Качество и его подтверждение

Зачастую заказчик СЗИ плохо представляет себе значение того или иного средства и его вклад в общий уровень безопасности и в результате происходит увеличение затрат при практической неопределенности достигнутого эффекта. Как следствие, далеко не всегда заказчик СЗИ получает то, что ему реально нужно, и не может объективно проверить и оценить качество и эффективность предложенного решения [13].

Средства защиты информации в соответствии с действующими нормами и правилами подлежат обязательной или добровольной сертификации. Однако сертификация не является совершенным инструментом и не дает необходимых гарантий. В лучшем случае проверяется только 85% всех возможных состояний, а обычно — 60-70% [14].

В [20] указывается, что сертификация продукции на соответствие требованиям государственных стандартов по безопасности информации или иных нормативных документов, утвержденных Гостехкомиссией РФ, подтверждается с определенной степенью достоверности. Однако чему конкретно должна быть равна эта достоверность, является ли этот термин эквивалентным вероятностно-статистическому пониманию, не говорится. Между тем, на испытательные центры (лаборатории), проводящие испытания образцов сертифицируемой продукции и участвующие в предварительной проверке ее производства, прямо возложена ответственность за достоверность результатов. При таком положении дел нормативное требование обеспечения достоверности результатов испытаний отдельных средств и, тем более всей СЗИ, остается пустой декларацией. Таким образом, даже если элементы СЗИ формально успешно прошли все сертификационные испытания и имеют полный комплект удостоверяющих документов, это отнюдь не означает того, что реально будет обеспечен требуемый уровень качества.

7. Объекты и элементы защиты в современных АСОД.

В соответствии с законами Российской Федерации защите подлежит информация, отнесенная к государственной тайне, конфиденциальная информация, в том числе персональные данные, неправомерное обращение с которыми может нанести ущерб ее собственнику, владельцу, пользователю или другому лицу. Законодательно определены и режимы защиты такой информации.

Собственниками, владельцами, пользователями (потребителя) информации могут быть государственные и негосударственные предприятия, организации, физические лица.

Основные объекты защиты можно объединить в следующие группы:

• собственники, владельцы, пользователи (потребители) информации;

• информационные ресурсы с ограниченным доступом, составляющие коммерческую, банковскую тайну, иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы, в том числе открытая (общедоступная) информация, представленные в виде документов и массивов информации, независимо от формы и вида их представления;

• процессы обработки информации в автоматических системах – информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический персонал разработчиков и пользователей системы и ее обслуживающий персонал;

• информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные компоненты автоматической системы;

Очень часто путают саму информацию и её носитель. Такая путаница приводит к непониманию сути проблемы и, следовательно, к невозможности её решить. Поэтому следует чётко представлять себе, где информация, а где её материальный носитель.

Информация – вещь нематериальная. Это сведения, которые зафиксированы (записаны) тем или иным расположением (состоянием) материального носителя, например, порядком расположения букв на странице или величиной намагниченности ленты.

Носителем информации может быть любой материальный объект. И наоборот – любой материальный объект всегда несёт на себе некую информацию (которая, однако, далеко не всегда имеет для нас значение). Например, книга как совокупность переплёта, бумажных листов, и типографской краски на них является типичным носителем информации.

Чтобы отличать информацию от её носителя, надо твёрдо помнить, что информация – это сугубо нематериальная субстанция. Всё, что является материальным объектом, информацией быть не может, но только лишь её носителем. В том же примере с книгой и листы, и знаки на них – только носитель; информация же заключена в порядке расположения печатных символов на листах. Радиосигнал – тоже материальный объект, поскольку является комбинацией электрических и магнитных полей (с другой точки зрения – фотонов), поэтому он не является информацией. Информация в данном случае – порядок чередования импульсов или иных модуляций указанного радиосигнала.

Материя и информация неотделимы друг от друга. Информация не может существовать сама по себе, в отрыве от материального носителя. Материя же не может не нести информации, поскольку всегда находится в том или ином определённом состоянии.

