автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.06, диссертация на тему:Исследование устойчивости автоматизированных систем охраны предприятий к несанкционированным действиям

кандидата технических наук
Никифоров, Сергей Геннадьевич
город
Санкт-Петербург
год
2001
специальность ВАК РФ
05.13.06
цена
450 рублей
Диссертация по информатике, вычислительной технике и управлению на тему «Исследование устойчивости автоматизированных систем охраны предприятий к несанкционированным действиям»

Оглавление автор диссертации — кандидата технических наук Никифоров, Сергей Геннадьевич

Список использованных сокращений.

Введение.

Глава 1. Постановка задачи.

1.1. Назначение и состав автоматизированной системы охраны.

1.2. Классификация несанкционированных действий.

1.3. Методология оценки устойчивости автоматизированных систем к несанкционированным действиям.

1.4. Постановка задачи.

Глава 2. Моделирование последствий несанкционированных действий.

2.1. Выбор показателей эффективности автоматизированной охранной системы.

2.2. Модель влияния несанкционированных действий на систему физической защиты.

2.3. Математическая модель влияния несанкционированных действий на элементы и подсистемы АСО.

2.4. Методика оценки влияния несанкционированных действий на показатели эффективности АСО.

Выводы по 2-й главе.

Глава 3. Исследование влияния несанкционированных действий на подсистему охранной сигнализации.

3.1. Описание подсистемы охранной сигнализации.

3.2. Исследование влияния несанкционированных действий на подсистему охранной сигнализации.

Выводы по 3-й главе.

Глава 4. Исследование влияния несанкционированных действий на подсистемы АСО.

4.1. Влияние НСД на подсистему управления доступом.

4.2. Влияние НСД на подсистему охранного телевидения.

4.3. Влияние НСД на подсистему сбора и обработки информации.

Выводы по 4-й главе.

Глава 5. Определение требуемой устойчивости автоматизированной системы охраны к несанкционированным действиям.

5.1. Проблема определения требуемой устойчивости АСО к несанкционированным действиям и способы ее решения.

5.2. Методика анализа уязвимости автоматизированной системы охраны и модель нарушителя.

5.3. Рекомендации по повышению устойчивости АСО к несанкционированным действиям.

Введение 2001 год, диссертация по информатике, вычислительной технике и управлению, Никифоров, Сергей Геннадьевич

Диссертационная работа посвящена решению задачи оценки устойчивости автоматизированных систем охраны предприятий к несанкционированным действиям (НСД), являющейся частью сложной проблемы оценки эффективности и выбора оптимальной структуры и состава системы безопасности предприятия.

Актуальность темы. Последнее десятилетие характеризуется массовым внедрением на предприятиях различного профиля автоматизированных систем охраны (АСО), представляющих собой особый класс автоматизированных систем сбора информации и управления. АСО является составной частью системы физической защиты предприятия (СФЗ) и предназначена для обнаружения нарушений безопасности и управления техническими средствами охраны. Практически всегда существует риск угроз со стороны внутреннего нарушителя из числа персонала предприятия, так как нейтрализация охраны дает ему большие шансы на успешную реализацию своих целей. Поэтому автоматизированная система охраны может стать объектом нарушений и возникает задача обеспечения устойчивости АСО к несанкционированным действиям со стороны внутреннего нарушителя. Следствием повышения устойчивости автоматизированной системы охраны к НСД является снижение риска и повышение защищенности предприятия в целом. В силу существующих ограничений экономического характера выбор необходимой устойчивости АСО должен быть обоснован результатами детального анализа уязвимости и стоимости защиты.

Актуальность названной задачи подтверждается, действующими нормативными документами [22, 24, 26, 72 и др.], которые требуют обеспечения устойчивости АСО к НСД со стороны внутреннего нарушителя, но содержат лишь общие рекомендации и типовые наборы требований технического и организационного характера. В качестве базовых в них использованы перечни требований по защите автоматизированных систем и средств вычислительной техники от несанкционированного доступа к информации из руководящих документов (РД) Гостехкомиссии России [27, 28]. Методы определения необходимого уровня устойчивости АСО к НСД в нормативных документах не приводятся. Это обусловлено недостатками существующей научно-методологической базы.

Известные методы анализа уязвимости и выбора экономически-эффективных конфигураций систем физической защиты предприятий, такие как метод систематического анализа ASSESS (Analytic System And Software for Evaluating Safeguards and Security), созданный Ливерморскими и Сандийскими национальными лабораториями США, комбинированный метод, предложенный в Физико-энергетическом институте (г.Обнинск) [16], и другие [10, 48, 69, 81] предназначены для анализа уязвимости предприятия от внешней угрозы и оптимизации выбора технических средств охраны, но эти методы не учитывают особенностей АСО, как автоматизированной системы сбора информации и управления, и не позволяют провести анализ ее уязвимости к угрозам НСД и выбрать меры защиты от них.

С другой стороны, методы теории защиты информации, основанные на системном подходе [19, 84 и др.], позволяют выполнить анализ уязвимости автоматизированных систем произвольного вида, в том числе и систем охраны. Однако, их применение для обоснования необходимого уровня устойчивости АСО к НСД сдерживается отсутствием моделей, описывающих автоматизированную систему охраны как часть системы физической защиты предприятия, моделей последствий воздействия НСД на элементы АСО и методик оценки влияния НСД на показатели эффективности АСО.

Цель работы. Таким образом, целью диссертационной работы является оценка влияния несанкционированных действий на эффективность автоматизированной системы охраны и выявление факторов, определяющих устойчивость ее элементов и подсистем к таким воздействиям, в интересах обоснования необходимого уровня защищенности от НСД и оптимального выбора структуры, состава и алгоритмов функционирования системы физической защиты предприятия.

Задачи исследования: Исходя из указанной цели диссертации, можно сформулировать ее основные задачи:

1. Изучение особенностей автоматизированной системы охраны предприятия и возможных в отношении нее несанкционированных действий.

2. Разработка моделей, позволяющих описать зависимость показателей эффективности автоматизированной системы охраны от воздействия НСД на ее элементы.

3. Разработка методики оценки и оценка влияния последствий НСД различного вида на показатели эффективности подсистем АСО.

4. Разработка методики анализа уязвимости автоматизированной системы охраны от несанкционированных действий.

5. Выработка рекомендаций по повышению устойчивости автоматизированной системы охраны к несанкционированным действиям.

Предмет и методы исследования. Предметом исследования является влияние несанкционированных действий на показатели эффективности автоматизированной системы охраны предприятия и факторы, определяющие ее устойчивость к таким воздействиям.

