4. Утрата фондов или невосстанавливаемого имущества. Утрата фондов соответствует в общем случае уменьшению финансовых возможностей (деньги, чеки, облигации, вексели, денежные переводы, боны, акции и т. д.).

Преступные действия могут быть предприняты и в отношении счетов третьей стороны (клиенты, поставщики, государство, лица наемного труда), а иногда даже и против капиталов. Потери собственности соответствуют утрате материальных ценностей как складированных, так и закупленных, а также недвижимости.

5. Прочие расходы и потери, в частности, связаны с моральной ответственностью.

Эта категория потерь по своему содержанию довольно разнообразна: травмы, телесные повреждения, моральный ущерб, судебные издержки, штрафы, расходы на обучение и различные эксперименты, другие виды гражданской ответственности. Сюда же можно отнести качественные потери и другие издержки.

Ущерб может быть прямой (расходы, связанные с восстановлением системы) и косвенный (потери информации, клиентуры).

10.5 Информационные инфекции

В течение последнего времени множатся примеры систем, подвергнувшихся информационным инфекциям. Все говорят о том, что в будущем логические бомбы, вирусы, черви и другие инфекции явятся главной причиной компьютерных преступлений. Совсем недавно речь шла в основном о случаях с малыми системами. Между тем отмечаются случаи прямых атак и на большие системы со стороны сети или перехода вирусов от микроЭВМ к центральным («переходящий» вирус, поддерживаемый совместимостью операционных систем и унификацией наборов данных).

В настоящее время инфекции в информационных системах становятся обычными и имеют неодинаковые последствия в каждом конкретном случае. В основном это потери рабочего времени.

Число атак больших систем (по сети и реже через магнитные носители) растет. Речь идет, в частности, о логических бомбах, разрушающих набор данных (в том числе и тех, которые считаются защищенными, поскольку инфекция сохраняется долгое время) или парализующих систему.

Участились случаи, когда предприятие полностью лишается одного или нескольких наборов данных, а иногда даже программ, что может в самом худшем случае привести к катастрофическим потерям.

Угроза таких атак может быть реальной или выражаться в виде шантажа или вымогательства фондов. Мотивы при этом могут быть самые различные: от личных интересов до преступной конкуренции (случаи уже ординарные).

Угрозы информационных инфекций опасны не только персональным ЭВМ. Они не менее опасны большим системам и информационным сетям самого различного уровня.

Различные виды злонамеренных действий в нематериальной сфере (разрушение или изменение данных или программ) могут быть подразделены на два крупных класса:

• физический саботаж (фальсификация данных, изменение логики обработки или защиты);

• информационные инфекции (троянский конь, логическая бомба, черви и вирусы), являющиеся программами, далекими от того, чтобы принести полезные результаты пользователю; они предназначены для того, чтобы расстроить, изменить или разрушить полностью или частично элементы, обеспечивающие нормальное функционирование системы.

Информационные инфекции специфически ориентированы и обладают определенными чертами: противоправны (незаконны), способны самовостанавливаться и размножаться; а также имеют определенный инкубационный период - замедленное время начала действия.

Информационные инфекции имеют злонамеренный характер: их действия могут иметь разрушительный результат (например, уничтожение набора данных), реже физическое уничтожение (например, резкое включение и выключение дисковода), сдерживающее действие (переполнение канала ввода-вывода, памяти) или просто видоизменяющее влияние на работу программ.

Самовосстановление и размножение приводит к заражению других программ и распространению по линиям связи. Это влияние трудно ограничить, так как недостаточно выявить только один экземпляр вируса: зараженными могут быть не только копии, но и любые другие программы, вступившие в связь с ней.

Замедленное действие проявляется в том, что работа программы начинается при определенных условиях: дата, час, продолжительность, наступление события и т. д. Такое действие называют логической бомбой.