Теперь перейдём к более конкретному рассмотрению. Хотя любой материальный объект – носитель информации, но люди используют в качестве таковых специальные объекты, с которых информацию удобнее считывать.

Традиционно используемым носителем информации является бумага с нанесёнными на ней тем или иным способом изображениями.

Поскольку в наше время основным средством обработки информации является компьютер, то и для хранения информации используются в основном машинно-читаемые носители.

В группе носителей и технических средств передачи и обработки информации защите подлежат:

• Собственно носители информации в виде информационных физических полей и химических сред, сигналов, документов на бумажной, магнитной, оптической и других основах:

• Жёсткий магнитный диск, ЖМД, НЖМД (hard disk, HD). Применяется как основной стационарный носитель информации в компьютерах. Большая ёмкость, высокая скорость доступа. Иногда встречаются модели со съёмным диском, который можно вынуть из компьютера и спрятать с сейф. Так выглядит НЖМД.

• Гибкий магнитный диск, ГМД (floppy disk, FD) или дискета (diskette). Основной сменный носитель для персональных компьютеров. Небольшая ёмкость, низкая скорость доступа, но и стоимость тоже низкая. Основное преимущество – транспортабельность.

• Лазерный компакт-диск (CD, CD-ROM). Большая ёмкость, средняя скорость доступа, но отсутствует возможность записи информации. Запись производится на специальном оборудовании. Так выглядит CD‑привод.

• Перезаписываемый лазерный компакт-диск (CD-R, CD-RW). В одних случаях возможна только запись (без перезаписи), в других – также ограниченное число циклов перезаписи данных. Те же характеристики, что и для обычного компакт-диска.

• DVD‑диск. Аналогичен CD-ROM, но имеет более высокую плотность записи (в 5–20 раз). Имеются устройства как только для считывания, так и для записи (перезаписи) DVD.

• Сменный магнитный диск типа ZIP или JAZZ. Похож на дискету, но обладает значительно большей ёмкостью. Так выглядит ZIP‑диск и привод для него.

• Магнитооптический или т.н. флоптический диск. Сменный носитель большой ёмкости. Так выглядит магнитооптический диск и привод для него.

• Кассета с магнитной лентой – сменный носитель для стримера (streamer) – прибора, специально предназначенного для хранения больших объёмов данных. Некоторые модели компьютеров приспособлены для записи информации на обычные магнитофонные кассеты. Кассета имеет большую ёмкость и высокую скорость записи-считывания, но медленный доступ к произвольной точке ленты. Так выглядит стример и его кассеты.

• Перфокарты – в настоящее время почти не используются.

• Перфолента – в настоящее время почти не используется.

• Кассеты и микросхемы ПЗУ (read-only memory, ROM). Характеризуются невозможностью или сложностью перезаписи, небольшой ёмкостью, относительно высокой скоростью доступа, а также большой устойчивостью к внешним воздействиям. Обычно применяются в компьютерах и других электронных устройствах специализированного назначения, таких как игровые приставки, управляющие модули различных приборов, принтеры и т.д.

• Магнитные карты (полоски). Маленькая ёмкость, транспортабельность, возможность сочетания машинно-читаемой и обычной текстовой информации. Кредитные карточки, пропуска, удостоверения и т.п.

• Существует большое количество специализированных носителей, применяемых в различных малораспространённых приборах. Например, магнитная проволока, голограмма.

Кроме того, носителем информации является оперативная память компьютера, ОЗУ (RAM), но она не пригодна для долговременного хранения информации, поскольку данные в ней не сохраняются при отключении питания. Так выглядят модули оперативной памяти.

• Средства электронно-вычислительной техники (ЭВТ).

• Средства связи (ТЛФ, ТЛГ, ГГС, телефаксы, телетайпы).

• Средства преобразования речевой информации (средства звукозаписи, звукоусиления, звуковоспроизведения, звукового сопровождения).

• Средства визуального отображения (дисплеи, средства внутреннего телевидения).

• Средства изготовления и размножения документов (принтеры, ксероксы, плоттеры и т.д.).

• Вспомогательные технические средства (средства, не обрабатывающие защищаемую информацию, но размещенные в помещениях, где она обрабатывается).

