Вы находитесь на странице: 1из 412

..

2008




,



, ..

..
: . . .: ,
2008. 412 .: .

.
,
, .
.

,

, ,
.


,

,
- , ,
.

.., 2008

1.

2. ,
.

38

3. ,

56

4.

193

5.

235

6. ( )

309

358

367

(Information

Security)

, :
090102

, 090105

,
090106
. ,
,
.
, .


.
.
..,

.., ..

. .:
, 2001. 148 .
.., .., .., ..
: . .:
, 2006. 544 .
.. :
. .: . , 2006. 205 .

..,

..

, :

. .: , 2006. 528 .
..
: . .: : -, 2008. 416 .


.

, ,
,
.
. -,

.
,
,
, ,
,

.

CISA

CISSP,


(Information Security Certification Consortium (ISC)2 www.isc2.org).

,
.


.

5

, ,
, . ,
,

.

1.

,
( informatio , ,
).
, .

,
, ,
-. ,
. [ . .,
. . . ., 1992. 255 .]
(18941964)
,


. , ,
.



(., , ).
,
,
: , , , .
, , , , , .
.
.


.
.
.
.
.
.
, .
,
27
2006 . 149- ,
. , (,
) .
,

, ,
- , . ..
, 1995 .
, ,
, , , ,
. ,
, .
,
, .
, , ,
, , ,
.


.
8

-
, ,


,
- .

.
,

,
[ . . .. .. .:
, 1996. 832 .]).

,

.

,
,
.
,
, . ,
, ,
.
9

, [ 50922-96] :
,

.
149-
,
, .

149-

,
, ,
. -, ,
.
149-,

, ,
( ).

, .


. ,
, ,
,
.
, ,
:
1) ;

10

2) ,
;
3)
;
4)
.
, 1991 .,

,
.
,
,
.
149-
, . (
.)
,
, :
1) ,
,

, ,
;
2)
,
3) .
, ,
. . 1
, , . . 2
,

11

. . 3
.
,

,
.
,
.., 2003 .

1) ,
,
[ 50922-96 .
];
2)

,
, .
, ,
[ 1268 26 1996 .];
3) , ,
,

(),

,
,

27

1994 .];
4) , ,
,

[ , 1991];

12

(, , .). , .

, .
, , .
. .
:
H = - i=1n pi log pi
_i i- ; n
. ( ,
.)
..
" "

. [ , , . ,
, N 1, 1991. . 2429

, N 1, 1965. . 17].

, , ,
() .
, 100 ,
, 100 ,
.
,
, , .

.
.
(),
.
13

(assets) ,
[., , ISO/IEC 13335-1:2004].
1.0-2006 .
,
: ,

.
() :
- (, , ,
.);
-
: (), , , , ;
- (
,


.);
- .

:
- ;
;
;
;

.

.
.

.
14


-2.3-2008.

, .
,

.
,

[ 34.003-90].
:
,
, .
,

, ,
, [
. .: . ., 1991].

, .
, ,
.
, ()
,
.

15

,
.
, ,
.
.
. , ,
, .
.. , ,
, .
1992 . ,
,
.
, ,
.

.
1. ,
, [
05.03.1992].
2. [
51898-2002 . 3.5].
3. ,
[ISO/IEC 13335-1:2004].
,
.
, ,
.
(information security
incident)[ / 13335-1]

16

,
.
:
- , ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
[ISO/IEC
18044: 2004], .

(
),
- [ISO/IEC 18044: 2004].

,
[ISO/IEC 18044: 2004].

.

,
,

.
17

,
,

(, ),

, , ,
.
.
(impact)
.
, ,
, 1.0-2006,
, , ,

, .
.
,
, .

. ,
, ,
, .

,
.
,
[ -1.0-2006].
,
. ,
, ,
.
18

,
() .
.
.
51898-2002 ,
.
, ,
. ,
.

.

[ 51898-2002. ].
[ 51898-2002] ,
,
,
.
[Guide 73:
2002 Risk Management Vocabulary Guidelines for use in standards].
,
() [ 0.1-2006].

. , ,

AS/NZS

4360:2004

Risk

management.

0 1,
.
, , , , .

:
,

, , ,

19

.
,
.
(-)

. , T- , ,

(. ).

.
,
,
, .
,
.
-2 .
: Operational risk is defined as: .the risk of direct or
indirect loss resulting from inadequate or failed internal processes, people and
systems or from external events.
, :

,
.
, .
.
.
.
, [
/ 17799].
20

(risk management)
.
.
, , [ISO/IEC
Guide 73:2002].