Исследование выполнено на основе базовых положений теории сложных систем и теории защиты информации с использованием методов структурно-логического анализа и экспертной оценки, а также методов теории вероятностей и теории надежности.

Новые научные результаты, выносимые на защиту. 1. Разработаны агрегативная математическая модель системы физической защиты предприятия, отличающаяся выделением нарушителя в отдельный агрегат, и модель элемента автоматизированной системы охраны в виде дискретного детерминированного автомата, отличающаяся вычисленными характеристиками укрупненных состояний, позволяющие описать последствия несанкционированных действий на различные элементы автоматизированной системы охраны.

2. Разработана методика оценки влияния несанкционированных действий на показатели эффективности автоматизированной системы охраны, основанная на структурно-логическом анализе и отличающаяся использованием автоматной модели элементов системы и релевантности несанкционированных действий для оценки их последствий.

3. Разработана модель нарушителя безопасности автоматизированной системы охраны, использующая для описания нарушителя административные роли, отличающаяся их сопоставлением со сценариями несанкционированных действий, ранжированными по потенциалу нападения, и позволяющая оценивать внутренних нарушителей по степени опасности.

4. Разработана методика анализа уязвимости, основанная на сравнении возможностей защиты и нарушителя, отличающаяся использованием алгоритма анализа потенциала нападения с измененной шкалой и административных ролей для оценки объективных возможностей нарушителя и позволяющая получить количественную оценку уязвимости автоматизированной системы охраны.

5. Предложены рекомендации по повышению устойчивости автоматизированной системы охраны к несанкционированным действиям, основанные на результатах моделирования последствий несанкционированных действий на элементы системы и испытаний различных средств и способов защиты.

Практическая ценность полученных результатов состоит в том, что использование предложенных моделей, методик и рекомендаций позволяет: а) учесть зависимость показателей эффективности автоматизированной системы охраны и уязвимость её элементов от несанкционированных действий разных видов на этапах разработки концепции и проектирования системы для обоснования выбора способов и средств защиты; б) получать текущую оценку уязвимости автоматизированной системы охраны к несанкционированным действиям в процессе её эксплуатации для анализа риска нарушений и планирования действий сил охраны.

Внедрение результатов. Результаты диссертационной работы внедрены в комплексе инженерно-технических средств охраны Главного управления ЦБ РФ по Смоленской области, в интегрированных системах безопасности «ИСТЭК» и «КИПЕР», серийно выпускаемых ЗАО НПП «ИСТА-системс» (С-Петербург), в ГУП СЦПС «Спектр» (С-Петербург) для проведения исследований и ОАО «Трансмашпроект» (С-Петербург) для проведения работ по анализу уязвимости и проектированию систем охраны предприятий. Внедрение подтверждается соответствующими актами.

Апробация работы. Основные результаты диссертационной работы докладывались и обсуждались на международных конференциях «Телевидение: передача и обработка изображений» (С-Петербург, 2000), «Информация, Коммуникация, Общество (ИКО-2000)» (С-Петербург, 2000), «Современные технологии обучения СТО-2001» (С-Петербург, 2001), межвузовских научно-технических конференциях «Стратегия развития системы подготовки офицеров запаса на ФВО (ВМК) при государственных учреждениях высшего профессионального образования» (Таганрог, 2000), "Состояние и проблемы военной радиоэлектроники. Опыт подготовки специалистов" (Петродворец, 2001), "300 лет военно-морскому образованию: проблемы и перспективы развития системы подготовки специалистов для Военно-морского флота в XXI веке." (С-Петербург, 2000), научно-технических конференциях профессорско-преподавательского состава СПбГЭТУ 1997-2001 гг.

Публикации. По результатам диссертационного исследования опубликовано 11 печатных работ, из них 4 статьи, 6 материалов докладов на международных и межвузовских научно-технических конференциях, методические указания для студентов СПбГЭТУ.

10

Структура и объем работы. Диссертационная работа состоит из введения, пяти глав, заключения, пяти приложений и списка литературы, включающего 97 наименований. Работа изложена на 115 страницах машинописного текста, включая 17 рисунков и 10 таблиц.

Заключение диссертация на тему "Исследование устойчивости автоматизированных систем охраны предприятий к несанкционированным действиям"

Выводы по 4-й главе

Исследования влияния несанкционированных действий на подсистемы автоматизированной системы охраны проведено с помощью методики, описанной во 2-й главе, исследование НСД 1-го вида проведено методами теории надежности. Описание условий работоспособности подсистем АСО выполнялось с помощью моделей и методик, приведенных в [42, 45]. Влияние НСД 4-го вида на аппаратную часть и программное обеспечение подсистемы сбора и обработки информации исследовалось методами структурно-логического анализа [19, 49, 89].

В результате исследования установлено: 1. Релевантность НСД 1-го вида на показатели эффективности подсистем АСО зависит от места воздействия НСД и принятой схемы резервирования. Для охранных подсистем степень влияния НСД этого вида тем сильнее, чем больше первичной информации концентрируется в пораженном элементе. Наибольшей релевантностью обладают НСД в отношении критических элементов, отказ которых приводит к отказу подсистемы в целом. Такие элементы есть во всех подсистемах, в первую очередь, к ним относятся локальные УУ. Влияние НСД 2-го и 3-го видов не превосходит релевантности НСД 1-го вида на те же элементы.

2. Релевантность НСД 4-го вида не превышает релевантности НСД 1-го вида. Особую опасность представляют скрытые НСД 4-го вида, последствиями которых может быть пропуск нарушения

3. НСД 5-го вида непосредственно не влияют на показатели эффективности подсистем АСО, но могут нарушить тактику охраны и способствовать нарушителю в реализации его целей.

4. Последствия несанкционированных действий любого вида проявляются не только в той подсистеме АСО, на которую приходится воздействие, но распространяются и на другие элементы системы физической защиты предприятия. Характер влияния зависит от назначения подсистемы, ее связей с другими подсистемами АСО и элементами СФЗ. В большинстве случаев влияние НСД состоит в увеличении нагрузки на эргатические элементы СФЗ и нарушении установленных политик безопасности.

5. Исследование последствий НСД 4-го вида основано на рассмотрении состояний элементов и переходных процессов в них. Количество рассматриваемых случаев пропорционально квадрату числа состояний, поэтому методика оценки с использованием таблиц несанкционированных и блокированных переходов удобна для элементов, число состояний которых не превышает одного-двух десятков. При большем числе состояний составление таких таблиц требует значительных трудозатрат, для снижения которых целесообразно использовать декомпозицию сложного устройства на функциональные узлы с исключением однотипных состояний.

