спортному контролю, в которую преобразована в марте 2004 г. Государственная техническая комиссия России. Задачи этой служ бы в основном соответствуют задачам государственной системы защиты информации. Координация работ в области защиты ин формации обеспечивается коллегией Федеральной службы по тех ническому и экспортному контролю, членами которых являются руководители ведомств, в которых решаются задачи по защите го сударственной тайны.
Федеральная служба безопасности РФ участвует в разработ ке, реализации и контроле мер по защите информации, содержа щей государственную тайну, в государственных органах, воинских формированиях, на предприятиях, в учреждениях и организаци ях независимо от форм собственности, обеспечивает криптографи ческую защиту информации, а также проводит лицензирование де ятельности различных структур, связанной с государственной тай ной, с разработкой ими средств информационной безопасности и услуг в этой сфере.
Вминистерствах, ведомствах, органах государственной влас ти субъектов Российской Федерации организуются Советы (Тех нические комиссии) и подразделения по защите информации. В от раслях промышленности и в регионах страны создаются и функ ционируют лицензионные центры, организующие и контролиру ющие деятельность в области оказания услуг по защите инфор мации, органы сертификации средств вычислительной техники и средств связи, испытательные центры по сертификации конкрет ных видов продукции по требованиям безопасности информации, органы аттестации объектов информатизации.
Ворганизациях и на предприятиях информацию защищают руководители, служба (подразделения) безопасности и сотрудники, работающие с информацией, содержащей государственную тайну. Типовая структура частной организации (предприятия) включает подразделение режима и охраны, специальный отдел, осуществля ющий учет грифованных документов и образцов продукции, со держащих защищаемую информацию, подразделение инженер но-технической защиты информации и подразделение разведки и контрразведки.
3.Допуск предприятий (организаций, учреждений) к проведе нию работ, содержащих государственную тайну, созданию средств
защиты информации и оказанию услуг по защите государственной тайны возможен после получения ими лицензий на соответствую щий вид деятельности. Лицензионная деятельность осуществляет ся Федеральной службой безопасности РФ и ее территориальны ми органами, Федеральной службой по техническому и экспортно му контролю РФ, Службой внешней разведки РФ, Министерством обороны РФ (в пределах их компетентности). Лицензии выдают ся на срок 3-5 лет на основании результатов специальных экспер тиз предприятий, государственной аттестации их руководителей и выполнения условий, включающих соблюдения требований зако нодательных и иных нормативных актов РФ по обеспечению за щиты государственной тайны, наличие в структуре предприятия специального подразделения и подготовленных сотрудников, на личия на предприятии соответствующих сертифицированных средств. Сертификацию средств проводят Федеральная служба по техническому и экспортному контролю РФ, ФСБ РФ, Служба внешней разведки РФ, аккредитованные органы по сертификации продукции, аккредитованные испытательные центры (лаборато рии). Координация деятельности по сертификации возложена на Межведомственную комиссию по защите государственной тайны.
4. Деятельность системы защиты информации регламентирует ся документами, составляющую нормативно-правовую базу инже нерно-технической защиты информации. Документы нормативно правовой базы имеют трехуровневую структуру. Уровень государс тва представляют законы РФ, указы Президента РФ и постановле ния Правительства по вопросам защиты информации. Уровень ве домства образуют внутриведомственные и межведомственные до кументы. Документы организации и предприятия составляют со ответствующий третий уровень. Документы более высокого уров ня обязательны к исполнению на всех более низких уровнях.
По назначению документы делятся на руководящие, норматив ные и методические. Руководящие документы определяют струк туру органов безопасности, права и обязанности физических и юри дических лиц, обеспечивающих защиту информации. В норматив ных документах указываются значения различных показателей — нормативы, используемые для оценки возможностей средств добы вания и эффективности защиты информации. В методических до-
Кументах рассматриваются методики определения значений пока зателей добывания и защиты информации.
5. Основными руководящими документами, создаваемыми в организациях и на предприятиях, являются руководство (инструк-
,ция) по защите информации в организации (на предприятии), по ложение о службе безопасности в организации, инструкции по за
щите отдельных источников информации (изделиях и продукции). - К основным нормативно-методическим документам относятся: пе речень сведений, составляющих государственную (коммерческую) уайну, максимально допустимые значения уровней сигналов с за щищаемой информацией и концентрации демаскирующих веществ На границах контролируемых зон, непревышение которых обеспе чивает требуемый уровень безопасности информации, а также ме тодики их измерения.