Логические бомбы могут быть «запрятаны» служащим, например программистом; обычно бомба представляет собой часть программы, которая запускается всякий раз, когда вводится определенная информация. Такая ловушка может сработать не сразу. Например, она может сработать от ввода данных, вызывающих отработку секции программы, которая портит или уничтожает информацию.

Логические бомбы, как вытекает из их названия, используются для искажения или уничтожения информации, реже с их помощью совершается кража или мошенничество. Манипуляциями с логическими бомбами обычно занимаются чем-то недовольные служащие, собирающиеся покинуть данную организацию, но это могут быть и консультанты, служащие с определенными политическими убеждениями, инженеры, которые при повторных обращениях могут попытаться вывести систему из строя.

Реальный пример логической бомбы: программист, предвидя свое увольнение, вносит в программу заработной платы определенные изменения, работа которых начнется, если его фамилия исчезнет из набора данных о персонале фирмы.

Троянский конь - это часть программы, которая при обращении способна, например, вмешаться в инструкцию передачи денежных средств или в движение акций, а затем уничтожить все улики. Ее можно применить также в случае, когда один пользователь работает с программой, которая предоставляет ресурсы другому пользователю. Известен случай, когда преступная группа смогла договориться с программистом торговой фирмы, работающим над банковским программным обеспечением, о том, чтобы он ввел подпрограмму, которая предоставит этим преступникам доступ в систему после ее установки с целью переместить денежные вклады.

Известен также случай, когда фирма, разрабатывающая программное обеспечение для банковских систем, стала объектов домогательств другой фирмы, которая хотела выкупить программы и имела тесную связь с преступным миром. Преступная группа, если она удачно определит место для внедрения троянского коня (например, включит его в систему очистки с автоматизированным контролем, выдающую денежные средства), может безмерно обогатиться.

Червь представляет собой паразитный процесс, который потребляет (истощает) ресурсы системы. Программа обладает свойством перевоплощаться и воспроизводиться в диспетчерах терминалов. Она может также приводить к разрушению программ.

Вирус представляет собой программу, которая обладает способностью размножаться и самовосстанавливаться. Некоторые вирусы помечают программы, которые они заразили, с помощью пометы с тем, чтобы не заражать несколько раз одну и ту же программу. Эта помета используется некоторыми антивирусными средствами. Другие средства используют последовательность характерных для вирусов кодов.

Большинство известных вирусов обладают замедленным действием. Они различаются между собой способами заражать программы и своей эффективностью. Существует три основные категории вирусов:

• Системные вирусы, объектом заражения которых являются исключительно загрузочные секторы (BOOT).

• Почтовые вирусы, объектом заражения которых являются электронные сообщения.

• Программные вирусы, заражающие различные программы функционального назначения. Программные вирусы можно подразделить на две категории в соответствии с воздействием, которое они оказывают на информационные программы. Эта классификация позволяет разработать процедуры обеспечения безопасности применительно к каждому виду вирусов.

Восстанавливающийся вирус внедряется внутрь программы, которую он частично разрушает. Объем инфицированной программы при этом не изменяется. Это не позволяет использовать этот параметр для обнаружения заражения программы. Однако инфицированная программа не может больше нормально работать. Это довольно быстро обнаруживает пользователь.

Вирус, внедряемый путем вставки, изменяет программу не разрушая ее. Всякий раз, когда задействуется программа, вирус проявляет себя позже, после окончания работы программы. Программа кажется нормально работающей, что может затруднить своевременное обнаружение вируса.

10.7 Модель нарушителя информационных систем

Попытка получить несанкционированный доступ к информационной системе или вычислительной сети с целью ознакомиться с ними, оставить записку, выполнить, уничтожить, изменить или похитит программу или иную информацию квалифицируется как компьютерное пиратство. Как явление подобные действия прослеживаются в последние 15 лет, но при этом наблюдается тенденция к их стремительному росту по мере увеличения числа бытовых ПК.

