденциальная информация в случае реализации данной угрозы максимально уязвима.

Не менее опасными для СЗИ являются также различные конфликты, в которые вовлечены сотрудники организации. Опасность конфликтов для СЗИ заключается

94

в том, что в них могут быть вовлечены те сотрудники, которым доверена конфиденциальная информация, или те, которые отвечают за ее безопасность. Конфликты вызывают чувство недовольства, неудовлетворенности. Возникает межличностная напряженность. Особенно опасны конфликты между руководителями и подчиненными: находясь ниже по иерархии, подчиненные по понятным причинам часто не могут открыто конфликтовать и адекватно ответить своим обидчикам, поэтому такой конфликт быстро переходит в латентную стадию, становится неконтролируемым. Желание отомстить (восстановить справедливость), вызванное несправедливым отношением со стороны руководителя, может побудить подчиненного каким-либо образом нанести ущерб безопасности, желая тем самым наказать руководителя-обидчика. Выбор конкретного варианта зависит от личностных особенностей сотрудника. Практика показывает, что аналогичные ситуации являются далеконередкимсобытием.

Рассматривая влияние экономических ЧС на СЗИ государственных структур, необходимо отметить, что, несмотря на незначительную вероятность внезапного изменения их экономического состояния, игнорировать такое влияние нельзя. Оно может проявляться, например, в том, что в связи с ухудшением экономического состояния страны или региона неизбежно наступает ухудшение материального положения сотрудников организации, что может привести к увеличению риска разглашениясведений, составляющихгосударственнуютайну.

Наиболее распространенной информационной угрозой является «блокирование доступа». И если учесть, что также существует серьезная опасность уничтожения защищаемой информации, то можно сделать вывод о необходимости органи-

зациирезервногомассиваособоценнойинформации.

Этот массив должен быть при необходимости легко доступен, но в то же время хорошозащищенотмаксимальновозможныхЧС.

Для эффективного противостояния различным ЧС необходимо использовать соответствующие методы и средства противодействия. Разработка подобных мер попротиводействиюдолжнавключатьследующиеоперации:

–анализвозможнойситуацииипрогнозееразвития;

–определениеимеющихсяресурсовивозможностейихиспользования;

–разработкупланамероприятийпопротиводействиюЧС;

–выделениенеобходимыхресурсов;

–реализациюспланированныхмероприятий;

–контрольреализации;

–корректировкумероприятийпопромежуточнымрезультатам. Эффективность противодействия ЧС требует тщательной предварительной

подготовки, от глубины и системности которой будет зависеть эффективность противодействия системы. Для этого необходимо максимально полно представлять себе все особенности данного вида происходящих событий. Они должны стать исходными положениями для построения адекватной и эффективной системы противодействия. При этом нужно учитывать временные, энергетические и информаци- онно-психологическиеособенностиЧС, средикоторыхосновнымиявляются:

–внезапностьилипериодичность;

–экстремальныйхарактервоздействиянаэлементыСЗИ;

–психологические аспекты экстремального воздействия (поведение сотрудниковируководителей– дезорганизациянавсехуровняхуправления);

95

–комплексность ЧС как процесса (содержит одновременно несколько деструктивныхфакторов);

–системностьвоздействияЧСнаСЗИ.

Последнее заключается в воздействии на различные функциональные составляющиеСЗИ:

–информационную (получение, обмен, обработка и распространение информации);

–организационную(системууправления);

–техническую(распределениеииспользованиематериальныхресурсов);

–коммуникативную(взаимодействиесотрудников, руководства);

–психикусотрудников.

Например, стихийное бедствие создает ситуацию неопределенности, разрушает линии связи, технические средства охраны, дезорганизует управление, влияет на поведениесотрудников.

Приведенный анализ позволяет сформулировать ряд важных рекомендаций дляорганизацииработыпопротиводействиюЧС:

–только комплексные меры по подготовке и противодействию способны эффективнопротивостоятьЧС;

–подготовка сотрудников является основным элементом системы противодействияЧС;

–наибольший эффект (наименьший ущерб) даст не реагирование на уже случившеесясобытие, апредотвращениеилипресечениеЧС.

Комплексные меры противодействия предполагают создание системы, которуюусловноможноразделитьначетыреблока:

1)теоретические выкладки (представление обо всех негативных факторах ЧС, путиивозможностиэффективногопротиводействия);

2)методическая поддержка (разработка методов и анализ средств противодействияЧС);

3)структура системы и ее алгоритма, ее функционирование (элементы системы, ихрольивзаимодействие);

4)нормативное обеспечение (положения, инструкции, рекомендации, памятки

ит.п.).