Глава 5. Определение требуемой устойчивости автоматизированной системы охраны к несанкционированным действиям

5.1. Проблема определения требуемой устойчивости АСО к несанкционированным действиям и способы ее решения.

Исследование влияния несанкционированных действий производилось путем моделирования наиболее неблагоприятных для автоматизированной системы охраны ситуаций в предположении, что несанкционированные действия, порождающие эти ситуации, состоялись и были успешны. Данный подход позволил установить характер и пределы влияния НСД на подсистемы АСО. Однако, его использование для определения необходимого уровня устойчивости АСО к НСД отражает точку зрения "крайнего пессимизма" и является неэффективным. В реальных условиях вероятность проявления и успешной реализации несанкционированных действий определяется совокупностью многих, в том числе случайных, факторов и для некоторых видов НСД может быть близка к нулю. Поэтому затраты на защиту от таких НСД могут оказаться неоправданными.

Целесообразность внедрения любой системы безопасности, в том числе и автоматизированной системы охраны, подчиняется законам "уменьшения отдачи" и "оптимальной эффективности", описанным в работах [11, 43, 46]. Для систем охраны примеры проявления указанных законов приведены в книге [34]. Суть закона "уменьшения отдачи" состоит в том, что предельная эффективность затрат на безопасность падает по мере роста этих затрат. Закон "оптимальной эффективности" гласит, что при увеличении затрат на безопасность положительный эффект от их применения вначале растет до определенного предела, а затем начинает снижаться. Это показано на Рис.5.1.

Риск (R),

Стоимость защиты (С), Суммарные потери (R+C)

Приведенные зависимости носят абстрактный характер. Получение оценок риска и затрат на защиту для конкретных предприятий и систем охраны представляет собой серьезную проблему. Суть ее в том, что кривые риска, затрат на защиту и суммарных потерь могут быть построены только после значительного объема работ по анализу риска и оптимизации системы физической защиты объекта. Различные аспекты указанной проблемы затронуты в работах [2, 10, 69]. Оптимизация системы физической защиты предприятия предполагает выбор из нескольких вариантов распределения средств между компонентами системы такого варианта, при котором достигает экстремума выбранный критерий эффективности СФЗ. Например, максимизируется предотвращенный риск при ограничении выделенных средств согласно критерию эффективности, предложенному в работе [51]:

А } = arg max P(V ) (5 n

1 S0^Si где HSj - сумма финансовых ресурсов, израсходованных на реализацию всех элементов системы физической защиты;

S0 - выделенные финансовые ресурсы;

Aj} - множество параметров элементов системы физической защиты;

P(V) - вероятность пресечения действий нарушителей.

Минимизация затрат на защиту в пределах допустимого риска может являться альтернативным критерием эффективности СФЗ.

Оптимизация СФЗ предполагает разработку и сравнительную оценку нескольких вариантов ее состава и структуры. Однако получение даже одного варианта распределения средств между элементами СФЗ сопряжено со значительными трудозатратами, так как для крупных предприятий число элементов системы физической защиты исчисляется тысячами, а номенклатура элементов - десятками типов.

Проблема оптимального синтеза систем физической защиты и методы ее решения активно обсуждаются в печати [10, 37, 48, 51 и др.]. Предлагаемые методы решения, как правило, состоят из следующих этапов: создание проекта СФЗ; оценка уязвимости; коррекция проекта путем изменения состава и структуры СФЗ для снижения риска; оценка уязвимости модифицированного варианта проекта. Последние два этапа могут повторяться итерационно до достижения приемлемого риска в пределах максимально допустимых затрат. Методы синтеза СФЗ различаются критериями выбора элементов и способами распределения средств между ними, но сходны в том что, в качестве исходных данных и результата оптимизации используют проект СФЗ и сценарии возможных нарушений. Проект СФЗ рассматривается как множество охранных элементов, каждый из которых характеризуется параметрами эффективности и стоимости. Сценарии нарушения - это последовательности действий нарушителей, характеризующиеся набором параметров (целью, тактикой действия, маршрутом и временем его прохождения). Анализ уязвимости СФЗ предприятия состоит в аналитической, имитационной или иной проверке реализуемости сценариев предполагаемых нарушений.

Результаты исследований, приведенные в предыдущих главах диссертации, показывают, что НСД в отношении элементов АСО должны учитываться как подмножество множества угроз безопасности предприятия, а средства защиты от них должны являться подмножеством элементов СФЗ. Поэтому определение требуемого уровня устойчивости к НСД и выбор средств защиты от них должны быть составной частью общей процедуры построения системы физической защиты предприятия.

Изучение доступной информации показало, что хотя угрозы несанкционированных действий в отношении элементов АСО постулируются как возможные нарушения, но на практике при разработке таких систем их устойчивость к НСД не оптимизируется, а задается по требованиям нормативных документов, либо выбирается экспертным путем. Это обусловлено тем, что существующие методы анализа уязвимости систем физической защиты ориентированы на анализ их охранных свойств и учитывают только охранные элементы АСО - извещатели, видеокамеры и т.п. Учитываемые угрозы несанкционированных действий сводятся к выводу из строя отдельных охранных элементов. Остальные элементы, характеризующие АСО как автоматизированную систему сбора, обработки информации и управления, в этих методах отдельно не рассматриваются и, как правило, учитываются интегрально в стоимости охранных элементов и систем. Угрозы несанкционированных действий в отношении этих элементов АСО не рассматриваются. Кроме того, учет угроз НСД в отношении элементов АСО приводит еще большему усложнению оптимизации СФЗ за счет увеличения числа элементов и их типов. Поэтому для оптимизации СФЗ с учетом возможных несанкционированных действий в отношении АСО методы анализа уязвимости СФЗ должны быть дополнены методами анализа уязвимости АСО к таким угрозам и методами оценки их риска, а процедура синтеза состава и структуры СФЗ дополнена методами синтеза защищенной от НСД автоматизированной системы охраны.

Для этого были изучены различные методы оценки защищенности и синтеза защиты информационных систем. Их методология описана в параграфе 1.3 диссертации. Сравнительный анализ показал, что они близки к методам, используемым при синтезе СФЗ, и представляют собой итерационное повторение следующей последовательности действий:

1) анализ уязвимости системы и оценка риска;

2) определение целей и требований защиты;

3) выбор средств защиты и структуры системы защиты;

4) оценка остаточного риска и расчет затрат.

Эта процедура используется как при разработке новой защищенной от НСД автоматизированной системы, так и при создании защиты для существующей системы.