• Помещения, выделенные для размещения объектов защиты.

• Для объектов органов управления, военных и промышленных объектов защите подлежит информация:

• о местоположении объекта;

• о предназначении, профиле деятельности, структуре объекта и режиме его функционирования;

• циркулирующая в технических средствах, используемых на объекте;

• о разрабатываемых (производимых, испытываемых) или эксплуатируемых образцах вооружения, военной техники или производствах и технологиях;

• о научно-исследовательских и опытно-конструкторских работах.

8. Определение каналов несанкционированного получения информации (КНПИ). Их классификация характеристики.

Каналы несанкционированного получения информации      Чтобы справиться со стремительно нарастающим потоком информации, вызванным научно-техническим прогрессом, субъекты предпринимательской деятельности, учреждения и организации всех форм собственности вынуждены постоянно пополнять свой арсенал разнообразными техническими средствами и системами, предназначенными для приема, передачи, обработки и хранения информации. Физические процессы, происходящие в таких устройствах при их функционировании, создают в окружающем пространстве побочные электромагнитные, акустические и другие излучения, которые в той или иной степени связаны с обработкой информации. Подобные излучения могут обнаруживаться на довольно значительных расстояниях (до сотен метров) и, следовательно, использоваться злоумышленниками, пытающимися получить доступ к секретам. Поэтому мероприятия по защите информации, циркулирующей в технических средствах, направлены, прежде всего, на снижение уровней таких излучений. Побочные электромагнитные излучения возникают вследствие непредусмотренной схемой или конструкцией рассматриваемого технического средства передачи информации по паразитным связям напряжения, тока, заряда или магнитного поля. Под паразитной связью понимают связь по электрическим или магнитным цепям, появляющуюся независимо от желания конструктора. В зависимости от физической природы элементов паразитных электрических цепей, различают паразитную связь через общее полное сопротивление, емкостную или индуктивную паразитную связь. Физические явления, лежащие в основе появления излучений, имеют различный характер, тем не менее, в общем виде утечка информации за счет побочных излучений может рассматриваться как непреднамеренная передача секретной информации по некоторой “побочной системе связи”, состоящей из передатчика (источника излучений), среды, в которой эти излучения распространяются, и принимающей стороны. Причем, в отличие от традиционных систем связи, в которых передающая и принимающая стороны преследуют одну цель — передать информацию с наибольшей достоверностью, в рассматриваемом случае “передающая сторона” заинтересована в возможно большем ухудшении передачи информации, так как это способствует ее защите. Описанную “систему связи” принято называть техническим каналом утечки информации. В реальных условиях в окружающем пространстве присутствуют многочисленные помехи как естественного, так и искусственного происхождения, которые существенным образом влияют на возможности приема. Технические каналы утечки информации чаще всего рассматривают в совокупности с источниками помех. Для традиционных систем связи такие помехи являются негативным явлением, в значительной степени затрудняющими прием, однако для защиты технических средств от утечки информации по побочным каналам эти помехи оказываются полезными и нередко создаются специально. Источниками излучений в технических каналах являются разнообразные технические средства, в которых циркулирует информация с ограниченным доступом. Такими средствами могут быть: • сети электропитания и линии заземления; • автоматические сети телефонной связи; • системы телеграфной, телекодовой и факсимильной связи; • средства громкоговорящей связи; • средства звуко- и видеозаписи; • системы звукоусиления речи; • электронно-вычислительная техника; • электронные средства оргтехники. Источником излучений в технических каналах утечки информации может быть и голосовой тракт человека, вызывающий появление опасных акустических излучений в помещении или вне его. Средой распространения акустических излучений в этом случае является воздух, а при закрытых окнах и дверях — воздух и всевозможные звукопроводящие коммуникации. Если при этом для перехвата информации используется соответствующая техника, то образуется технический канал утечки информации, называемый акустическим. Технические каналы утечки информации принято делить на следующие типы: • радиоканалы (электромагнитные излучения радиодиапозона); • акустические каналы (распространение звуковых колебаний в любом звукопроводящем материале); • электрические каналы (опасные напряжения и токи в различных токопроводящих коммуникациях); • оптические каналы (электромагнитные излучения в инфракрасной, видимой и ультрафиолетовой части спектра); • материально-вещественные каналы (бумага, фото, магнитные носители, отходы и т.д.). Правомерно предполагать, что образованию технических каналов утечки информации способствуют определенные обстоятельства и причины технического характера (рис. 1). К ним можно отнести несовершенство элементной базы и схемных решений, принятых для данной категории технических средств, эксплуатационный износ элементов изделия, а также злоумышленные действия.