Рост компьютерных нарушений ожидается в тех странах, где они широко рекламируются с помощью фильмов и книг, а дети в процессе игр рано начинают знакомиться с компьютерами. Вместе с тем растет число и более серьезных нарушений, связанных с умышленными действиями. Так, например, известны случаи внедрения в военные системы НАТО, США, нарушения телевизионной спутниковой связи, вывода из строя электронных узлов регистрации на бензоколонках, использующих высокочастотные усилители; известны попытки перевода в Швейцарию евробонов на сумму 8,5 млн. долл. и разрушения европейской коммуникационной сети связи. Из этого следует, что не только компьютеры, но и другие электронные системы являются объектами злоумышленных действий.

Авторам хотелось бы разделить два определения: хакер (hacker) и кракер (cracker). Основное отличие состоит в постановке целей взлома компьютерных систем: первые ставят исследовательские задачи по оценке и нахождению уязвимостей с целью последующего повышения надежности компьютерной системы. Кракеры же вторгаются в систему с целью разрушения, кражи, порчи, модификации информации и совершают правонарушения с корыстными намерениями быстрого обогащения. Далее по тексту в некоторых случаях будем объединять их понятием «взломщик». Очевидно, что при несанкционированном доступе к информации наиболее губительным будет появление кракера. Иногда в литературе можно встретить термин крекер.

Однако компьютерные пираты (кракеры) не интересуются, насколько хорошо осуществляется в целом контроль в той или иной системе; они ищут единственную лазейку, которая приведет их к желанной цели. Для получения информации они проявляют незаурядную изобретательность,

используя психологические факторы, детальное планирование и активные действия. Кракеры совершают компьютерные преступления, считая, что это более легкий путь добывания денег, чем ограбление банков. При этом они пользуются такими приемами, как взяточничество и вымогательство, о которых заурядный владелец ЭВМ, возможно, читал, но никогда не предполагал, что сам станет объектом таких действий. Однако изобилие примеров говорит о том, что это не так. Объектами кракерских атак становятся как фирмы и банки, так и частные лица. Вот всего лишь несколько примеров.

«Забавы хакеров». «Недавно компьютерная сеть г. Северска (Томская область) подверглась массированной атаке доморощенных хакеров. В результате межрайонному отделу налоговой полиции был перекрыт доступ в Интернет. Это вторжение в городскую компьютерную сеть было не только зафиксировано налоговыми полисменами, но и задокументировано на магнитных носителях для дальнейшего использования в качестве доказательства в случае возбуждения уголовного дела».

«Суд над томскими хакерами». 16.02.2002 г. «Двух жителей Томска, рассылавших через Интернет компьютерные вирусы, судят в районном суде города. Их уголовное дело состоит из семи томов. С помощью популярной программы ICQ злоумышленники распространяли по сети файлы, зараженные вирусной программой типа «троянский конь». В активированном виде вирус позволял хакерам получить доступ к ресурсам зараженного компьютера, завладеть чужими паролями и контролировать ввод данных с клавиатуры. Как сообщили в областном УФСБ, все началось в апреле 2000 г. с жалобы жителя Томска в на многократное увеличение месячной платы за пользование сетью Интернет. С 200 руб. сумма таинственным образом возросла в 5 раз, превысив сначала одну, а потом 2 тыс. руб. в месяц. Пострадавший рассказал, что недавно он получил по почте ICQ странное электронное письмо. Обследование компьютера потерпевшего выявило наличие вируса в системе. Вскоре был установлен номер телефона, с которого незаконно подключались к Интернету. От действий подсудимых компьютерных воров пострадало в городе еще более десяти человек. В Томской области это первое доведенное до суда уголовное дело такого рода» [39 www. *****/news/society/2002/2/16/6047.html].

«Криминал» О. Никитский. Гор. Омск. «Два года назад в Омске при помощи поддельной карты были ограблены банкоматы Омскпромст-ройбанка системы «Золотая корона». Однако разработчики платежной системы смогли тогда убедить общественность, что речь идет о случайном доступе, не связанном со взломом системы защиты. Сегодня же, два года спустя, в Омске состоялся новый судебный процесс - над молодым человеком, который сумел подделать микропроцессорную карту электросвязь» и тем самым окончательно развенчал миф о неуязвимости смарт-технологий.