Анализ уязвимости информационной системы состоит в выявлении угроз и сценариев их реализации, а также уязвимых мест и особенностей системы, на использовании которых основаны сценарии реализации угроз.

Выявление угроз несанкционированных действий является трудно формализуемым процессом и производится систематическим поиском структурно-логическими и экспертными методами. Найденные угрозы и уязвимости идентифицируются и классифицируются по причинам появления и условиям реализации. Главное требование состоит в полноте выявления угроз, ибо даже одна пропущенная угроза может свести на "нет" усилия защиты. В работе [19] Герасименко В.А. показал, что способа выявления доказано полного множества угроз для конкретной информационной системы не найдено и указанными выше методами создается относительно полное множество угроз, необходимое для этапа анализа и оценки риска. Одновременно с поиском угроз, производится разработка сценариев их реализации. Для каждого сценария оцениваются необходимые время доступа к системе и ее исходные состояния, оснащение и квалификация нарушителя, последствия реализации. Результаты этапа анализа уязвимости необходимы для оценки риска и выбора средств защиты.

В соответствии с методологией оценки риска, риск угрозы - это величина возможных потерь в результате ее реализации. Риск угрозы есть произведение вероятности ее проявления на ущерб от нее. Поэтому для каждой угрозы из множества выявленных угроз должны быть определены вероятность проявления и потенциальный ущерб. Для расчета вероятности угрозы и ущерб от нее применяют статистические (актуарные) и андеррайтерские (экспертные) методы. Статистические методы основаны на использовании имеющейся статистики угроз. Андеррайтерские методы (от англ. under write - согласно записи) состоят в том, что эксперт изучает все особенности системы, среды ее окружения и известные аналоги и получает оценку риска на основе полученных данных и собственного опыта. В основе большинства известных методов оценки риска лежит метод расчета риска, описанный в работе [49] и состоящий из следующих этапов: a) определение вероятности проявления и потенциального ущерба для каждой найденной угрозы; b) расчет риска по каждой угрозе, ранжирование угроз по риску, расчет общего риска для системы.

Риск угрозы /•/ рассчитывается как произведение вероятности ее проявления pi на потенциальный ущерб от ее реализации щ:

Г. = Uipi (5.2) Суммарный риск Rsдля системы определяется на множестве угроз А : А

R1 =2>, (5.3) i-1

По результатам расчетов принимается решение о допустимости риска. Если риск оценивается как неприемлемый, принимается решение о повышении защищенности системы до приемлемого уровня риска.

Суммарный риск и ранжированное по риску множество угроз составляют материалы среды безопасности и позволяют выбрать цели и требования защиты. Цель защиты - это намерение противостоять некоторому множеству угроз или поддерживать определенную организационную политику безопасности. Требование безопасности - это предписание использовать определенные способы, средства и меры защиты [65].

Выбор требований безопасности от НСД производится в последовательности, рекомендуемой стандартом [91]:

1) Определение целей защиты по материалам среды безопасности.

2) Выбор угроз, для нейтрализации в соответствии с целями защиты;

3) Выбор требований безопасности для противодействия угрозам, подлежащим нейтрализации.

Эта процедура соответствует руководящим документам (РД) Государственной технической комиссии РФ и сложившейся российской практике. Согласно [31, 32] по описанию объекта должно быть сделано заключение о том, что он соответствует некоторому классу или категории безопасности, установленному [30 и др.]. В случае несоответствия формулируются задачи защиты путем указания класса защищенности или списка требований защиты [29]. Угрозы безопасности постулируются в соответствии с нормативными документами, которые также директивно предписывают список требований защиты и, в некоторых случаях, средства защиты. На данный момент опубликованы и действуют несколько государственных стандартов, регламентирующих требования к отдельным подсистемам АСО [22, 24, 26], а также ряд ведомственных руководящих документов [70, 72 и др.]. В перечисленных документах содержатся разделы и отдельные пункты по устойчивости к НСД, которые либо предписывают конкретные требования защиты, либо отсылают к общим РД Гостехкомиссии РФ. После задания требований безопасности выбираются средства, которыми будут реализовываться эти требования, и рассчитывается стоимость защиты.

Эффективность защиты оценивается по суммарным затратам на нее и по остаточному риску. Критериями оптимальности варианта защиты являются минимальная стоимость при приемлемом уровне риска. Если стоимость защиты для приемлемого риска слишком велика, то ее уменьшают исключением отдельных компонент защиты, соответственно сокращая список нейтрализуемых угроз. Если без превышения лимита затрат на защиту не удается обеспечить допустимый риск, то увеличивают либо допустимый риск или затраты на защиту. В противном случае задача обеспечения устойчивости АСО от НСД не решается.

Таким образом, угрозы несанкционированных действий в отношении АСО должны рассматриваться как часть множества угроз СФЗ. Уровень устойчивости АСО к НСД должен определяется по результатам анализа ее уязвимости, оценки риска и выражаться в виде перечней угроз, подлежащих нейтрализации, и требований защиты, на основании которых должен производиться выбор средств защиты от НСД. Оптимизация СФЗ должна производится с учетом защиты АСО от НСД по критерию минимума суммарных затрат при ограничении приемлемого риска.

5.2. Методика анализа уязвимости автоматизированной системы охраны и модель нарушителя

Анализ уязвимости автоматизированной системы охраны есть обязательная часть анализа уязвимости системы физической защиты предприятия и согласно описанной выше методологии состоит в выявлении, идентификации и классификации угроз, нахождении сценариев реализации и оценке вероятности совершения.

Большинство известных методов анализа уязвимости [5, 14 и др.] основано на сравнении обобщенных характеристик защищаемой системы и возможностей нарушителя. В качестве характеристики защищенности системы выступает термин «категория», обозначающий набор требований, условий и мер защиты. В качестве обобщенной характеристики нарушителя употребляется термин «потенциал нападения», как показатель возможностей нападающего по отношению к системе и среде ее окружения. Категория системы и потенциал нападения устанавливаются по балльной шкале.

Для анализа уязвимости автоматизированной системы охраны к несанкционированным действиям был выбран метод SOF-анализа (от англ. Strength of function - сила функции), описанный в работах [62, 89] и модифицированный в соответствии с целями исследования. На основе модифицированного варианта метода была создана методика анализа уязвимости АСО, состоящая из четырех этапов:

1-й этап - поиск уязвимостей системы и описание возможных сценариев нападения для каждой из них. Сценарий должен включать описание исходных состояний ПОБ, последовательности действий нарушителя, требующиеся нарушителю квалификация, время и оснащение.