При этом необходимо помнить, что система будет способна обеспечить необходимыйуровеньпротиводействиятолькопривыполненииопределенныхусловий:

–подготовленности;

–превентивности;

–системности;

–полноты;

–обоснованности;

–оптимальности;

–плановости;

–своевременности(оперативности);

–точности;

–адекватности.

Выполнение этих условий позволит СЗИ эффективно противостоять экстремальнымвоздействиям.

Способность эффективного противодействия ЧС предполагает своевременное разрешениерядаосновополагающихзадач:

96

–выявлениеосновныхугроздляСЗИ;

–разработкаконцепции(подход, основныепринципы) безопасностиСЗИ;

–определениестратегиидействийСЗИпообеспечениюбезопасности;

–проектированиесистемыпротиводействияЧС;

–создание структуры и механизма согласования действий всех подразделений

идолжностныхлиц, занимающихсяобеспечениембезопасности;

–определениепланаконкретныхмероприятийпореализацииэтойстратегии;

–проведение обследования СЗИ для выявления уязвимости для ЧС (надежностисистемыпротиводействия);

–постоянный мониторинг состояния СЗИ и контроль проводимых мероприятий.

Взаключение следует еще раз подчеркнуть значение человеческого фактора для противодействия ЧС. Большинство их так или иначе воздействуют на эмоциональное состояние и поведение человека. Последствия такого воздействия могут заключаться в неспособности человека адекватно воспринимать и правильно реагировать на ситуацию, и даже при наличии в системе ресурсов для противодействия ЧС сотрудники в стрессовой ситуации не всегда способны правильно отреагировать на деструктивные процессы. Поэтому персонал можно считать наиболее уязвимым местом любой организации. Кроме того, персонал является наиболее важным звеном в системе противодействия ЧС, потому что человеческий ресурс – это универсальный ресурс, способный заменить или компенсировать недостаток любогодругого.

Контрольные вопросы

1.Какие требования, обусловленные спецификой обработки информации, предъявляются к системе защиты информации?

2.Какие основные виды деятельности по работе с персоналом должны осуществляться для защиты информатизации на объекте?

3.Какие основные показатели защищенности и оптимальные наборы мер защиты должны быть определены при построении общей модели управления системой защиты информации?

4.Какие основные задачи оперативного управления защитой информации должны быть решены в комплексных системах обработки данных?

5.Какие основные организационные мероприятий по обеспечению информационной безопасности должны быть реализованы на объекте?

6.Какие виды документов по защите информации должны быть на объекте

икаково их назначение?

7.Как классифицируются чрезвычайные ситуации, создающие угрозы безопасности защищаемой информации?

8.Какие меры по противодействию чрезвычайным ситуациям должна включать система защиты информации?

9.Какие основополагающие задачи должны быть решены для эффективного противодействия чрезвычайным ситуациям на объекте информатизации?

97

Г л а в а 8. МОДЕЛИРОВАНИЕ СИСТЕМ И ПРОЦЕССОВ

ЗАЩИТЫ ИНФОРМАЦИИ

1. Виды моделей систем и процессов защиты информации

Для реализации системного подхода к решению проблемы обеспечения информационной безопасности необходимо комплексное использование методов моделирования систем и процессов защиты информации. Целями такого моделирования являются поиск оптимальных решений по управлению системой защиты информации, оценка эффективности использования различных механизмов защиты, определение свойств системы защиты, установление взаимосвязей между ее характеристикамиипоказателями.

Модель с позиций экономико-математического моделирования представляет собой логическое или математическое описание компонентов и функций, отображающих существенные свойства моделируемого объекта или процесса (обычно рассматриваемых как системы или элементы системы) и используется как условныйобраз, сконструированныйдляупрощенияихисследования.

Моделирование системы заключается в построении некоторого ее образа, адекватного (с точностью до целей моделирования) исследуемой системе, и получении с помощью построенной модели необходимых характеристик реальной системы. Таким образом, в самом общем случае весь процесс моделирования можно разделить на две составляющие: построение модели и реализацию модели с целью получениянеобходимыххарактеристиксистемы.

Дляцеленаправленногорешенияпроблемы моделированиясистем и процессов защиты информации необходимо произвести классификацию моделей, что может быть достаточно полно и адекватно осуществлено на основе богатого опыта построения и использования разнообразных моделей различных систем. На основе указанного опыта есть основания утверждать, что классификация моделей может бытьосуществленапосовокупноститрехкритериевследующегосодержания.