Рис.1 Классификация причин образования технических каналов утечки информации

     Основными источниками образования технических каналов утечки информации (рис.2) являются: • преобразователи физических величин; • излучатели электромагнитных колебаний; • паразитные связи и наводки на провода и элементы электронных устройств. Для каждой из этих групп, в свою очередь, можно выполнить декомпозицию по принципу преобразования или иным параметрам. Так, по принципам преобразования акустические преобразователи подразделяются на индуктивные, емкостные, пьезоэлектрические и оптические. При этом по виду преобразования они могут быть и акустическими, и электромагнитными. Декомпозиция излучателей электромагнитных колебаний выполняется по диапазону частот.

Рис. 2. Классификация источников образования технических каналов утечки информации

 

     Паразитные связи и наводки проявляются в виде обратной связи (наиболее характерна положительная обратная связь), утечки по цепям питания и заземления. Технические средства и системы могут не только непосредственно излучать в пространство сигналы, содержащие обрабатываемую ими информацию, но и улавливать за счет своих микрофонных или антенных свойств существующие в непосредственной близости от них акустические либо электромагнитные излучения. Такие технические средства могут преобразовывать принятые излучения в электрические сигналы и передавать их по своим линиям связи, как правило, бесконтрольным, за территорией объекта на значительные расстояния, что в еще большей степени повышает опасность утечки информации. Возможностью образовывать подобные радиотехнические каналы утечки обладают некоторые телефонные аппараты, датчики охранной и пожарной сигнализации, их линии, а также сеть электропитания. Нередки случаи, когда технические устройства имеют в своем составе, помимо подобных “микрофонов” и “антенн”, высокочастотные или импульсные генераторы. Генерируемые колебания в таких устройствах могут быть промодулированы проявившимися электрическими сигналами, вследствие чего эти технические устройства превращаются в радиопередатчики и представляют серьезную опасность, так как способны излучать информацию в окружающее пространство. Как в любой системе связи, в каналах утечки информации опасный сигнал (сигнал, несущий секретную информацию) характеризуется определенной длительностью, динамическим диапазоном и шириной спектра, произведение которых представляет собой его объем. Чтобы принять такой объем информации, на принимающей стороне должна быть аппаратура, обладающая соответствующими характеристиками, т.е. имеющая необходимую чувствительность при определенном превышении сигнала над уровнем собственных помех, и обеспечивающая необходимую ширину полосы принимаемых сигналов при соответствующей длительности их передачи.

     К основным информационным характеристикам канала относятся: • местоположение начала и конца канала; • форма передаваемой информации (дискретная, непрерывная) в звеньях канала; • структура канала передачи (датчик, кодер, модулятор, линия, демодулятор, декодер, устройство фиксации и др.); • вид канала (телефонный, телеграфный, телевизионный и др.); • скорость передачи и объем передаваемой информации; • способы преобразования информации в звеньях канала передачи (методы модуляции, кодирования и т.д.); • пропускная способность канала; • емкость канала. Кроме того, классификация каналов передачи возможна по следующим признакам: • по виду сигналов и способу передачи; • по исполнению: проводные, кабельные, световодные, радио и другое; • по принципу действия: электромагнитные, оптические, акустические. Параметры канала определяются физической структурой канала, его типом и режимом использования. Ширина полосы пропускания (частотный спектр) канала F меняется от 3100 Гц для телефонного до 8 МГц для телевидения и до сотен мегагерц для оптических линий связи. Превышение сигнала над помехой в канале (динамический диапазон) Д, определяемое соотношения мощностей сигнала и помехи в канале, — способность канала передавать различные уровни сигнала. Этот параметр связан с расчетным уровнем помех, возможностями модуляции. Динамический диапазон Д ограничивает дальность передачи, а также влияет на возможность выделения сигнала на фоне помех. Каждый канал также характеризуется количеством информации, которое может быть передано по нему.

