Аппаратные и программные средства защиты информации

ФЕДЕРАЛЬНАЯ СЛУЖБА ИСПОЛНЕНИЯ НАКАЗАНИЙ

ФЕДЕРАЛЬНОЕ КАЗЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ 

ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

ВОРОНЕЖСКИЙ ИНСТИТУТ ФСИН РОССИИ

Кафедра информационной безопасности телекоммуникационных систем

АППАРАТНЫЕ И ПРОГРАММНЫЕ СРЕДСТВА

ЗАЩИТЫ ИНФОРМАЦИИ

Учебное пособие

Воронеж

2016

УДК 004.056
ББК 32.973

А76

Утверждено методическим советом Воронежского института ФСИН России 15 сен
тября 2015 г., протокол № 1

Р е ц е н з е н т ы:

декан факультета прикладной математики, информатики и механики 

Воронежского государственного университета д-р техн. наук, профессор Шашкин А.И.;

начальник кафедры информационной безопасности 

Воронежского института МВД России канд. техн. наук, доцент Бабкин А.Н.

Аппаратные и программные средства защиты информации : учебное посо
бие / [А. В. Душкин, А.С. Кольцов, А.С. Кравченко, О.В Ланкин и др.] ; Воронежский
институт ФСИН России – Воронеж : Издательско-полиграфический центр «Научная 
книга», 2016. – 232 с.

ISBN 978-5-4446-0746-6

В учебном пособии изложены теоретические основы создания и практического 

применения аппаратных и программных средств защиты информации. Издание состоит из разделов, в которых достаточно подробно рассматриваются следующие вопросы: основные принципы создания аппаратных и программных средств обеспечения 
информационной безопасности; основные методы и средства реализации отдельных 
функциональных требований по защите информации и данных; аппаратные и программные средства защиты программ; аппаратные и программные средства защиты от 
несанкционированного доступа к информации, хранимой в ЭВМ; аппаратные и программные средства защиты информации в сетях передачи данных; сертификация аппаратных и программных средств обеспечения информационной безопасности.

В книге большое внимание уделено нормативно-правовой базе в области со
здания, применения и сертификации аппаратных и программных средств защиты информации, а также достаточно подробно описана технология сертификации аппаратных и программных средств на соответствие требованиям информационной безопасности.

Предназначено для студентов, курсантов, слушателей, аспирантов, адъюнктов,

преподавателей, научных и практических работников, занимающихся вопросами информационной безопасности.

УДК 004.056
ББК 32.973

Издано в авторской редакции

ISBN 978-5-4446-0746-6

 ФКОУ ВПО Воронежский 
институт ФСИН России, 2016
 Душкин А. В., Кольцов А.С., 
Кравченко А.С., Ланкин О.В, 
Сахаров С.Л., Сумин В.И., 2016
 Издательско-полиграфический 
центр «Научная книга», 2016

СОДЕРЖАНИЕ

Список сокращений……………………………………………………..…...
6

Введение……………………………………………………………..….....
8

1. ПРИНЦИПЫ СОЗДАНИЯ АППАРАТНЫХ И ПРОГРАММНЫХ 
СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ…………………………….........
11

1.1. Основные понятия и определения в области создания АПСЗИ…..…
11

1.2. Нормативно-правовая база создания АПСЗИ…………………..…..
14

1.3. Классификация АПСЗИ………………………………………..…….
16

1.4. Функциональные возможности АПСЗИ……………………..……...
20

1.5. Основные этапы проектирования АПСЗИ…………………..……...
25

1.6. Анализ угроз информационной безопасности………………..…….
28

1.7. Анализ сетевых угроз информационной безопасности……..……..
34

1.8. Принципы разработки АПСЗИ………………………………..……..
39

1.9. Концепция диспетчера доступа………………………………..….....
41

Вопросы и задания для самопроверки………………………………..…….
45

2. ОСНОВНЫЕ МЕТОДЫ И СРЕДСТВА РЕАЛИЗАЦИИ 
ОТДЕЛЬНЫХ ФУНКЦИОНАЛЬНЫХ ТРЕБОВАНИЙ ПО ЗАЩИТЕ 
ИНФОРМАЦИИ И ДАННЫХ………………………....................................
46