Согласно решению суда, эмуляторы (поддельные образцы) пластиковых карт, с помощью которых была ограблена «Золотая корона», изготовил 23-летний Е. Монастырев, ведущий специалист отдела вычислительной техники Томского АКБ «Нефтеэнергобанк». По мнению следователей, при помощи служебного оборудования он изготовил поддельные карты, с помощью которых в омских банкоматах неизвестные сообщники сняли 25 тыс. долл. Программист получил 2 года. Экспертизу материалов дела проводило ФАПСИ.

В суде города рассматривается дело о подделки телефонных карт, которые работают по тому же принципу, что и банковские, хотя немного проще устроены: в зависимости от продолжительности разговора процессор телефона-автомата изменяет количество тарифных единиц, записанных в микропроцессоре карты. «При использовании телефонной карты находящаяся на ней информация об отсутствии тарифных единиц не поступала в телефонный аппарат, что позволяло пользоваться услугами связи без оплаты» - такое заключение вынесло следствие. После нейтрализации самоучки доход от продажи карт вырос на 500 тыс. руб. Ущерб от деятельности афериста составил 3 млн. руб.».

Удивительно мало фирм и людей верит в то, что они могут пострадать от кракеров, и еще меньше таких, кто анализировал возможные угрозы и обеспечил защиту. Большинство менеджеров под действием средств массовой информации считают компьютерными нарушителями только школьников и применяют против них такое средство защиты, как пароли. При этом они не осознают более серьезной опасности, которая исходит от профессиональных или обиженных программистов, поскольку не понимают мотивов, которыми руководствуются эти люди при совершении компьютерных пиратств.

Для предотвращения возможных угроз фирмы должны не только обеспечить защиту операционных систем, программного обеспечения и контроля доступа, но и попытаться выявить категории нарушителей и те методы, которые они используют. В зависимости от мотивов, целей и методов действия всех взломщиков можно разбить на несколько групп начиная с дилетантов и кончая профессионалами. Их можно представить четырьмя группами:

• начинающим взломщиком;

• освоившим основы работы на ПЭВМ и в составе сети;

• классным специалистом;

• специалистом высшего класса.

11 Методы и модели оценки уязвимости информации

Уязвимость информации есть событие, возникающее как результат такого стечения обстоятельств, когда в силу каких-то причин используемые в автоматизированных системах обработки данных средства защиты не в состоянии оказать достаточного противодействия проявлению дестабилизирующих факторам и нежелательного их воздействия на защищаемую информацию.

Данная модель детализируется при изучении конкретных видов уязвимости информации: нарушения физической или логической целостности, несанкционированной модификации, несанкционированного получения, несанкционированного размножения.

При детализации общей модели основное внимание акцентируется на том, что подавляющее большинство нарушений физической целостности информации имеет место в процессе ее обработки на различных участках технологических маршрутов. При этом целостность информации зависит не только от процессов, происходящих на объекте, но и от целостности информации, поступающей на его вход. Основную опасность представляют случайные дестабилизирующие факторы (отказы, сбои и ошибки компонентов автоматизированных систем обработки данных), которые потенциально могут проявиться в любое время, и в этом отношении можно говорить о регулярном потоке этих факторов. Из стихийных бедствий наибольшую опасность представляют пожары, опасность которых в большей или меньшей степени также является постоянной. Опасность побочных явлений практически может быть сведена к нулю путем надлежащего выбора места для помещений автоматизированной системы обработки данных и их оборудования. Что касается злоумышленных действий, то они связаны главным образом с несанкционированным доступом к ресурсам автоматизированной системы обработки данных. При этом наибольшую опасность представляет занесение вирусов.