1.Способ моделирования, т.е. основной прием, который положен в основу построения модели. По этому критерию все модели могут быть разделены на аналитическиеистатистические.

Аналитические модели представляются в виде некоторой совокупности аналитических и (или) логических зависимостей, позволяющих определять по ним необходимыехарактеристикипутемпроведениявычислений.

При статистическом моделировании моделируемая система представляется в виде некоторого аналога, отражающего для определяемых характеристик зависимости реальной системы. Само определение значений этих характеристик осуществляется путем многократной имитации параметров реальной системы и внешней среды, а также статистической обработки совокупности получаемых при этом результатов.

2.Характер системы. Наиболееважнымпоказателемэтого критерияявляется характер взаимосвязей между подлежащими определению характеристиками моделируемой системы и влияющими наних параметрами системы и внешней среды. Таких зависимостей достаточно много, однако оказалось, что при выборе методов моделирования решающее значение имеет уровень определенности указанных зависимостей. По этому признаку моделируемые системы делятся на детермини- рованные и стохастические. Для детерминированных моделей все зависимости

98

строго и однозначно определены, для стохастических моделей на все зависимости оказываютсущественноевлияниеслучайныефакторы.

3. Масштаб моделирования. Характеризуется главным образом уровнем определяемых на модели характеристик. По данному критерию модели можно разделить на общие и частные. Общие модели строятся с целью определения значений некоторых обобщенных характеристик моделируемых систем, частные – строятся

сцельюопределениязначенийчастных, локальныххарактеристиксистемы.

Всоответствии с общей теорией все модели, используемые в процессе изучения и разработки систем защиты информации, можно разделить на соответствующиеклассы:

–модели анализа – используются с целью определения текущих или прогнозирования будущих значений, представляющих интерес характеристик систем. Модели анализа (греч. analysis – «разложение») предназначены для разделения (мысленного или реального) объекта на элементы и научного исследования их путем рассмотрения отдельных сторон, свойств, составных частей, определения текущих

ипрогнозированиябудущихзначенийпоказателейзащищенностиинформации;

–модели синтеза – используются с целью построения систем и технологических схем их функционирования, оптимальных по заданному критерию или их совокупности. Модели синтеза (греч. synthesis – «соединение») представляют собой процесс соединения (мысленного или реального) различных элементов объекта защиты в единое целое (систему), исследования компонентов системы, представления в его единстве и взаимной связи частей, обобщения и сведения в единое целое данных, добытых анализом. Они предназначены для обеспечения оптимального построения систем защиты информации, причем оптимальность этих систем понимается в общепринятой интерпретации как обеспечение максимального (заданного) уровнязащищенностипризаданномилиминимальномуровнезатрат;

–модели управления – используются с целью поиска оптимальных управляющих воздействий в процессе функционирования систем защиты информации. Функциональное назначение моделей этого класса заключается в методическом и инструментальном обеспечении принятия оптимальных решений в процессе созданияиорганизациифункционированиясистемзащитыинформации.

При моделировании СЗИ обычно допускается, что характер и уровень воздействия одних угроз не зависят от характера и уровня других. Однако могут быть взаимозависимые угрозы. Например, повышение угрозы безопасности информации от воздействия природных явлений (пожаров, землетрясений) увеличивает угрозу похищения конфиденциальной информации злоумышленником. Средства защиты могут быть также как независимыми с точки зрения эффективности защиты, так и взаимосвязанными. Например, установление жесткого пропускного режима в здание, где обрабатывается конфиденциальная информация, уменьшает вероятность установления в помещениях закладных устройств, а значит, не требует постоянного контроля с помощью технических средств. Таким образом, при разработке моделей процессов защиты информации необходимо учитывать не только воздействие угроз и средств защиты, но также их взаимодействие, что в настоящее время в связи с недостаточным исследованием этой проблемы затруднено. Поэтому обычно, допуская наличие погрешностей при моделировании процессов защиты, принимают проявление угроз и применение средств защиты как независимые события. Все это говорит о том, что в соответствии с вышеизложенной классификациеймоделиСЗИвосновномявляютсястохастическими.

99

Вместе с тем, учитывая, что значения характеристик угроз и их влияние на уровень безопасности очень сложно задать аналитически, моделирование осуществляется путем набора статистики на действующих СЗИ либо на основе имитационного моделирования. Следовательно, такие модели можно отнести к статистиче-

ским.