Классификация радиоканалов утечки информации

     Образование радиоканалов утечки информации      В современных условиях насыщенности нашей жизни самыми разнообразными техническими, особенно электронными, средствами производственной и трудовой деятельности, различными средствами связи, разного рода вспомогательными системами (телевидение, радиовещание) крайне необходимо понимать опасность возникновения канала утечки информации с ограниченным доступом именно через технические средства ее обработки. Более того, технические средства относятся едва ли не к наиболее опасным и широко распространенным каналам утечки информации.      Анализ физической природы многочисленных преобразователей и излучателей показывает, что:    • источниками опасного сигнала являются элементы, узлы и проводники технических средств обеспечения производственной и трудовой деятельности, а также радио- и электронная аппаратура;    • каждый источник опасного сигнала при определенных условиях может образовать технический канал утечки информации;    • каждая электронная система, содержащая в себе совокупность элементов, узлов и проводников, обладает некоторым множеством технических каналов утечки информации.     С определенной степенью обобщения множество радиоканалов утечки информации можно представить в виде следующей структуры (рис. 3).     Каждый из этих каналов, в зависимости от конкретной реализации элементов, узлов и изделий в целом, будет иметь определенное проявление, специфические характеристики и особенности образования, связанные с условиями расположения и исполнения. Наличие и конкретные характеристики каждого источника образования канала утечки информации изучаются, исследуются и определяются конкретно для каждого образца технических средств на специально оборудованных для этого испытательных стендах и в специальных лабораториях.

Рис. 3. Структура радиоканалов утечки информации

     Классификация радиоканалов утечки информации по природе образования, диапазону излучения и среде распространения представлена на рис. 4

Рис. 4. Классификация радиоканалов утечки информации

Оценка электромагнитных полей

    Оценка электромагнитных полей полезных и мешающих сигналов в месте приема или оценка собственно радиосигналов на входе приемника (после преобразования электромагнитного поля в радиосигналы антенной приемного устройства) составляет сущность электромагнитной обстановки, которая отражается статической моделью (рис. 5).

    Модель содержит блоки канала передачи информации и звенья описания состояний информации. Блоки модели соответствуют материальным элементам, обеспечивающим формирование, передачу, распространение и, частично, прием радиосигналов. В соответствии с этим модель электромагнитной обстановки (ЭМО) включает в себя следующие блоки: источник полезных сигналов; источники мешающих сигналов (непреднамеренных помех); среда распространения электромагнитных колебаний.

    Информационное описание процессов формирования ЭМО с учетом наличия непреднамеренных помех осуществляется в звеньях (пространствах): пространстве сообщений , пространстве полезных сигналовS, пространстве мешающих сигналов и пространстве входных сигналов.

Рис. 5. Статическая модель формирования электромагнитной обстановки

     При этом входные сигналы могут рассматриваться в двух вариантах: • на входе приемного устройства в форме электромагнитных полей; • на входе приемника в форме радиосигнала.

9. Модели защиты информации.

Модели цифровой информации опираются на ставшие уже классикой общеизвестные работы К. Шеннона [2, 40], показавшего возможность количественного подхода к информации. К каким парадоксам в электронной среде приводит определение информации как сведения или знания показано выше. Сведение, знание — это сугубо индивидуализированные понятия, неотрывные от воспринимающего субъекта: для кого сведение, а для кого — пустой набор слов. Основная идея Шеннона заключается в объективизации понятия информации. Шеннон обезличил информацию, назвал информацией последовательность сигналов, бит и т. п. с заданной на ней вероятностной мерой.