2.1. Классификация функциональных требований по защите 
информации и данных………………………………………………….....
46

2.2. Принципы действия и технологические особенности АПСЗИ, 
реализующих отдельные функциональные требования по защите 
информации ……………………………………………………………....
49

2.3. Характеристика методов и средства привязки программного 
обеспечения к аппаратному окружению и физическим носителям…....
52

2.4. Методы обеспечения идентификации и аутентификации……..…..
54

2.5. Методы криптографической защиты……………………………..……
65

2.6. Методы и средства хранения ключевой информации…………...…
72

2.7. Методы обеспечения доступа к системе защиты и управления 
безопасностью………………………………………………………..……
75

2.8. Методы аудита безопасности………………………………..………
77

2.9. Методы и средства ограничения доступа к компонентам 
вычислительных систем…………………………………………………..
80

2.10. Методы обеспечения целостности системы защиты………...……
84

Вопросы и задания для самопроверки……………………………………...
89

3. СРЕДСТВА ЗАЩИТЫ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ…….….
90

3.1. Классификация аппаратных компонентов средств защиты 
программ……………………………………………………………….......
90

3.2. Классификация программных компонентов средств защиты 
программ……………………………………………………………….......
92

3.3. Основные принципы обеспечения безопасности программ………
93

3.4. Понятие изолированной программной среды……………………...
95

3.5. Структура программного обеспечения…………………………......
100

3.6. Способы интеграции средств защиты в программное 
обеспечение………………………………………………………………..
102

3.7. Способы изучения кода программ…………………………………..
104

3.8. Способы защиты программ от изучения кода……………………...
106

3.9. Способы определения факта незаконного использования 
программ……………………………………………………………….......
108

3.10. Способы защиты программ от незаконного использования……..
111

Вопросы и задания для самопроверки……………………………………...
115

4. СРЕДСТВА ЗАЩИТЫ ОТ НЕСАНКЦИОНИРОВАННОГО 
ДОСТУПА К ИНФОРМАЦИИ, ХРАНИМОЙ В ПЭВМ………………
116

4.1. Классификация средств защиты от несанкционированного 
доступа к информации, хранимой в ПЭВМ……………………………..
116

4.2. Характеристики средств защиты от несанкционированного
доступа к информации, хранимой в ПЭВМ……………………………..
116

4.3. Общие принципы разграничения доступа пользователей
к устройствам ПЭВМ…………………………………………………......
127

4.4. Основные принципы криптографической защиты информации….
130

4.5. Механизмы контроля аппаратной конфигурации ПЭВМ…………
130

4.6. Понятие электронного замка………………………………………...
132

4.7. Принципы построения и функционирования электронных 
замков………………………………………………………………………
135

Вопросы и задания для самопроверки……………………………………...
136

5. АППАРАТНЫЕ И ПРОГРАММНЫЕ СРЕДСТВА ЗАЩИТЫ 
ИНФОРМАЦИИ В СЕТЯХ ПЕРЕДАЧИ ДАННЫХ…………………...
137

5.1. Классификация аппаратных и программных средств защиты 
информации в сетях передачи данных…………………………………..
137

5.2. Принципы построения и функционирования межсетевых 
экранов в сетях передачи данных………………………………………..
139

5.3. Аппаратные и программные средства межсетевого 
экранирования……………………………………………………………..
142

5.4. Основные принципы защиты информации при передаче 
по каналам связи…………………………………………………………..
145

5.5. Аппаратные и программные средства защиты информации
при передаче по каналам связи………………………………………......
146

5.6. Основные принципы разграничения доступа к сетевым 
ресурсам……………………………………………………………………
149

5.7. Основные принципы управления безопасностью сети……….........
150

5.8. Аппаратные и программные средства управления безопасностью 
сети…………………………………………………………………………
155

5.9 Основные принципы обнаружения сетевых атак…………………...
156

5.10. Аппаратные и программные средства обнаружения сетевых 
атак…………………………………………………………………………
160

5.11. Основные принципы защиты от сетевых атак…………………….
161

5.12. Аппаратные и программные средства защиты от сетевых 
атак…………………………………………………………………………. 163
5.13. Обзор штатных средств сетевого оборудования, 
предназначенных для защиты информации при передаче 
по каналам связи…………………………………………………………..
168