(risk

management)

, ,

, [ / 13335-1].

.
.
(residual risk) ,
.

(risk

analysis)

(risk assessment)

, .
( (risk assessment)
. [ISO/IEC Guide 73:2002]

/ 17799-2005.

: (risk evaluation)

[ISO/IEC Guide 73:2002].
.)

(risk

treatment)

. ( [ISO/IEC
Guide 73:2002] [

/ 17799-2005].)
21

: , , .
.

.
( , , )
, [ 51898-2002, ISO/IEC
Guide 51].
, , (safeguard)
, .
-
[
/ 13335-1]. ( .

.)
(baseline controls)
, [
/ 13335-1].
(Baseline Security)
.
, (CCTA Baseline
security survey , BSI IT-Grundschutz , ISACA,
).

(, ,
..).

, , , ,
.

22

()
-
( ) . ,
,
.

. 1.

.
,

( , , ..).
23

, , , , ,
,
,

, , .

:
1.
.
2.
.
3.
.
4.
()
.
5.
.
6.
()
().

[92].


,
, , ,
, , ,

24



,
.

.
,
2002 . ,

,
,
, ,
, ,
.

.

1992 .

1996

,
, .
, ,
.
2000 .
.

25

, .
, ()
?
.. [61] :
(), , ,
, ,
, . .
.

() , , , -

,
(
.., .. 1977).

.
, .

BS 7799,
1995 ., ,
,
, .
(availability) c

[/ 7498-2]. ,

.

26

(integrity)
[ / 13335-1].
,
.
(confidentiality)
,
. [/ 7498-2].
.
,
.
/ 13335-1:2005
.
(information security)
, ,
,

,
.
, .
(non-repudiation)
,
[/ 13888-1, / 7498-2,
13335-1].
(, ) (accountability)
,
[/ 7498-2].
, , .
(authenticity) , ,
.
. ,
, , .
27

(reliability)

.
.

: , ,
, , , ,
, , , ,
, , , ,
, ,

(), . ( 40).
,
.

,
,

[
].
,
. ,
. .

, ,
, ,
[ , 2004].
:
,

28

, ,
, ,

02.02.06

19- 24.07.07 214-]. ,



. . 139
(. ).

,
.

,
,

, ,
, .

. ,

;
;

..

[61].

, , , ,

() , , ,
,

, , ,
, ,

...
29

() ,
.
, :
c ( )

; ()
,
-, ,
, , , ,

[ISO/IEC IS 27001].
, ,
, , , ,
.
ISO/IEC IS 27001

( , -).

, , , ,

,
.

,
( ), , .
, ,

,

.
30


,
,
.

. 2.

,

9001
14001,

.

,
( 9000-2001

).
, ,
:
- ( );
- ;
31

- () .
(),
, , , , ,
,
(BS 7799-2).
IDEF0 . 3

.
,
:
- ;
- (
);
- -;
- -
(
).
,

,
, (, ,
), .

() .
.

32

. 3.



( -, ..).

, ,

.
()
:
- (, ,
);
33

- ()
();
-

()

.
,
,

,
.
( )
.

. .
,
,
,

.
. , .
-
( ) (IC security policy) ,
, , ,
-
, ,
[ 13335-1].

. [ / 17799-2005]

,

.

34

. :
) ,
,
,
(. );
) ,

;
) ,
;
)
, , , :
1) ,
;
2)
;
3) ;
4)
;
)

;
) ,
, ,
,
, .

35


, .

.
,
.
ISO/IEC 13335-1:2004.

, .
,
,
.


,
, .

, .

, ,

,
.
()
,
[82] 0.1-2006.

36


.
, .

.


.

, , ,
, .

.

37

2. ,
.


[86 92].
,
.
,
17.12.1997 . 1300 (
10.01.2000 . 24),
.


.

,
,

, , .
.

,
[55]. ,
.
.

: ;
.
38

, ,

.

[55], ,
, ,
.
,
, ,
, .

,

, ,
,
.


.

, ,
,
,
,
.

39


.
, ,
: ,
,
,
.

. :
,
;

,
, .

.

:

;

,
40

,
,

,
.

,

, , , , ,
, .

.

.
.
().
,

.

[ , 2000].
,

, .

41

,
[ , 2000].
,

, [
, 2000].

:
;
.

,
.
:
.

.
, .
, .
:
.
, , .
.
.
:
.

.

42

,
.
, .
.

[ ,
2000]:

, ,
;
;
,


, ,

;

, , .