Выявление угроз НСД проводилось методом структурного систематического поиска на основе информационных моделей, описанных в предыдущих главах диссертации. Для идентификации угроз использовались правила идентификации согласно Приложению 3. Классификация угроз проводилась по признакам, приведенным в параграфе 1.2.

По предварительной оценке число угроз несанкционированных действий автоматизированной системе охраны предприятия может достигать нескольких тысяч и более. Поэтому из-за большой трудоемкости в рамках диссертационного исследования было выполнено частичное выявление угроз НСД для отдельных элементов и подсистем АСО. Отдельные результаты показаны в Приложении 4 на примере угроз конфиденциальности извещателя подсистемы охранной сигнализации и угроз бюро пропусков подсистемы управления доступом.

Практика показала, что особую трудность представляет выявление угроз и сценариев их реализации для сложных программных и аппаратно-программных систем, входящих в состав АСО в качестве готовых изделий -прикладного программного обеспечения, локальных устройств управления, элементов цифрового охранного телевидения и т.д. По таким элементам и системам, как правило, отсутствует полная информация, необходимая для построения адекватной модели, либо ее объем столь велик, что требует длительного времени обработки. Угрозы и их сценарии в таких случаях генерировались на основе доступных списков угроз схожих изделий.

2-й этап - Расчет потенциалов нападения по алгоритму на Рис. 5.2. По методу SOF-анализа сценарий нападения разделяют на две фазы: 1-я фаза -идентификация уязвимости; 2-я фаза - ее использование. Для каждой фазы учитывают факторы необходимого времени, технической квалификации, оснащения, знания особенностей ПОБ и времени доступа к нему. Оценки перечисленных факторов, выраженные в баллах, выбираются из Таблицы 5.1.

Установлено, что факторы времени доступа и оснащения для угроз НСД в отношении АСО более значимы, нежели остальные. Кроме того, временные шкалы, используемые в базовом варианте метода SOF-анализа, дают большую погрешность при оценке сценариев несанкционированных действий в отношении АСО. Поэтому применительно к автоматизированной системе охраны дискретность временных шкал была изменена. Изменения сделаны на основе экспертных оценок. Базовая шкала фактора оснащения основана на доступности оборудования, но для внутреннего нарушителя, действующего в условиях режима, важны и другие параметры - размеры оборудования, энергопотребление, шумность и т.п. Эти параметры должны быть учтены при формировании новой шкалы для этого фактора угрозы.

Результаты анализа уязвимости элементов подсистемы охранного телевидения, проведенные методом SOF-анализа и выраженные в баллах SOF-потенциала, показаны в Приложении 5.

3-й этап - Построение модели нарушителя. Выделение административных ролей, получение и детализация их описаний.

Оценки уязвимости, выраженной через SOF-потенциал, недостаточно для оценки риска АСО. Должны быть учтены и объективные возможности нарушителя, которые обычно описываются в виде модели нарушителя.

Множество угроз АСО {У;} Множество сценариев угроз {Су}

Рис 5.2. Алгоритм анализа потенциала нападения (SOF-анализа)

Фактор Диапазон Комментарий Идентификация Реализация затраченное менее 5 мин Суммарное время, 0 0 время менее 0.5 часа затраченное на фазу 1 1 менее 1 дня сценария угрозы 2 3 менее 1 месяца 3 5 более 1 месяца 5 8

Вне практики 7 12

Квалифи- Обыватель не имеет специальной 0 0 кация квалификации

Специалист хорошо знаком с АСО 2 2

Эксперт в совершенстве знает устройство АСО и аналогичных систем 5 4

Знание ПОБ нет никакой информации, кроме универсальной 0 0 общие информация из руководств пользователя 2 2 специальное закрытая информация, например знание проекта АСО и паролей 5 4

Доступ к менее 5 мин Суммарное время 0 0

ПОБ менее 0.5 часа непосредственного доступа 1 2 менее 1 дня к ПОБ в фазе сценария 2 4 менее 1 месяца угрозы, 3 7 более 1 месяца 4 10

Вне практики 5 14

Оснащение нет 0 0 общедоступное Легко доступное, может быть частью ПОБ 1 2

Специализированное может быть приобретено без большого усилия 3 4 уникальное трудно доступное, сложное или очень дорогое 5 6

Модель нарушителя - это описание потенциального нарушителя безопасности системы, в том числе его возможностей по доступу к ресурсам системы, оснащения и тактики действий. Построение адекватной модели нарушителя является нетривиальной задачей и рассматривается во многих источниках [27, 37 и др.]. Степень детализации и формализации модели определяется конечной целью ее разработки.

При разработке модель нарушителя безопасности автоматизированной системе охраны были приняты следующие допущения: а) АСО построена правильно, и скрытное проникновение на объект посторонних лиц, т.е. обход охраны, исключено. б) Воздействие на АСО может быть как конечной, так и промежуточной целью нарушения. Целью нарушения может быть: 1) вывод из строя элементов; 2) несанкционированное изменение режима работы элементов или подсистем АСО; 3) получение информации о режиме охраны объекта, технических средствах и персонале охраны, а также данных из архивов. в) Способы реализации целей нарушителя - НСД 1-5 видов. Достижение целей 1) и 2) требует от нарушителя активного воздействия на систему. Достижение цели 3) (получение информации) - возможно как активным воздействием, так и путем пассивного наблюдения. г) При доступе к устройству нарушитель может воздействовать (вывести из строя; нарушить правильное функционирование; ввести дополнительные элементы, реализующие новые функции) непосредственно на это устройство, на подключенные к нему каналы обмена и через них на смежные устройства, а также получить доступ к информации, хранящейся в устройстве и проходящей через него.

В зависимости от места их нахождения в момент начала нарушения возможные нарушители делятся на внешних и внутренних.

Внешними считаются нарушители, находящиеся за пределами внешнего периметра охраняемой территории объекта и не принадлежащие к персоналу предприятия. С учетом допущения а) внешний нарушитель может действовать скрытно только за пределами внешнего периметра охраняемой зоны предприятия, т.к. при проникновении внутрь его действия ограничиваются обязательной ответной реакцией сил охраны.

Внутренние нарушители действуют с территории предприятия. В качестве внутренних нарушителей могут выступать постоянный персонал объекта и лица, временно находящиеся на объекте (посетители). Внутренние и внешние нарушители могут действовать в сговоре.

Численность персонала и посетителей типового предприятия, как правило, лежит в пределах от нескольких сот до нескольких десятков тысяч человек. Изучение их возможностей показало, что множество персонала и посетителей может быть разбито ряд подмножеств, каждое из которых можно описать своей административной ролью.