5.14. Способы применения штатных средств сетевого 
оборудования, предназначенных для защиты информации 
при передаче по каналам связи…………………………………………...
170

Вопросы и задания для самопроверки……………………………………… 171
6. СЕРТИФИКАЦИЯ АППАРАТНЫХ И ПРОГРАММНЫХ 
СРЕДСТВ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ…………………………………………………………
172

6.1. Основные требования к информационной безопасности………….
173

6.2. Классификация требований к программной и 
программно-аппаратной реализации средств обеспечения информационной безопасности…………………………………………………….
175

6.3. Задачи сертификации аппаратных и программных средств 
на соответствие требованиям информационной безопасности…….......
182

6.4. Технология сертификации аппаратных и программных средств 
на соответствие требованиям информационной безопасности…….......
184

6.5. Проверка ОИ на базе вычислительной техники 
на соответствие требованиям по защите информации от НСД………...
186

Вопросы и задания для самопроверки……………………………………… 219
Заключение………………………………………………………………...
220

Использованная литература…………………………………………………
221

Приложение. Руководящие документы в области сертификации 
аппаратных и программных средств обеспечения информационной 
безопасности……………………………………………………………….
224

СПИСОК СОКРАЩЕНИЙ

АПКЗИ – аппаратно-программный комплекс защиты информации
АПСЗИ – аппаратно-программные средства защиты информации
АРМ – автоматизированное рабочее место
АС – автоматизированная система
АСЗИ – автоматизированная система в защищенном исполнении
АСОД – автоматизированная система обработки данных
АСУ – автоматизированная система управления
ВЗУ – внешнее запоминающее устройство
ВС – вычислительная сеть
ВП – выделенное помещение
ВТСС – вспомогательные технические средства и системы
ЗИ – защита информации
ИБ – информационная безопасность
ИК – интеллектуальная карточка
ИС – информационная система
ИСПДн – информационная система персональных данных
КС – компьютерная система
КСЗ – комплекс средств защиты
ЛВС – локальная вычислительная сеть
МО – Министерство обороны
МЭ – межсетевой экран
ИТКС – информационно-телекоммуникационная система
НД – нормативная документация
НИР – научно-исследовательская работа
НСД – несанкционированный доступ
НСДИ – несанкционированный доступ к информации
НСВ – несанкционированное воздействие
ОБИ – обеспечение безопасности информации
ОИ – объект информатизации
ОС – операционная система
ОТСС – основные технические средства и системы
ПАК – программно-аппаратный комплекс
ПВО – противовоздушная оборона
ПДн – персональные данные
ПО – программное обеспечение
ПРД – правила разграничения доступа
ПС – программное средство
ПЭВМ – персональная электронная вычислительная машина
ПЭМИН – побочное электромагнитное излучение и наводки
РКС – распределенная компьютерная сеть
РД – руководящий документ
РРЛ – радиорелейная линия
РРС – радиорелейная станция

РФ – Российская Федерация
САВС – система аудита вычислительной сети
СВТ – средство вычислительной техники
СЗИ – система защиты информации
СРД – система разграничения доступа
СрЗИ – средство защиты информации
СНГ – Союз независимых государств
СОВ – система обнаружения вторжений
СОС – сетевая операционная система
СРД – система разграничения доступа
СТР – специальные требования и рекомендации
СУБД – система управления базой данных
СУР – система управления ресурсами
США – Соединенные штаты Америки
ТЗ – техническое задание
ТПР – типовое проектное решение
ТС – техническое средство
УВИП – устройство ввода идентификационных признаков
ФСТЭК – Федеральная служба по техническому и экспортному контролю
ЧТЗ – частное техническое задание
ЭВМ – электронная вычислительная машина
ЭВТ – электронная вычислительная техника
ЭЗ – электронный замок
ЭЦП – электронная цифровая подпись

ВВЕДЕНИЕ

Современный мир невозможно представить без средств коммуникаций и 

вычислительной техники, в которых главенствующую роль играет программное 
обеспечение. Информационные технологии прогрессируют очень быстро, охватывая все более широкие области человеческой деятельности. Поэтому безопасность информационных технологий является одним из важнейших аспектов обеспечения их функционирования.