С точки зрения несанкционированного получения информации принципиально важным является то обстоятельство, что в современных автоматизированных системах обработки данных оно возможно не только путем непосредственного доступа к базам данных, но и многими путями, не требующими такого доступа. При этом основную опасность представляют злоумышленные действия людей. Воздействие случайных факторов непосредственно не ведет к несанкционированному получению информации, оно лишь способствует появлению каналов несанкционированного получения информации, которыми может воспользоваться злоумышленник.

Рассмотрим далее трансформацию общей модели уязвимости с точки зрения несанкционированного размножения информации. Принципиальными особенностями этого процесса являются:

• любое несанкционированное размножение есть злоумышленное действие;

• несанкционированное размножение может осуществляться в организациях-разработчиках компонентов автоматизированной системы обработки данных, непосредственно в автоматизированной системе обработки данных и сторонних организациях, причем последние могут получать носитель, с которого делается попытка снять копию как законным, так и незаконным путем.

Попытки несанкционированного размножения информации у разработчика и в автоматизированной системе обработки данных есть один из видов злоумышленных действий с целью несанкционированного ее получения и поэтому имитируются приведенной моделью. Если же носитель с защищаемой информацией каким-либо путем (законным или незаконным) попал в стороннюю организацию, то для его несанкционированного копирования могут использоваться любые средства и методы, включая и такие, которые носят характер научных исследований и опытно-конструкторских разработок.

В процессе развития теории и практики защиты информации сформировалось три методологических подхода к оценке уязвимости информации: эмпирический, теоретический и теоретико-эмпирический.

12 Рекомендации по использованию моделей оценки уязвимости информации

Как правило, модели позволяют определять текущие и прогнозировать будущие значения всех показателей уязвимости информации для любых компонентов автоматизированной системы обработки данных, любой их комбинации и для любых условий жизнедеятельности автоматизированной системы обработки данных. Некоторые замечания по использованию.

1. Практически все модели строятся в предположении независимости тех случайных событий, совокупности которых образуют сложные процессы защиты информации в современных автоматизированных системах обработки данных.

2. Для обеспечения работы моделей необходимы большие объемы таких исходных данных, подавляющее большинство которых в настоящее время отсутствует, а формирование сопряжено с большими трудностями.

Определим замечание первое - допущение независимости случайных событий, происходящих в системах защиты информации. Основными событиями, имитируемыми в моделях определения показателей уязвимости, являются: проявление дестабилизирующих факторов, воздействие проявившихся дестабилизирующих факторов на защищаемую информацию и воздействие используемых средств защиты на дестабилизирующие факторы. При этом обычно делаются следующие допущения.

1. Потенциальные возможности проявления каждого дестабилизирующего фактора не зависят от проявления других.

2. Каждый из злоумышленников действует независимо от других, т. е. не учитываются возможности формирования коалиции злоумышленников.

3. Негативное воздействие на информацию каждого из проявившихся дестабилизирующих факторов не зависит от такого же воздействия других проявившихся факторов.

4. Негативное воздействие дестабилизирующих факторов на информацию в одном каком-либо компоненте автоматизированной системы обработки данных может привести лишь к поступлению на входы связанных с ним компонентов информации с нарушенной защищенностью и не оказывает влияния на такое же воздействие на информацию в самих этих компонентах.

5. Каждое из используемых средств защиты оказывает нейтрализующее воздействие на дестабилизирующие факторы и восстанавливающее воздействие на информацию независимо от такого же воздействия других.

6. Благоприятное воздействие средств защиты в одном компоненте автоматизированной системы обработки данных лишь снижает вероятность поступления на входы связанных с ним компонентов информации с нарушенной защищенностью и не влияет на уровень защищенности информации в самих этих компонентах.

В действительности же события, перечисленные выше являются зависимыми, хотя степень зависимости различна: от незначительной, которой вполне можно пренебречь, до существенной, которую следует учитывать. Однако для решения данной задачи в настоящее время нет необходимых предпосылок, поэтому остаются лишь методы экспертных оценок.