Под административной ролью понимается множество доступных территориальных и временных зон, элементов системы физической защиты, разрешенные функции управления ими, необходимая квалификация и доступное оснащение в соответствии с должностными обязанностями.

При создании модели нарушителя вначале производится выделение административных ролей и их общее описание. По предварительной оценке число типовых ролей для предприятия не превышает нескольких десятков.

Например, для подсистемы сбора и обработки информации АСО были выделены следующие административные роли (без привязки к штатной структуре предприятия):

1. пользователи ПСОИ, в том числе:

1.1. администраторы ПСОИ - привилегированные пользователи;

1.2. операторы ПСОИ - рядовые пользователи;

1.3. персонал других подразделений, подключенных информационными шлейфами к ПСОИ (отдела кадров, бюро пропусков и т.п.);

2. пользователи других подсистем АСО, не допущенные к ПСОИ, например, осуществляющие снятие помещений с охраны;

3. персонал вооруженной охраны;

4. персонал группы технического обслуживания;

5. остальной персонал предприятия;

6. посетители;

7. персонал предприятия - изготовителя ПСОИ.

Затем структурно-логическим или иным методом проводится детализация описаний административных ролей по территориальным и временным зонам доступа, разрешенным функциям управления компонентами АСО, должностным обязанностям в штатной структуре охраны объекта, квалификации, доступному оснащению. Полнота таких описаний может быть значительно увеличена при формальном описании действующих организационных политик безопасности, например, согласно методологии, предложенной в статье [44].

4-й этап - Составление для каждой административной роли списков возможных в реализации сценариев угроз. Проводится путем сопоставления возможностей нарушителя согласно детализированного описания административной роли и множества возможных сценариев угроз, полученных на этапе анализа уязвимости АСО. Ранжирование списков сценариев ролей по SOF-потенциалу. Данный этап является завершающим.

Например, при ранжировании административных ролей ПСОИ к наиболее опасным нарушителям были отнесены привилегированные пользователи (роль 1.1). Далее по степени опасности следуют операторы рабочих мест ПСОИ (роли 1.2, 1.3). Персонал предприятия-изготовителя имеет наибольшие технические возможности для нарушений, но время его доступа к АСО ограничено. При условии соблюдения определенных организационных политик безопасности, например, при работе под контролем в ограниченной зоне доступности, риск нарушения со стороны этих категорий лиц мал. Наименее опасны посетители объекта (роль 6).

Методика анализа уязвимости АСО на основе модели нарушителя опубликована в работе [57].

Результаты анализа уязвимости и построения модели нарушителя АСО были использованы для оценки риска НСД. Установлено, что отсутствие достоверной статистики несанкционированных действий в системах физической защиты предприятий не позволяет применить статистические методы для оценки риска таких угроз. Использование андеррайтеровских методов возможно, но ограничено отсутствием методик оценки потенциального ущерба и вероятности угрозы несанкционированных действий на элементы АСО. Поэтому для оценки риска НСД был выбран экспертный метод, в котором ущерб определяется с помощью лексических переменных, а расчет риска проводится по выражениям (5.2) и (5.3). Результаты сравнительного анализа различных методов анализа риска опубликованы в работах [52, 60].

Ущерб оценивался в лексических переменных согласно Таблицы 5.2. по негативному влиянию угрозы, выраженному в ее релевантности на показатели эффективности АСО и последствиях для других компонент СФЗ, Полученная оценка ущерба является приближенной и может быть уточнена на имитационных и аналитических моделях СФЗ.

Заключение

В диссертационной работе была поставлена и решена задача оценки влияния несанкционированных действий на показатели эффективности автоматизированной системы охраны и выявления факторов, определяющих устойчивость ее элементов и подсистем к таким воздействиям, для обоснования требуемого уровня защищенности АСО от НСД и оптимального выбора ее структуры, состава и алгоритмов функционирования.

Таким образом, в диссертационной работе разработаны:

1. Агрегативная математическая модель системы физической защиты предприятия, отличающаяся выделением нарушителя безопасности в отдельный агрегат и позволяющая описать последствия несанкционированных действий на различные компоненты системы. Модель прошла научную апробацию и была опубликована в работе [54].

2. Математическая модель элемента автоматизированной системы охраны в виде дискретного детерминированного автомата, отличающаяся вычисленными характеристиками укрупненных состояний, позволяющая аналитически описать релевантность несанкционированных действий и учесть их влияние на показатели эффективности элементов через изменения характеристик состояний и логики переходов. Модель прошла научную апробацию и была опубликована в работе [59].

3. Методика оценки влияния несанкционированных действий на показатели эффективности автоматизированной системы охраны, основанная на структурно-логическом анализе, отличающаяся использованием релевантности несанкционированных действий для оценки их последствий и позволяющая определить влияние несанкционированных действий различного вида на показатели эффективности подсистем системы охраны.

4. Модель нарушителя, использующая для описания нарушителя административные роли, отличающаяся их сопоставлением со сценариями

115 несанкционированных действий, ранжированными по потенциалу нападения, и позволяющая оценивать внутренних нарушителей по степени опасности. Модель нарушителя опубликована в работе [57].

5. Методика анализа уязвимости, основанная на сравнении возможностей защиты АСО и нарушителя, отличающаяся использованием алгоритма анализа потенциала нападения с измененной шкалой и административных ролей для оценки объективных возможностей нарушителя и позволяющая получить количественную оценку уязвимости автоматизированной системы охраны. Методика опубликована в работе [57].

6. Рекомендации по повышению устойчивости автоматизированной системы охраны предприятия к несанкционированным действиям, основанные на результатах моделирования последствий несанкционированных действий на элементы системы и испытаний различных средств и способов защиты.

Библиография Никифоров, Сергей Геннадьевич, диссертация по теме Автоматизация и управление технологическими процессами и производствами (по отраслям)

1. AAN-100 сетевой контроллер для систем управления доступом и охранной сигнализации/УСистемы безопасности, связи и телекоммуникаций. - 1998 - № 7(19). - с.34-35.

2. Абалмазов Э.И., Кротова М.Э. Декомпозиция и композиция систем безопасности //Системы безопасности, связи и телекоммуникаций. 1995.- № 4. с.28-30

3. Автоматизированный комплекс безопасности//Системы безопасности, связи и телекоммуникаций. 1998. - № 21. - с.20-21

4. Акимов Е.Е., Вишняков С.М. Категорирование и защищенность объектов //Системы безопасности, связи и телекоммуникаций-1999.-№ 26.- с.60-64.