Статистика показывает, что с каждым годом растет финансовый ущерб, 

наносимый компьютерными преступниками. Рост числа пользователей, недостатки в программном обеспечении пользователей, наличие свободного доступа 
к зловредным программам, а также практическая ненаказуемость совершения 
проступков привели к тому, что организациям, компаниям и рядовым пользователям приходится уделять внимание и время обеспечению защиты.

Современные распределенные компьютерные системы не могут быть за
щищены только использованием организационных мер и средств физической 
защиты. Для безопасности функционирования информационных технологий 
необходимо использовать механизмы и средства сетевой защиты, которые 
обеспечивают конфиденциальность, целостность и доступность компьютерных 
систем, программного обеспечения и данных.

В последнее десятилетие сформировался рынок средств обеспечения ин
формационной безопасности, все большее число различных организаций подключается к решению насущных задач обеспечения защиты. Решение этих задач осложняется рядом причин. Среди них необходимо отметить следующие: 
отсутствие единой терминологии и единой теории обеспечения защиты, использование, как правило, программных средств зарубежных производителей, 
высокую стоимость качественных средств защиты. Реализация защиты информации в современных корпоративных сетях опирается на использование 
средств защиты, реализованных программными, аппаратными и программноаппаратными методами. Количество изданий и статей, посвященных различным вопросам обеспечения информационной безопасности, увеличивается с 
каждым годом.

Значимость обеспечения безопасности государства в информационной 

сфере подчеркнута в принятой в сентябре 2000 года «Доктрине информационной безопасности Российской Федерации»: «Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет 
возрастать».

Остроту межгосударственного информационного противоборства можно 

наблюдать в оборонной сфере, высшей формой которой являются информационные войны. Элементы такой войны уже имели, а в ряде случаев до сих пор
имеют место в локальных военных конфликтах на Ближнем Востоке, на Балканах, на территории бывших стран СНГ и т.д. Один из характерных примеров –
вывод из строя войсками НАТО системы противовоздушной обороны Ирака с 
помощью информационного оружия. Эксперты предполагают, что войска аль

янса использовали программную закладку, внедренную заблаговременно в 
принтеры, которые были закуплены Ираком у французской фирмы и использовались в АСУ ПВО.

В настоящее время МО США (объединенная доктрина Информационных 

операций JP 3-13 от 27.11.2012) приняло следующее определение термина «информационная война» – это действия, предпринимаемые для достижения информационного превосходства над противником путем воздействия на имеющуюся у него информацию, зависящие от информации процессы, информационные системы и компьютерные сети.

Объектом внимания в такой войне становятся информационные системы, 

а также информационные технологии, используемые в системах вооружений. 
Информационным оружием в такой войне следует называть средства уничтожения, искажения или хищения информационных массивов, средства преодоления систем защиты, ограничения допуска законных пользователей, дезорганизации работы аппаратуры и компьютерных систем в целом. К ним относятся:

1) компьютерные вирусы, способные размножаться, внедряться в про
граммы, передаваться по линиям связи, сетям передачи данных, выводить из 
строя системы управления;

2) логические бомбы – запрограммированные устройства, которые внед
ряют в информационно-управляющие центры военной или гражданской инфраструктуры, чтобы по сигналу или в установленное время привести их в действие;

3) средства подавления информационного обмена в телекоммуникацион
ных сетях, фальсификация информации в каналах государственного и военного 
управления;

4) средства нейтрализации тестовых программ;
5) ошибки различного рода, сознательно вводимые злоумышленниками в 

программное обеспечение объекта.

Мерами для предотвращения или нейтрализации последствий примене
ния информационного оружия являются:

1) защита материально-технических объектов, составляющих физическую 

основу информационных ресурсов;

2) обеспечение нормального и бесперебойного функционирования баз и 

банков данных;

3) защита информации от несанкционированного доступа, ее искажения и 

уничтожения;

4) сохранение качества информации (своевременности, точности, полно
ты и необходимой доступности).