6. Меры по защите информации делятся на организационные и f ехнические. Граница между ними достаточно условно определяет ся степенью использования технических средств. Организационные меры по инженерно-технической защите информации являются частью организационной защиты, основу которой составляют рег ламентация (установление временных, территориальных и режим ных ограничений в работе людей и технических средств) и управ ление доступом к информации. Важнейшим направлением работ по защите информации является контроль эффективности защи ты информации, проводимый силами службы безопасности, руко водителями организации (учреждения, предприятия) и структур ных организаций, всеми сотрудниками организации, допущенных к закрытой информации. Различают предварительный (после вве денных изменений в систему защиты), периодический (системати ческий) и постоянный (по скрытым от проверяемых планам) конт роль защиты информации.
К техническим относятся меры, реализуемые путем установки новых или модернизации используемых инженерных конструкций и технических средств защиты информации.
Эффективность защиты информации от технической разведки оценивается методами технического контроля. В ходе его произ водится определение технических параметров носителей информаIции. В результате сравнения их с нормативными значениями при
нимается решение об уровне безопасности защищаемой информа ции. В зависимости от используемых для технического контроля средств применяют инструментальный, инструментально-расчет ный и расчетный виды технического контроля.
Литература к разделу IV
1.Беляев Е. 4-, Лаврухин Ю. Пицын В. В. Государственная система
защиты Информации в Российской Федерации // Безопасность ин формационных технологий. — 2000. — № 3.
2.Ярочкин В. И. Система безопасности фирмы. — М.: Ось-89, 1997.
3. Максимов Ю. Н., Сонников В. Г., Петров В. Г., Парашуткин А. В., Еремеев М. А. Технические методы и средства защиты информа
ции. — СПб.: Полигон, 2000.
4.Журавленко Н. И., КурбановД. А. Теория и методология защиты ин
формации. Учебное пособие. — УФА: Оперативная полиграфия,
2001.
5.Инструкция о порядке проведения экспертиз предприятий, учреж дений и организаций на право получения лицензии в области защи ты информации. — М.: Гостехкомиссия России, 1998.
6.О лицензировании деятельности предприятий и организаций по проведению работ, связанных с использованием сведений, состав ляющих государственную тайну, созданием средств защиты ин формации, а также с осуществлением мероприятий и (или) ока занием услуг по защите государственной тайны. Постановление Правительства РФ от 15 апреля 1995 г. № 333.
7.Указ Президента РФ «О системе и структуре федеральных органов исполнительной власти» от 9 марта 2004 г. № 314.
8.УказПрезидента РФ«О мерах по совершенствованию государствен ного управления в области безопасности Российской Федерации» от 11 марта 2003 г. № 308.
9.Инструкция о порядке проведения специальных экспертиз по до пуску предприятий, учреждений и организаций к проведению ра бот, связанных с использованием сведений, составляющих госу дарственную тайну. Утверждена Директором ФСБ РФ 23 августа 1995 г. № 28.
10.Положение о сертификации средств защиты информации по требо ваниям безопасности информации. — М.: Гостехкомиссия России,
1995.
Раздел V. Методическое обеспечение инженерно-технической защиты информации
Методическое обеспечение включает комплекс методик и ре комендаций, обеспечивающих при их выполнении рациональный уровень инженерно-технической защиты информации. По сущес тву эти методики должны для конкретных условий содержать от веты в виде алгоритмов, правил, рекомендаций на следующие воп росы:
•последовательность (алгоритм) работ по обеспечению инженер но-технической защиты на требуемом уровне;
;# источники защищаемой информации, их характеристики, фак-
;торы, влияющие на безопасность содержащейся в них информа ции;
•угрозы безопасности информации, вероятность их реализации и причиняемый ими ущерб;
•рациональные меры, обеспечивающие требуемый уровень безо
пасности при минимальных затратах.
Кроме того, методическое обеспечение должно содержать ма тематический аппарат для проведения необходимых оценок пока зателей в процессе оптимизации защиты.