Второе замечание касается обеспечения моделей необходимыми исходными данными. Ранее уже неоднократно отмечалось, что для практического использования моделей определения показателей уязвимости необходимы большие объемы разнообразных данных, причем подавляющее большинство из них в настоящее время отсутствует.

Сформулируем теперь рекомендации по использованию моделей, разработанных в рамках рассмотренных ранее допущений, имея в виду, что это использование, обеспечивая решение задач анализа, синтеза и управления в системах защиты информации, не должно приводить к существенным погрешностям.

Первая и основная рекомендация сводится к тому, что моделями должны пользоваться квалифицированные специалисты-профессионалы в области защиты информации, которые могли бы в каждой конкретной ситуации выбрать наиболее эффективную модель и критически оценить степень адекватности получаемых решении.

Вторая рекомендация заключается в том, что модели надо использовать не просто для получения конкретных значений показателей уязвимости, а для оценки поведения этих значений при варьировании существенно значимыми исходными данными в возможных диапазонах их изменений. В этом плане модели определения значений показателей уязвимости могут служить весьма ценным инструментом при проведении деловых игр по защите информации.

13 Функции и задачи защиты информации

13.1 Общие положения

Одно из фундаментальных положений системно-концептуального подхода к защите информации состоит в том, что предполагается разработка такой концепции, в рамках которой имелись бы (по крайней мере потенциально) возможности гарантированной защиты информации для самого общего случая архитектурного построения АСОИ, технологии и условий их функционирования. Для того чтобы множество функций соответствовало своему назначению, оно должно удовлетворять требованию полноты, причем под полнотой множества функции понимается свойство, состоящее в том, что при надлежащем обеспечении соответствующего уровня (соответствующей степени) осуществления каждой из функций множества гарантированно может быть достигнут требуемый уровень защищенности информации.

Защита информации в современных АСОИ может быть эффективной лишь в том случае, если она будет осуществляться как непрерывный и управляемый процесс. Для этого должны быть предусмотрены, с одной стороны, механизмы непосредственной защиты информации, а с другой - механизмы управления механизмами непосредственной защиты. Соответственно этому и множество функций защиты должно состоять из двух подмножеств: первого, содержащего функции непосредственно защиты, и второго, содержащего функции управления механизмами защиты.

Обеспечение регулярного осуществления функций защиты достигается тем, что в АСОИ регулярно решаются специальные задачи защиты. При этом задачей защиты информации называются организованные возможности средств, методов и мероприятий, реализуемых в АСОИ с целью осуществления функций защиты. Основное концептуальное требование к задачам защиты состоит в надежном обеспечении заданного уровня осуществления каждой из полного множества функций защиты. Сущность этого требования заключается в следующем.

Множество функций защиты должно быть полным в том смысле, что регулярное их осуществление обеспечивает условия для надежной защиты информации в системном плане. При этом варьируя усилиями и ресурсами, вкладываемыми в осуществление различных функций, можно стремиться к такому положению, когда требуемый уровень защиты информации будет достигаться при минимальных затратах, или к положению, когда при заданных затратах будет достигаться максимальный уровень защиты. Иными словами, полнота множества функций защиты и взаимозависимости различных функций создают предпосылки для оптимального построения системы защиты информации в АСОИ. Практическая реализация этой возможности может быть обеспечена лишь в том случае, если множество задач защиты будет репрезентативным (от фр. в том смысле, что будет позволять обеспечивать любой заданный уровень осуществления каждой функции защиты, и притом с минимизацией расходов на осуществление как каждой функции отдельно, так и их совокупности. Таким образом, задачи защиты информации являются инструментом практической реализации функций защиты в соответствии с объективными потребностями защиты.

13.2 Методы формирования функций защиты

Требование полноты множества функций защиты применительно к двум отмеченным видам интерпретируются следующим образом.

• Множество функций обеспечения защиты должно быть таким, чтобы осуществлением их в различных комбинациях и с различными усилиями в любой ситуации при функционировании АСОИ могли быть созданы все условия, необходимые для надежной защиты информации.