Если вспомнить, что специализацией К. Шеннона была криптография (доклад «Математическая теория криптографии» был им сделан 01.09.45 г.), то подобный подход очевиден. Ведь зашифрованная информация, с позиций обычного человека, есть бессмысленный набор знаков, но никак не сведение или факт. Естественно, что «индивидуальность» множества в таком случае оказывается несущественным фактором, имеют место только абстрактные характеристики. Любая последовательность есть упорядоченное множество, тогда неизменность информации означает, что любые преобразования множества сохраняют отношение порядка, являются изоморфными.

Далее, используя чисто формальные математические преобразования, Шеннон приходит к понятиям энтропии, количества информации, совершенной секретности и прочим характеристикам, интерпретация которых имеет прикладное значение. Как правило, именно это ставят ему в заслугу, но исходные постулаты несопоставимо глубже. Электронное взаимодействие вышло на массовый уровень, и подавляющее большинство участников не способно адекватно воспринимать постулаты цифрового отображения информации, противоречащие всему их предыдущему жизненному опыту. В свою очередь, это ведет к поверхностному анализу процессов обеспечения информационной безопасности, не затрагивающему их глубинных основ.

Модели механизмов защиты информации

Приведем аннотационное описание наиболее часто цитируемых моделей, в том числе: дискреционного, мандатного, дискретного доступа; синхронных и асинхронных распределенных систем; трансформации прав доступа; элементарной защиты; гарантированно защищенной системы; модель изолированной программной среды; субъектно-объектная модель; и др.

1.     Модель дискреционного доступа [42]. В рамках модели контролируется доступ субъектов к объектам. Для каждой пары субъект-объект устанавливаются операции доступа (READ, WRITE и др.). Контроль доступа осуществляется посредством механизма, который предусматривает возможность санкционированного изменения правил разграничения доступа. Право изменять правила предоставляется выделенным субъектам. В моделях дискретного доступа [43–45] рассматриваются отдельные механизмы распространения доступа субъектов к объектам.

2.     Модель мандатного управления доступом Белла—Лападула [43, 46, 47]. Формально записана в терминах теории отношений. Описывает механизм доступа к ресурсам системы, при этом для управления доступом используется матрица контроля доступа. В рамках модели рассматриваются простейшие операции доступа субъектов к объектам READ и WRITE, на которые накладываются ограничения. Множества субъектов и объектов упорядочены в соответствии с их уровнем безопасности. Состояние системы изменяется согласно правилам трансформации состояний. Во множестве субъектов могут присутствовать доверенные субъекты, которые не подчиняются ограничениям на операции READ и WRITE. В таком случае модель носит название модели доверенных субъектов [43].

3.     Модели распределенных систем (синхронные и асинхронные) [43]. В рамках модели субъекты выполняются на нескольких устройствах обработки. В рамках модели рассматриваются операции доступа субъектов к объектам READ и WRITE, которые могут быть удаленными, что может вызвать противоречия в модели Белла—Лападула.

В рамках асинхронной модели в один момент времени несколько субъектов могут получить доступ к нескольким объектам. Переход системы из одного состояния в состояние в один момент времени может осуществляться под воздействием более, чем одного субъекта.

4.     Модель безопасности военной системы передачи данных (MMS-модель) [43, 46, 48]. Формально записана в терминах теории множеств. Субъекты могут выполнять специализированные операции над объектами сложной структуры. В модели присутствует администратор безопасности для управления доступом к данным и устройством глобальной сети передачи данных. При этом для управления доступом используются матрицы контроля доступа. В рамках модели используются операции доступа субъектов к объектам READ, WRITE, CREATE, DELETE, операции над объектами специфической структуры, а также могут появляться операции, направленные на специфическую обработку информации. Состояние системы изменяется с помощью функции трансформации.

5.     Модель трансформации прав доступа [46]. Формально записана в терминах теории множеств. В рамках модели субъекту в данный момент времени предоставляется только одно право доступа. Для управления доступом  применяются функции трансформации прав доступа. Механизм изменения состояния системы основывается на применении функций трансформации состояний.

6.     Схематическая модель [46, 50]. Формально записана в терминах теории множеств и теории предикатов. Для управления доступом используется матрица доступа со строгой типизацией ресурсов. Для изменения прав доступа применяется аппарат копирования меток доступа.