Глава 27. Рекомендации по моделированию системы инженерно-технической защиты информации
27.1.Алгоритм проектирования (совершенствования) системы защиты информации
"■ Задача проектирования (разработки, совершенствования) сис темы защиты информации и ее элементов возникает тогда, когда создается новая организация с закрытой (секретной, конфиденци альной) информацией или существующая система не обеспечивает требуемый уровень безопасности информации.
Проектирование системы защиты, обеспечивающей достиже ние поставленных перед инженерно-технической защитой инфор мации целей и решение задач, проводится путем системного анали за существующей и разработки вариантов требуемой. Построение новой системы или ее модернизация предполагает:
•определение источников защищаемой информации и описание факторов, влияющих на ее безопасность;
•выявление и моделирование угроз безопасности информации;
•определение слабых мест существующей системы защиты ин формации;
•выбор рациональных мер предотвращения угроз;
•сравнение вариантов по частным показателям и глобальному критерию, выбор одного или нескольких рациональных вариан тов;
•обоснование выбранных вариантов в докладной записке или в проекте для руководства организации;
•доработка вариантов или проекта с учетом замечаний руководс тва.
Так как отсутствуют формальные способы синтеза системы защиты, то ее оптимизация при проектировании возможна путем постепенного приближения к рациональному варианту в результа те итераций.
Алгоритм проектирования системы защиты информации пред ставлен на рис. 27.1.
Последовательность проектирования (модернизации) системы защиты включает три основных этапа:
•моделирование объектов защиты;
•моделирование угроз информации;
•выбор мер защиты.
Основным методом исследования систем защиты является мо делирование. Моделирование предусматривает создание модели и ее исследование (анализ). Описание или физический аналог любо го объекта, в том числе системы защиты информации и ее элемен тов, создаваемые для определения и исследования свойств объек та, представляют собой его модель. В модели учитываются сущес твенные для решаемой задачи элементы, связи и свойства изучае мого объекта.
м
Моделирование объектов защиты
Структурирование
информации Корректировка модели
Моделирование условий для источников информации
Корректировка списка угроз
Моделирование и ранжирование угроз
Разработка и выбор мер защиты
Показатели:
Сщ — цена информации i-ro источника;
Pyki— вероятность k-й угрозы для i-ro источника;
Суи — ущерб k-й угрозы
для i-ro источника;
К„; — показатель информативности j-ro ТКУИ;
СзИ — затратына предотвращение k-й угрозыдля i-ro источника;
Wjy — эффективность мер защиты информации i-ro источника от k-й угрозы
Конец оптимизации
Рис. 27.1. Алгоритм проектирования системы защиты
информации
Моделирование составляет основу деятельности живых су ществ, в том числе человека. В основе многих болезней психики человека лежат нарушения механизма моделирования окружаю щей среды. В крайних ее проявлениях в больном мозгу создают ся модели, имеющие мало сходства с общепринятыми или объек тивно существующими моделями окружающего мира. В этом слу чае поступки больного человека на основе искаженной модели не соответствуют моделям других людей, а поведение такого челове-
ка классифицируется как ненормальное. Понятие «нормы» являет ся достаточно условным и субъективным и может меняться в зна чительных пределах. Творческие люди способны в своем вообра жении создавать модели, отличающиеся от реальности, и эти моде ли в какой-то мере влияют на их поведение, которое иным людям кажется странным. Образ такого чудака-ученого Паганеля нарисо вал Жюль Верн в своем романе «Дети капитана Гранта».
Т^к как основу жизни человека составляют химические и элек трические процессы в его организме, то модели окружающей сре ды могут искажаться под действием химических наркотических веществ. Люди постоянно пользуются наркотиками, чтобы подкор ректировать свои модели внешнего мира с целью уменьшить уро вень отрицательных эмоций, возникающих при информационной недостаточности или несоответствии жизненных реалий задачам и целям человека. Наркотические вещества (алкоголь, табак, кофеин, кола), вызывающие слабое наркотическое воздействие на организм человека, узаконены. Другие — опиум, героин, ЛСД и т. д. столь губительны, что наркомания рассматривается человечеством как одна из наиболее страшных угроз его существованию.
Различают вербальные, физические и математические мо дели и соответствующее моделирование.
Вербальная модель описывает объект на национальном и про фессиональном языках. Человек постоянно создает вербальные мо дели окружающей его среды и руководствуется ими при принятии решений. Чем точнее модель отображает мир, тем эффективнее при прочих равных условиях деятельность человека. На способности разных людей к адекватному моделированию окружающего мира влияют как природные (генетические) данные, так и воспитание, обучение, в том числе на основе собственного опыта, физическое и психическое состояния человека, а также мировоззренческие моде ли общества, в котором живет конкретный человек.