Обеспечение безопасности АС предполагает создание препятствий для 

любого несанкционированного вмешательства в процесс ее функционирования, 
а также для попыток хищения модификации, выведения из строя или разрушения всех ее компонентов.

Противоборство государств в области информационных технологий, 

стремление криминальных структур противоправно использовать информационные ресурсы, необходимость обеспечения прав граждан в информационной 

сфере, наличие множества случайных угроз вызывают острую необходимость 
обеспечения защиты информации в компьютерных системах (КС), являющихся 
материальной основой информатизации общества.

Проблема обеспечения информационной безопасности на всех уровнях 

может быть решена успешно только в том случае, если создана и функционирует комплексная система защиты информации, охватывающая весь жизненный 
цикл компьютерных систем от разработки до утилизации и всю технологическую цепочку сбора, хранения, обработки и выдачи информации.

Данная работа посвящена изложению теоретических основ создания и 

практического применения аппаратных и программных средств защиты информации. Состоит из разделов, в которых достаточно подробно рассматриваются следующие вопросы: основные принципы создания аппаратных и программных средств обеспечения информационной безопасности; основные методы и средства реализации отдельных функциональных требований по защите 
информации и данных; аппаратные и программные средства защиты программ; 
аппаратные и программные средства защиты от несанкционированного доступа 
к информации, хранимой в ЭВМ; аппаратные и программные средства защиты 
информации в сетях передачи данных; сертификация аппаратных и программных средств обеспечения информационной безопасности. В книге большое 
внимание уделено нормативно-правовой базе в области создания, применения и 
сертификации аппаратных и программных средств защиты информации, а также достаточно подробно описана технология сертификации аппаратных и программных средств на соответствие требованиям информационной безопасности. Издание предназначено не только для студентов, курсантов и слушателей,
но будет полезно также для аспирантов, адъюнктов, преподавателей, научных и 
практических работников, занимающихся вопросами информационной безопасности.

1 ПРИНЦИПЫ СОЗДАНИЯ АППАРАТНЫХ И ПРОГРАММНЫХ 

СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

1.1 Основные понятия и определения в области создания АПСЗИ

Вначале на основании нормативной базы и руководящих документов в 

области информационной безопасности приведем обобщенную трактовку ряда
базовых понятий и определений.

Информация – сведения о лицах, предметах, фактах, событиях, явлениях 

и процессах независимо от формы их представления.

Информация ограниченного доступа – вид сведений, доступ к которым 

ограничен в соответствии с законодательством Российской Федерации и разглашение которых может нанести ущерб интересам других лиц, обществу, государству.

Государственная тайна – защищаемые государством сведения в области 

его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Конфиденциальная информация – документированная информация, до
ступ к которой ограничивается в соответствии с законодательством Российской 
Федерации.

Правило доступа к информации – совокупность правил, регламентирующих 

порядок и условия доступа субъекта к информации и ее носителям.

Различают санкционированный и несанкционированный доступ к инфор
мации.

Санкционированный доступ к информации – это доступ к информации, не 

нарушающий установленные правила разграничения доступа. Правила разграничения доступа служат для регламентации права доступа к компонентам системы.

Несанкционированный доступ (НСД) к информации характеризуется нару
шением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями правил разграничения доступа. Несанкционированный доступ является 
наиболее распространенным видом компьютерных нарушений.

Информационная безопасность – механизм защиты, обеспечивающий

конфиденциальность, целостность, доступность.

Конфиденциальность информации – свойство информации, технических 

средств и технологии ее обработки, характеризующееся способностью информации сохраняться в тайне от субъектов, у которых нет полномочий на право 
ознакомления с нею.

Доступность информации подразумевает также доступность компонента 

или ресурса компьютерной системы, то есть свойство компонента или ресурса 
быть доступным для законных субъектов системы. Вот примерный перечень ресурсов, которые должны быть доступны: принтеры; серверы; рабочие станции; 
данные пользователей; любые критические данные, необходимые для работы.

Целостность ресурса или компонента системы – это свойство ресурса или 

компонента быть неизменными в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений либо разрушающих воздействий.

С допуском к информации и ресурсам системы связана группа таких важ
ных понятий, как идентификация, аутентификация, авторизация.