7.     Иерархическая модель [46, 51]. Формально записана в терминах теории предикатов. Описывает управление доступом для параллельных вычислений, при этом управление доступом основывается на вычислении предикатов.

8.     Модель безопасных спецификаций [46, 52]. Формально описана в аксиоматике Хоара. Определяет количество информации, необходимое для раскрытия системы защиты в целом. Управление доступом осуществляется на основе классификации пользователей. Понятие механизма изменения состояния не применяется.

9.      Модель информационных потоков [46, 53]. Формально записана в терминах теории множеств. В модели присутствуют объекты и атрибуты, что позволяет определить информационные потоки. Управление доступом осуществляется на основе атрибутов объекта. Изменением состояния является изменение соотношения между объектами и атрибутами.

10.  Вероятностные модели [43]. В модели присутствуют субъекты, объекты и их вероятностные характеристики. В рамках модели рассматриваются операции доступа субъектов к объектам READ и WRITE. Операции доступа также имеют вероятностные характеристики.

11.  Модель элементарной защиты [54]. Предмет защиты помещен в замкнутую и однородную защищенную оболочку, называемую преградой. Информация со временем начинает устаревать, т.е. цена ее уменьшается. За условие достаточности защиты принимается превышение затрат времени на преодоление преграды нарушителем над временем жизни информации. Вводятся вероятность непреодоления преграды нарушителем P_сзи, вероятность обхода преграды нарушителем P_обх и вероятность преодоления преграды нарушителем за время, меньшее времени жизни информации P_хр. Для введенной модели нарушителя показано, что P_сзи  = min [(1 – P_обх), (1 – P_хр)], что является иллюстрацией принципа слабейшего звена. Развитие модели учитывает вероятность отказа системы и вероятность обнаружения и блокировки действий нарушителя.

12.  Модель системы безопасности с полным перекрытием [44, 55]. Отмечается, что система безопасности должна иметь по крайней мере одно средство для обеспечения безопасности на каждом возможном пути проникновения в систему. Модель описана в терминах теории графов. Степень обеспечения безопасности системы можно измерить, используя лингвистические переменные [56, 57]. В базовой системе рассматривается набор защищаемых объектов, набор угроз, набор средств безопасности, набор уязвимых мест, набор барьеров.

13.  Модель гарантированно защищенной системы обработки информации [6]. В рамках модели функционирование системы описывается последовательностью доступов субъектов к объектам. Множество субъектов является подмножеством множества объектов. Из множества объектов выделено множество общих ресурсов системы, доступы к которым не могут привести к утечке информации. Все остальные объекты системы являются порожденными пользователями, каждый пользователь принадлежит множеству порожденных им объектов. При условии, что в системе существует механизм, который для каждого объекта устанавливает породившего его пользователя; что субъекты имеют доступ только общим ресурсам системы и к объектам, порожденным ими, и при отсутствии обходных путей политики безопасности, модель гарантирует невозможность утечки информации и выполнение политики безопасности.

14.  Субъектно-объектная модель [58, 59]. В рамках модели все вопросы безопасности описываются доступами субъектов к объектам. Выделено множество объектов и множество субъектов. Субъекты порождаются только активными компонентами (субъектами) из объектов. С каждым субъектом связан (ассоциирован) некоторый объект (объекты), т.е. состояние объекта влияет на состояние субъекта. В модели присутствует специализированный субъект — монитор безопасности субъектов (МБС), который контролирует порождение субъектов. Показана необходимость создания и поддержки изолированной программной среды.

Из упомянутых моделей наибольший интерес представляют дискреционные и мандатные механизмы разграничения доступа (как наиболее распространенные), модель гарантированно защищенной системы (в силу гарантированности) и субъектно-объектная модель (рассматривающая не только доступы, но и среду, в которой они совершаются). В [43] предлагаются следующие исходные понятия для моделирования защиты информации.

Сущность, под которой понимается любая составляющая компьютерной системы.

Субъект — активная сущность, которая может инициировать запросы ресурсов и использовать их для выполнения каких-либо вычислительных заданий.