• Множество функций управления должно создавать все предпосылки для оптимальной реализации функций обеспечения в любых условиях.

Вместе с тем принципиально важно подчеркнуть, что регулярных (а тем более формальных) методов решения проблемы не существует (по крайней мере в настоящее время). Вынужденно приходится использовать методы неформальные. Таким образом, формирование функций защиты приходится осуществлять в ситуации, когда требования к формированию являются абсолютными, а методы, которые могут быть при этом использованы, весьма относительны структурно логический анализ экспертные оценки и просто здравый смысл компетентных специалистов

Совершенно очевидно, что множество функций защиты информации должно быть таким, чтобы надлежащим их осуществлением можно было оказывать желаемое воздействие на любую ситуацию, которая потенциально возможна в процессе организации и обеспечения защиты информации.

Последовательность и содержание структурно-логического анализа ситуаций, потенциально возможных в процессе защиты информации, можно представить в следующем виде.

Для того чтобы защищенность информации могла быть нарушена, должны существовать (иметь место) такие условия, при которых могут проявиться дестабилизирующие факторы. Если таких условий не будет, то не будет необходимости в специальной защите информации. Если же потенциальные возможности для проявления дестабилизирующих факторов будут иметь место, то надо оценивать реальную возможность их проявления, обнаруживать факты их проявления, принимать меры к предотвращению воздействия их на информацию, обнаружению, локализации и ликвидации последствий этих воздействий.

Событие 1 - защита информации обеспечена, поскольку даже при условии проявления дестабилизирующих факторов предотвращено их воздействие на защищаемую информацию или ликвидированы последствия такого воздействия.

Событие 2 - защита информации нарушена, поскольку не удалось предотвратить воздействие дестабилизирующих факторов на информацию, однако это воздействие локализовано.

Событие 3 - защита информации разрушена, поскольку воздействие дестабилизирующих факторов на информацию не только не предотвращено, но даже не локализовано.

Формирование множества задач осуществляется на основе анализа объективных возможностей реализации поставленных целей защиты. Такое множество задач может состоять из ряда классов задач, включающих содержащие однородные в функциональном отношении задачи.

Класс задач - это однородное в функциональном отношении множество задач, обеспечивающих полную или частичную реализацию одной или нескольких целей.

13.3 Классы задач защиты информации

Учитывая, что основными целями обеспечения информационной безопасности являются обеспечение защиты системы от обнаружения и от информационного воздействия, а также содержания информации, выделяются задачи соответствующих видов.

Одной из первичных целей противника является обнаружение объекта, обрабатывающего конфиденциальную информацию, и выявление сведений о его предназначении. Поэтому к первому виду задач можно отнести задачи уменьшения степени распознавания объектов. К этому виду относятся следующие классы задач.

Класс 1.1. Сокрытие информации о средствах, комплексах, объектах и системах обработки информации. Эти задачи могут подразделяться на технические и организационные.

Организационные задачи по сокрытию информации об объектах направлены на недопущение разглашения этих сведений сотрудниками и утечки их по агентурным каналам.

Технические задачи направлены на устранение или ослабление технических демаскирующих признаков объектов защиты и технических каналов утечки сведений о них. При этом сокрытие осуществляется уменьшением электромагнитной, временной, структурной и признаковой доступности, а также ослаблением адекватности между структурой, топологией и характером функционирования средств, комплексов, объектов, систем обработки информации и управления.

Решение этой задачи представляет реализацию комплекса организационно-технических мероприятий и мер, обеспечивающих выполнение основного требования к средствам, комплексам и системам обработки информации - разведзащищенности и направлено на достижение одной из главных целей - исключение или существенное затруднение технической разведке поиска, определения местоположения, радионаблюдения источников радиоизлучения, классификации и идентификации объектов технической разведкой по выявленным демаскирующим признакам.