С каждым субъектом системы (сети) связывают некоторую информацию 

(число, строку символов), идентифицирующую субъект, Эта информация является идентификатором субъекта системы (сети). Субъект, имеющий зарегистрированный идентификатор, является законным (легальным) субъектом.

Основными рассматриваемыми объектами информационной безопасно
сти являются автоматизированные системы.

Автоматизированная система (в том числе военного назначения) – си
стема, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных 
функций

Идентификация субъекта – это процедура распознавания субъекта по его 

идентификатору. Идентификация выполняется при попытке субъекта войти в
систему (сеть).

Следующим шагом взаимодействия системы с субъектом является аутен
тификация субъекта.

Аутентификация субъекта – это проверка подлинности субъекта с дан
ным идентификатором. Процедура аутентификации устанавливает, является ли 
субъект именно тем, кем он себя объявил.

После идентификации и аутентификации субъекта выполняют процедуру 

авторизации.

Авторизация субъекта – это процедура предоставления законному субъ
екту, успешно прошедшему идентификацию и аутентификацию, соответствующих полномочий и доступных ресурсов системы (сети).

Применительно к автоматизированным системам ослабление информаци
онной безопасности может быть реализовано за счет влияния преднамеренных 
или непреднамеренных угроз.

Под угрозой безопасности ИС понимаются возможные действия, способ
ные прямо или косвенно нанести ущерб ее безопасности. Ущерб безопасности 
подразумевает нарушение состояния защищенности информации, содержащейся и обрабатываемой в системе (сети).

Непреднамеренное воздействие на информацию – ошибка пользователя 

информацией, сбой технических и программных средств информационных систем, природные явления или иные не направленные на изменение информации 
действия, приводящие к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

С понятием угрозы безопасности тесно связано понятие уязвимости ком
пьютерной системы (сети). Уязвимость компьютерной системы – это присущее системе неудачное свойство, которое может привести к реализации угрозы.

Атака на компьютерную систему – это поиск и (или) использование зло
умышленником той или иной уязвимости системы. Иными словами, атака – это 
реализация угрозы безопасности.

Противодействие угрозам безопасности является целью средств защиты 

компьютерных систем и сетей.

Преднамеренные и непреднамеренные воздействия представляют одина
ковую опасность, поскольку имеют одинаковые последствия. Для противодействия воздействиям используют автоматизированные системы в защищенном 
исполнении.

Автоматизированная система в защищенном исполнении – автоматизи
рованная система, реализующая информационную технологию выполнения 
установленных функций в соответствии с требованиями стандартов и/или иных 
нормативных документов по защите информации.

Защищенная система – это система со средствами защиты, которые 

успешно и эффективно противостоят угрозам безопасности.

Система защиты информации автоматизированной системы – сово
купность всех технических, программных и программно-технических средств 
защиты информации и средств контроля эффективности защиты информации.

Способ зашиты информации – порядок и правила применения опреде
ленных принципов и средств защиты информации.

Средство зашиты информации – техническое, программное средство, 

вещество или материал, предназначенные либо используемые для защиты информации.

Комплекс средств защиты (КСЗ) представляет собой совокупность про
граммных и технических средств, создаваемых и поддерживаемых для обеспечения информационной безопасности системы (сети). КСЗ создается и поддерживается в соответствии с принятой в данной организации политикой безопасности.

Техника защиты информации – средства защиты информации, средства 

контроля эффективности защиты информации, средства и системы управления, 
предназначенные для обеспечения защиты информации.

Обеспечение безопасности информационных систем (ИС) предполагает 

организацию противодействия любому несанкционированному вторжению в 
процесс функционирования ИС, а также попыткам модификации, хищения, выведения из строя или разрушения ее компонентов, то есть защиту всех компонентов ИС – аппаратных средств, программного обеспечения, данных и персонала. Конкретный подход к проблеме обеспечения безопасности основан на политике безопасности, разработанной для ИС.

Политика безопасности – это совокупность норм, правил и практических 

рекомендации, регламентирующих работу средств защиты компьютерной системы от заданного множества угроз. Естественно политика безопасности 
должна быть реализована в соответствии с нормативно-правовой базой создания аппаратных и программных средств обеспечения информационной безопасности.