Объект — пассивная сущность, используемая для хранения и получения информации.

Доступ — взаимодействие между объектом и субъектом, в результате которого происходит перенос информации между ними.

Взаимодействие происходит при исполнении субъектами операций.

Существуют две фундаментальные операции:

·        чтение — перенос информации от объекта к субъекту;

·        запись — перенос информации от субъекта к объекту.

Утверждается, что данные операции являются минимально необходимым базисом для описания моделей, описывающих защищенные системы.

Уровень безопасности определяется как иерархический атрибут. Каждая составляющая компонента системы ассоциирована с уровнем безопасности.

Для представления уровней безопасности введено:

·        L — множество уровней безопасности;

·        символы « < », « £ », « > », « ³ » — описывающие иерархические отношения между элементами множества L.

Комментарий. Даже из столь краткого представления моделей очевидным становится, что они базируются на феноменологическом описании процессов и объектов электронной среды. Исходные понятия даются на эвристическом уровне: есть нечто, понимаемое  по умолчанию как электронная информация, или как электронный документ, или как операция, или как процесс в электронной среде и т. д. В формальную модель вводятся полуопределенные, расплывчатые понятия социальной среды: «сущность», «субъект», «объект», «доступ», «право», «полномочие», и т. п. При таком представлении интерпретация моделей и результатов не абсолютна (однозначна), а относительна (многозначна) — допускает широкий диапазон толкований, зависящий от квалификации и подготовки пользователя.

Например, утверждение «2×2 = 4» — абсолютно, не зависит от квалификации воспринимающего субъекта. А теперь рассмотрим понятие «несанкционированный доступ — НСД» с позиций математика, программиста и юриста. Для математика несанкционированный доступ непонятен в принципе: либо путь (доступ) из одной вершины графа в другую существует, либо нет, и никаких санкций для этого не требуется. Для программиста НСД означает существование алгоритма инициализации протокола доступа, отличающегося от приведенного в руководстве или инструкции пользователю. Для юриста НСД означает запуск предусмотренного стандартного протокола доступа лицом, не имеющим на то административных полномочий.

По существу наблюдается та же самая картина, с которой мы столкнулись в разделе 1.1 при анализе понятийной базы законов в сфере электронного взаимодействия. Только в законах применяется бытовой сленг, а при описании моделей — профессиональный жаргон разработчиков инструментальных средств, разбавленный поверхностными знаниями математики. Для простых моделей подобное допустимо, конкретная интерпретация понятий возможна по умолчанию. Но с ростом сложности моделируемого явления адекватность теряется, и правильно истолковать результаты моделирования может только разработчик, зачастую вкладывающий в трактовку понятий свое индивидуальное видение, в корне отличающееся от канонического определения.

Аннотированные модели априорно рассчитаны на применение специалистами с квалификацией, позволяющей им более-менее однозначно трактовать тот сленг, на котором описана модель, понять, что же именно модель уточняет. Преимущество компактности описания достигается за счет узости применения, фактически уточняются свойства и требования к отдельным механизмам защиты информации от несанкционированного доступа (НСД) — основному виду угроз информационной безопасности. До начала моделирования специалист уже представляет конечный результат, его цель — только конкретизация количественного измерения результата. Это эффективно на начальных этапах электронного взаимодействия, когда средства защиты и нападения достаточно очевидны.

С качественным ростом сложности вычислительных систем, появлением все более и более изощренных методов и способов атак, эффективность подобных моделей падает. «Смешивание» в единой модели качественно отличающихся сторон электронного взаимодействия — требований аналоговой, цифровой и социальной среды существования документа, — допустимо только на примитивном уровне описания. Мы приходим к тому же самому положению, что и в приведенном анализе понятийной базы вербальных моделей ЭлД.

Существующие модели защиты информации имеют экстенсивный характер (обо всем понемножку), что в перспективе должно негативно сказаться на эффективности их применения. Необходима специализация моделей, учитывающая качественное различие свойств и требований к электронному документу при его переходе на этапах жизненного цикла из одной среды существования в другую.