5. Алаухов С.Ф., Оленин Ю.А. К вопросу о категорировании объектов с позиции охранной безопасности //Системы безопасности, связи и телекоммуникаций. 1999. - № 30. - с.26-28.

6. Афанасьев Н.В., Быстров А.Т. Комбинированные объемные извещатели для закрытых помещений //Системы безопасности, связи и телекоммуникаций. 1999. - № 24. - с.36-39.

7. Барсуков B.C., Водолазский В.В. Современные технологии безопасности.- М.: «Нолидж», 2000. 496 с.

8. Барсуков B.C. Защита компьютерных систем от силовых деструктивных воздействий. //Jet Info информационный бюллетень. 2000. - № 2.

9. Ю.Бондарев Н.Д., Пинчук Г.Н. Определение приоритетов работ по совершенствованию систем охраны. //Системы безопасности, связи и телекоммуникаций. 2000. - № 32. - с. 48-51.

10. П.Браун Дэвис Б. Анализ и разработка систем обеспечения техники безопасности (системный подход в технике безопасности) / Пер. с англ. -М.: Машиностроение, 1979. - 360 с.

11. Бусленко Н.П. Моделирование сложных систем. М.: Главная редакция физико-математической литературы изд-ва «Наука», - 1978. - 400 стр.

12. З.Бухарин О. Эффективность физической защиты: уроки специальных программ комиссии по ядерному регулированию США. Обзор.// Ядерный контроль. Журнал ПИР-Центра политических исследований (Россия) -2000. №2 том 6. - с.67-80.

13. Вишняков С.М. Интегрированные системы охраны. Некоторые вопросы разработки технических требований. //Системы безопасности, связи и телекоммуникаций. 1999. - № 29. - с. 20-23.

14. Волхонский В.В., Жежерин А.Р., Нефедов В.Г. Централизованные системы охранной сигнализации: уч. пособ. СПб, СПбГААП, 1995.-123с.

15. Гайкович В.Ю, Першин А. Безопасность электронных банковских систем. М.'.Издательство "Единая Европа", 1993.-363 с.

16. Галатенко В. Информационная безопасность. //Jet Info информационный бюллетень. 1996. - № №1-3.

17. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. -В 2-х кн. Кн.1 М.: Энергоатомиздат, 1994. 354 с.

18. Гибсон Р.Д., Лысый В.М. Интегрированные системы защиты. Современное состояние и тенденции. //Системы безопасности, связи и телекоммуникаций. 1999. - № 29. - с.16-18.

19. ГОСТ 26342-84 Средства охранной, пожарной и охранно-пожарной сигнализации. Типы основные параметры и размеры. М.: Госстандарт. -1984. С изменениями от 01.01.92.

20. ГОСТ Р 50775-95 Системы тревожной сигнализации. Часть 1. Общие требования. Раздел 1. Общие положения. -М.: Госстандарт. 1995.

21. ГОСТ Р 50776-95 Системы тревожной сигнализации. Часть 1. Общие требования. Раздел 4. Руководство по проектированию, монтажу и техническому обслуживанию. -М.: Госстандарт. 1995.

22. ГОСТ Р 51241-99 Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний. -М.: Госстандарт России. 1999.

23. ГОСТ Р 51275-99 Защита информации. Факторы, воздействующие на информацию. Общие положения. М.: Госстандарт России. - 1999.

24. ГОСТ Р 51558-2000 Системы охранные телевизионные. Общие технические требования и методы испытаний. М.: Госстандарт. -2000.

25. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М., 1992.

26. Гостехкомиссия России Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. М., 1999.

27. Гостехкомиссия России. Руководящий документ. Концепция защиты СВТ и АС от несанкционированного доступа к информации. М., 1992.

28. Гостехкомиссия России. Аттестационные испытания АС по требованиям безопасности информации. Типовая методика испытаний объектов информатики по требованиям безопасности информации. М., 1995.

29. Губинский А.И. Надежность и качество функционирования эргатических систем. Л., "Наука", 1982. - 270 с.

30. Дорошенко П.С., Петраков А.В, Савлуков Н.В. Охрана и защита современного предприятия. М.: Энергоатомиздат, 1999. - 568 с.

31. Журин С.И. Оценка опасности утечки информации через сотрудника: анализ массовых методов и стереотипы поведения сотрудников. //Безопасность информационных технологий, 1999, №3. с.78-82.

32. Зб.Зегжда Д.П., Ивашко A.M. Как построить защищенную информационную систему / Под научной редакцией Зегжды П.Д. и Платонова В.В. СПб.: Мир и семья-95, 1997. - 312 с.

33. Измайлов А. Концептуальное проектирование интегрированных систем безопасности.//Безопасность. Достоверность. Информация. 1998. - №3-с.24-27.

34. Комплекс/2000. Комплект рекламных материалов фирмы «Терна». -Москва, 1999.

35. Козьминых С.И., Крахмалев А.К. Вопросы интеграции технических средств безопасности. //Системы безопасности, связи и телекоммуникаций. 2000. - № 31. - с.41-46.

36. Крахмалев А.К. Приемно-контрольные приборы пожарной и охранной сигнализации//Системы безопасности, связи и телекоммуникаций. 1998. - № 22. - с.26-35.

37. Кузовлев В.И., Шкатов П.Н. Математические методы анализа производительности и надежности САПР. М.: Высш. шк, 1990. - 144 с.

38. Кузьмин И.И., Романов С.В. Риск и безопасность с точки зрения системной динамики. М.: ЦНИИатоминформ, 1987. - 28 с.

39. Липаев В.В. Надежность программных средств. М.: Синтег, 1998 -232 с.

40. Люцарев B.C., Ермаков К.В., Рудный Е.Б., Ермаков И.В. Безопасность компьютерных сетей на основе Windows NT М.: Издательский отдел "Русская Редакция" ТОО "Channel Trading Ltd.", 1998. - 304 е.: ил.

41. Методика проектирования систем физической защиты. Курс лекций. Сандийские национальные лаборатории США, 1997. 248 с.

42. Методология оценки уязвимости системы физической защиты ядерных материалов и ядерных установок. Проект 1-й редакции. М., Федеральный надзор России по ядерной и радиационной безопасности, 1999.

43. Мушик Э., Мюллер П. Методы принятия технических решений: Пер. с нем.-Мир, 1990.-208 с.

44. Никитин В.В., Цыцулин А.К. Система охраны периметра: приоритеты и компромиссы. //Безопасность. Достоверность. Информация. 1999. - №2 -с.15-18.

45. Никитин В.В., Цыцулин А.К. Физическая защита объектов от анализа уязвимости к синтезу системы. //Безопасность. Достоверность. Информация. 1999. - № 1 - с. 10-13.