Для определения показателей безопасности информации достаточно знать вероятностные характеристики угроз и эффективность механизмов защиты. Получение таких характеристик хотя и сопряжено с преодолением значительных трудностей, тем не менее, не является неразрешимой задачей. Однако игнорирование взаимовлияния угроз и средств защиты, а также невозможность определения ожидаемого ущерба от воздействия различных факторов и ресурсов, необходимых для обеспечения защиты, дает возможность пользоваться данной моделью в основном для общих оценок при определении степени того внимания, которое должно быть уделенопроблемезащитыинформациинаобъекте.

Более тщательные расчеты показателей безопасности возможны на основе обобщенной модели процесса защиты информации. Главным ее назначением является выбор стратегических решений при разработке перспективных планов построения систем защиты после того, как ее построение признано целесообразным. В соответствии с этим в рассматриваемой модели отражаются те процессы, которые должны осуществляться в системе защиты. А поскольку центральными решениями стратегического характера являются оценка объема ресурсов, необходимых для обеспечения требуемого уровня защиты информации (оптимальным является минимизация этих ресурсов), или оптимальное их расходование при заданных объемах, определяющимидолжныбытьименнопроцессыихраспределения.

Одним из наиболее сложных с точки зрения формализации является процесс моделирования воздействия злоумышленника в связи с низкой степенью предсказуемости его характеристик. Для реализации процесса чаще всего используют метод выбора наихудшего варианта. В качестве примера можно рассмотреть модель нарушителя, изложеннуювруководящихдокументахФСТЭКРоссии.

В соответствии с Концепцией защиты средств вычислительной техники (СВТ) и автоматизированных систем (АС) от несанкционированного доступа к информации нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделяют четыре уровня этих возможностей. Данная классификация иерархична, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего. Нарушитель является на своем уровне специалистом высшей квалификации, знает все об автоматизированных системах и, в частности, о системе и средствах ее защиты.

Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС – запуск задач (программ) из фиксированного набора, реализующих заранеепредусмотренныефункциипообработкеинформации.

К этому уровню можно отнести всех злоумышленников, имеющих возможность получения доступа к защищаемым сведениям, в том числе и по техническим каналамутечки, безвлияниянапроцессыобработкиипередачиинформации.

Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации. К этой группе можно отнести внешних нарушителей, имеющих намерения произвести несанкционированную модернизацию мобильного (стационарного) терминала, а также внутренних нарушителей (санкционированных пользователей), имеющих возможность

100

преднамеренного и непреднамеренного воздействия на сервер диспетчерского центра.

Третий уровень определяется возможностью управления функционированием АС, т.е. воздействием на базовое программное обеспечение системы и на состав, и конфигурацию ее оборудования. Такое воздействие, включающее и разрушающее информационное воздействие, возможно также в дополнение к рассмотренным вышевнутреннимнарушителям исосторонывнешнихоткрытыхсетей(например, сетиИнтернет, подключеннойклокальнымсетям).

Четвертый уровень подразумевает совокупность возможностей действий лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС вплоть до включения в состав СВТ собственных технических средств с новыми функциямипообработкеинформации.

2. Методы оценки защищенности информации

Одной из первоочередных задач, предшествующих оценке защищенности информации, является задача выбора системы показателей, которая должна отражать все требования к защите информации, структуру ОИ, технологию и условия обработки, хранения и передачи информации в ней, а также учитывать возможности противникаподобываниюинформации.

Выбор показателей оценки защищенности информации является сложной исследовательской задачей и в постановочном плане относится к области принятия решения. Сложность выбора показателей, позволяющих дать адекватную оценку, определяется:

–необходимостью контроля большого количества средств и объектов защиты,

атакже мероприятий, направленных на обеспечение безопасности конфиденциальнойсвязи;

–случайностью внешних воздействий и внутренних изменений в системе обработкиинформацииисистемееезащиты;

–отсутствием аналогов показателей, учитывающих специфику ОИ и особенностиеефункционирования;

–необходимостью получения не только качественной, но и количественной оценкизащищенностиинформации.

Основными параметрами, определяющими показатели защищенности информации, являются:

–количество и характеристики тех структурных компонентов ОИ, в которых оцениваетсязащищенностьинформации;

–количество и характеристики дестабилизирующих факторов, которые потенциально могут проявиться и оказать негативное воздействие на защищаемую информацию;

–количество и характеристики применяемых механизмов защиты информа-

ции;

–число и категории лиц, которые потенциально могут быть нарушителями правилдоступаиобработкизащищаемойинформации;

–видызащищаемойинформации.

Кроме того, для исследования и практического решения задач по защите информации необходимы показатели, которые характеризуют наиболее неблагоприятные ситуации с точки зрения уязвимости информации. Ими являются самый уязвимый структурный компонент ОИ, самый опасный дестабилизирующий фактор,