На естественном или профессиональном языке можно описать любой объект или явление. Сложные модели прошлой, настоящей или будущей жизни людей создают писатели. Но вербальные моде ли позволяют анализировать связи между ее элементами лишь на качественном уровне.
Физическая модель представляет материальный аналог ре ального объекта, который можно подвергать в ходе анализа раз
личным воздействиям и получать количественные соотношения между этими воздействиями и результатами. Часто в качестве фи зических моделей исследуют уменьшенные копии крупных объек тов, для изучения которых отсутствует инструментарий. Модели самолетов и автомобилей продувают в аэродинамических трубах, макеты домов для сейсмических районов испытывают на виброс тендах и т. д. Но возможности физического моделирования объек тов защиты и угроз ограничены, так как трудно и дорого создать физические аналоги реальных объектов. Действительно, для того чтобы получить физическую модель канала утечки, необходимо воспроизвести его элементы, в том числе среду, а также априори неизвестные средства и действия злоумышленника.
По мере развития вычислительной математики и техники рас ширяется сфера применения математического моделирования. Математическое моделирование предусматривает создание и ис следование математических моделей реальных объектов и процес сов. Математические модели могут разрабатываться в виде ана литических зависимостей выходов системы от входов, уравне ний для моделирования динамических процессов в системе, ста тистических характеристик реакций системы на воздействия слу чайных факторов. Математическое моделирование позволяет на иболее экономно и глубоко исследовать сложные объекты, чего, в принципе, нельзя добиться с помощью вербального моделиро вания или что чрезмерно дорого при физическом моделировании. Возможности математического моделирования ограничиваются уровнем формализации описания объекта и степенью адекватнос ти математических выражений реальным процессам в моделируе мом объекте.
Подобные ограничения возникают при моделировании слож ных систем, элементами которых являются люди. Многообразие поведения конкретного человека пока не поддается описанию на языке математических символов. Однако в статистическом смысле поведение человека более прогнозируемое и устойчивое.
Для моделирования сложных систем все шире применяется ме тод математического моделирования, называемый имитационным моделированием. Оно предполагает определение реакций модели системы на внешние воздействия, которые генерирует ЭВМ в виде случайных чисел. Статистические характеристики (математичес
кое ожидание, дисперсия, вид и параметры распределения) этих случайных чисел должны с приемлемой точностью соответство вать характеристикам реальных воздействий. Функционирование системы при случайных внешних воздействиях описывается в виде алгоритма действий элементов системы и их характеристик в ответ на каждое воздействие на входе. Таким образом имитируется рабо та сложной системы в реальных условиях. Путем статистической обработки выходных результатов при достаточно большой выбор ке входных воздействий получаются достоверные оценки работы системы. Например, достаточно объективная оценка эффективнос ти системы защиты информации при многообразии действий зло умышленников, которые с точки зрения службы безопасности но сят случайный характер, возможна, как правило, на основе имита ционного моделирования системы защиты.
Другое перспективное направление математического модели рования, которое представляет интерес для моделирования объ ектов защиты и угроз информации, — компьютерные деловые игры. Компьютерные деловые игры — аналог деловых игр людей, применяемый для решения проблем в организационных структу рах. Деловая игра имитирует процесс принятия решения в слож ных условиях недостаточности достоверной информации людьми, играющими роль определенных должностных лиц. Участниками компьютерной игры являются два человека или компьютер и чело век. Причем за сотрудника службы выступает человек, а злоумыш ленника — компьютер или человек. Например, злоумышленник — компьютер устанавливает в случайном месте закладное устройс тво, а другой игрок — человек производит поиск закладного уст ройства с помощью различных выбранных средств по показаниям виртуальных приборов моделей этих средств.
Компьютерные игры по защите информации могут приме няться как для анализа конкретных объектов, угроз и мер по защи те, так и в качестве тренажеров для подготовки сотрудников служ бы безопасности.
В чистом виде каждый вид моделирования используется ред ко. Как правило, применяются комбинации вербального, физичес кого и математического моделирования. С вербального моделиро вания начинается сам процесс моделирования, так }сак нельзя со-