46. Никифоров С.Г. Анализ риска как инструмент оценки экономической эффективности системы безопасности предприятия. Известия СПбГЭТУ, серия "Гуманитарные и социально-экономические науки", выпуск 1, 2001, 76 с. с.57-60.

47. Никифоров С.Г. Безопасность информации. Методические указания для студентов старших курсов. СПб.,СПбГЭТУ, 1998 г. -32 с.

48. Никифоров С.Г. Методика описания несанкционированных воздействий на интегрированную систему охраны объекта при подготовке курса "Технические средства охраны". Современные технологии обучения

49. СТО-2001. Материалы 7-й международной конференции 18 апреля 2001г., Часть 1., СПб, СПбГЭТУ, 256 с. с.96-98.

50. Никифоров С.Г. Оценка риска информационных систем. Информация, Коммуникация, Общество (ИКО): тезисы докладов международной научной конференции, 14-15 ноября 2000 г., СПб, СПбГЭТУ, 211 с. -с.113-114.

51. Никифоров С.Г. "Скорпион" защищает сеть.// Сети и системы связи.- №4 -1996.-с. 126-128.

52. Николаев Ю.И. Проектирование защищенных информационных технологий. Часть первая. Введение в проблему проектирования распределенных вычислительных систем. СПб.: СПбГТУ, 1997. - 312 с.

53. Новый успех российских технологий безопасности. //Системы безопасности, связи и телекоммуникаций. 1998. - № 7(19), с.14-17.

54. Общие критерии оценки безопасности информационных технологий. ССЕВ 96/012А Часть 2: Приложения. Перевод и редактирование ИТК НАН Беларуси, июнь 1997 г. -243 с. - с.227-238.

55. Охранная система Vista 501. Инструкция по установке. М.: МЗЭПОхрана, 1996. - 70 с.

56. Петровский Н.П., Пинчук Г.Н. Периметровые технические средства обнаружения нарушителей: особенности выбора. //Системы безопасности, связи и телекоммуникаций. 2000. - № 33. - с.50-55

57. Петровский Н.П., Пинчук Г.Н. Оценка функциональных показателей технических средств обнаружения систем охраны. //Системы безопасности, связи и телекоммуникаций. 2000. - № 34. - с.52-56.

58. Пинчук Г.Н. Анализ уязвимости ключ к построению эффективной системы охраны объекта/УСистемы безопасности, связи и телекоммуникаций. - 1999. - № 30. - с.92-94

59. Пособие к руководящему документу "Системы и комплексы охранной, пожарной и охранно-пожарной сигнализации. Правила производства и приемки работ. РД 78.145-93 МВД России". Часть 1. М. МВД РФ. Главное управление вневедомственной охраны. 1993.- 79 с.

60. РД 78.143-92 МВД России. Системы и комплексы охранной сигнализации. Элементы технической укрепленности объектов. Нормы проектирования. М.: НИЦ "Охрана", 1992. 34 с.

61. РД 78.147-93 МВД России. Единые требования по технической укрепленности и оборудованию сигнализацией охраняемых объектов. М.: НИЦ "Охрана", 1993. 38 с.

62. Руководство по информационной безопасности предприятия. Перевод «Site Security Handbook, RFC 1244». //Jet Info информационный бюллетень. 1997. - № 11.

63. Сергеев B.K. Контрольные панели охранно-пожарной сигнализации //Системы безопасности, связи и телекоммуникаций-1998.-№ 22.-е.36-41.

64. Симонов С. Анализ рисков, управление рисками. //Jet Info информационный бюллетень. 1999. - № 1. www.jetinfo.com.

65. Симонов С. Аудит безопасности информационных систем. //Jet Info информационный бюллетень. 1999. - № 9. www.jetinfo.com.

66. Система контроля и ограничения доступа для особо важных объектов -"Системы безопасности, связи и телекоммуникаций", 1997, №1, с.52-53.

67. Советов Б.Я., Яковлев С.А. Моделирование систем: Учебник для вузов по спец. «Автоматизированные системы управления». М.: Высшая школа, 1985.-271 с.

68. Топольский Н.Г., Членов А.Н. Системы охранно-пожарной сигнализации в интегрированных автоматизированных системах безопасности объектов. //Системы безопасности, связи и телекоммуникаций.-1998.-№ 21, с. 103105.

69. Цветков А.Г. Принципы количественной оценки эффективности радиоэлектронных средств. М.: «Советское радио», 1971.-201 с.

70. Членов А.Н. Оценка влияния качественного уровня системы сигнализации на безопасность объекта. //Системы безопасности, связи и телекоммуникаций. 2000. - № 35. - с.52-54.

71. Automated Information Systems Security Policy Manual, NIST, CIS HB 140014.

72. Cherry, Don T. Total Facility Control. -Butterworths Publishers, Stoneham, USA, TH9705.C46, 1986.- 406 c.

73. Common Criteria for Information Technology Security Evaluation. Part 1: Introduction and general model. August 1999. Version 2.1 CCIMB-99-031

74. Common Criteria for Information Technology Security Evaluation Part 2 : Security functional requirements Version 2.0 May 1998 CCIB-98-027

75. Common Criteria for Information Technology Security Evaluation Part 2 : Annexes Version 2.0 May 1998 CCIB-98-027A

76. Common Criteria for Information Technology Security Evaluation Part 3 : Security assurance requirements Version 2.0 May 1998 CCIB-98-028125

77. Common Evaluation Methodology for Information Technology Security. Part 1: Introduction and general model. Version 0.6 97/01/11 CEM-97/017

78. Common Methodology for Information Technology Security Evaluation Part 2: Evaluation Methodology. Version 1.0 August 1999 CEM-99/045.

79. Controlled Access Protection Profile Version I.e. ISSO. NSA. 1999.

80. Evaluation Criteria for IT Security. Part 1: Introduction and general model. -ISO/IEC 15408-1: 1999.

81. Federal Criteria for Information Technology Security Volume I Protection Profile Development Version 1.0, NIST&NSA, 1992.

82. Guide to BS 7799 auditing. DISC PD 3004, 1998.

83. IT Baseline Protection Manual 1998. Bundesamt fur Sicherheit in der Informationstechnik.

84. Labeled Security Protection Profile Version 1 .a. ISSO. NSA. 1999.

85. The Interpreted Trusted Computer System Evaluation Criteria Requirements. National Computer Security Center. NCSC-TG-001-95, January 1995.

86. X/Open Baseline Security Services Specification (XBSS). C529 X/Open company, 1996.