Решение задачи по снижению электромагнитной доступности затрудняет как энергетическое обнаружение, так и определение координат района расположения источников радиоизлучения, а также увеличивает время выявления демаскирующих признаков, уменьшает точность измерения параметров и сигналов средств радиоизлучения.

Снижение временной доступности радиоизлучающих средств предполагает сокращение времени их работы на излучение при передаче информации и увеличение длительности паузы между сеансами обработки информации. Для уменьшения структурной и признаковой доступности информации реализуются организационно-технические мероприятия, ослабляющие демаскирующие признаки и создающие так называемый «серый фон».

Технические задачи сокрытия должны решаться, например, для подвижных объектов (автомобилей), оборудованных радиосвязью.

Класс 1.2. Дезинформация противника.

К этому классу относятся задачи, заключающиеся в распространении заведомо ложных сведений относительно истинного назначения каких-то объектов и изделий, действительного состояния какой-то области государственной деятельности, положении дел на предприятии и т. д.

Дезинформация обычно проводится путем распространения ложной информации по различным каналам, имитацией или искажением признаков и свойств отдельных элементов объектов защиты, создания ложных объектов, по внешнему виду или проявлениям похожих на интересующих соперника объекты, и др.

Роль дезинформации подчеркивал , специалист в области контршпионажа: «На нас обрушивается, валится, извергается огромное количество информации. Она бывает фальшивой, но выглядит правдоподобно; бывает правдивой, а на самом деле хитроумно перекроена, дабы производить впечатление фальшивой; бывает отчасти фальшивой и отчасти правдивой. Все зависит от выбранного способа так называемой дезинформации, цель которой - заставить вас верить, желать, думать, принимать решения в направлении, выгодном для тех, кому зачем-то нужно на нас воздействовать».

Техническая дезинформация на объекте защиты представляет комплекс организационных мероприятий и технических мер, направленных на введение в заблуждение технической разведки относительно истинных целей систем обработки информации, намерений органов управления.

Частными задачами технической дезинформации являются:

• искажение демаскирующих признаков реальных объектов и систем, соответствующих признакам ложных объектов;

• создание (имитация) ложной обстановки, объектов, систем, комплексов путем воспроизведения демаскирующих признаков реальных объектов, структур систем, ситуаций, действий, функций и т. д.

• передача, обработка, хранение в системах обработки ложной информации.

В общем виде эти задачи могут быть сгруппированы в частные задачи радиоимитации, радиодезинформации, демонстративных действий.

Класс 1.3. Легендирование.

Объединяет задачи по обеспечению получения злоумышленником искаженного представления о характере и предназначении объекта, когда наличие объекта и направленность работ на нем полностью не скрываются, а маскируются действительное предназначение и характер мероприятий.

На практике, учитывая очень высокую степень развития современных средств ведения разведки, является чрезвычайно сложным полное сокрытие информации об объектах. Так, современные средства фоторазведки позволяют делать из космоса снимки объектов с разрешающей способностью в несколько десятков сантиметров.

Поэтому наряду с рассмотренным видом задач не менее важными, а по содержанию более объемными являются задачи защиты содержа-ния обрабатываемой, хранимой и передаваемой информации. К этому виду относятся следующие классы задач.

Класс 2.1. Введение избыточности элементов системы. Под избыточностью понимается включение в состав элементов системы обработки информации дополнительных компонентов, обеспечивающих реализацию заданного множества целей защиты с учетом воздействий внешних и внутренних дестабилизирующих факторов.

Решение этой задачи включает реализацию комплекса организационных мероприятий, технических, программных и других мер, обеспечивающих организационную, аппаратную, программно-аппаратную, временную избыточность.

Организационная избыточность осуществляется за счет введения дополнительной численности обслуживающего персонала, его обучения, организации и обеспечения режима сохранения государственной тайны и другой конфиденциальной информации, определения порядка передачи информации различной степени важности, выбора мест размещения средств и комплексов обработки и т. п.

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8