43

, , :
, , ,
,
;
;

;
,

,
,

.
, , :
;


,
,
,
,
;

,

;

;
44

;
;

;
,

, ,

;

,
, , , , ,
, .
,
, .
.


. 4
[76].

45

. 4.


.
,
,
,
1108 8.11.1995 .
,

15.09.1993 . 912-51.
, ,
,
.
,
46

, ,
, - .

, ,
, .

, ,

( ).

,

:
1)


;
2)

;
3)

, ,
, ,
, ,
( )
, ,
;

47

4) , ,
,
.

:
1)

;
2) -
, ,
,
;
3)

,
;
4)

:
;
; ;

,

;

,

48

5)
,


,
, ,
;
6)

, ;
7)

, ;
8)
,

;
9)



, ,

;
10)

49


, , ,
,
, ,
, ,
,
.
,
,

, ,
.

,
,
.


() .

:

, -
;
-
- ,
,
, .
50


, (
), , ,
,
.

,
,

.

(,

) :
;

()

;
;

;

;

.

() .
51

,
, -


,
, .
,
,

,
,

, .

,
:
;
,
;

;
;

;

;
;
,
;

52


.
:
1. -
,
,
,

.
2. .
3.

.
4.

.
5.
.
6.
.
7.

, ,
-
, .

.
-
.

53


[ ]:

,
;

,
,
, , ,
;

,

.

[]:

54

,
,
;


,
;

,
,
,

;
,
;

55

3. ,



.
.
,
. ,
,
. ,
, , ,
, ,
.

,
, ,
, ,

, ,

,

.
.
,

,
, ,
56

,
, .
(),
, ,
.
,

,
.

(, ,
).

, .

.
, .

1996 .
, ()

, .
,

.

25 2000 . 19 ,

,
,
( ), ,
57

,
,

20
2003 . 2 (. 12).
, ,
,

. , ,
, .


, ,

,
, ,
.
9 2004
. 314

, .

,
. . 5
, .

, . 5.

58

. 5.


.
. 6.
, ,
.
.

.

59

. 6.
. 7 ()
().
60

. 7. -
()
,
,
. ,
, ,
.
- ,

,

.
-
,
. , ,
61

.
, ,
.
-
,
.
. .

.

,

, ..
-
.
.

(,

) - ,

(, , .

.
: ; ;
; ; .

, :
;
( );
62

;
(-);
(/IEC);
(/ISO);
(BSI);
AICPA
.

(
A/RES/56/19 2001 ., A/RES/57/53 2002
., A/RES/58/32 2003 .).
2002 .
. 16
18 2005 . .
2004 .
.

, .


- , .

.


,
, , ,
.
:

63

1. ,
.
2. ,
.
3.
,

,

.


, , .

,
,

, ,

,
.

2000 .


. ,

:
64

- - ()
, XXI .;
-


;
-


,

;
-

, ,
, ,
, ,
,
;
- , ,
,
.
,

- ,
, . ,
,
, ,
. ,
, ,

65

,
.

.

, , ,
,


,
, , ,
,
,

,
,
,

, ,

-.


,
,
66

.
, ,
,
.

.

( ),
.
,
,
.
,
,

.
.

, ,


.

25

2002

()
(
67

). 9 ,
.
,

,
- ,
. ,
, , ,
,
, .

,
.

.
1. : ; ; .
2.

: ; .

3.

; ;
.

, , ,
.
, , ,
, .

. :
68

- ;
-

;
- , ,
;
- , , , ,
, ,
.
.
, ,
, , ,
,
, . ,
,

, ,
,
.

.

,
,
,
,
.
, ,
.
,
.
69


,
.
, .


, ,

.
,
.

, ,
.
. ,
, ,

,
. .
,
,
,

,
.

70

. ,
( II)
, ,
.

(Basel II) .
1
II
1.

2.

3.

2
7

4.

5.


6.

7.

8. , 8
, , /

9.
, ,

10.
,

4
5

71


, . ,
, .

,
.



. ,
,
.
2003 .
2002 .

. ,
, :
-
;
-

, ,

;
- , , ,


;
- ,
.
72


.
.


. ,
, .
. 15 ( . 3). ,
, ,
,
.
. 23. ,
, , .
.
.

24.

.
,

,
.
. 29. , , ,
.
. .
. 42. ,
,

.
. 44. .
73

. 55. ,
.

,
, , ,
,
.


,
, , , (
), ,
.

(), (),

(),

,
.


,
17 1997 . 1300 (
10 2000 . 24),

9 2000 .


,
74

.
.

.

,

, .
,

.
,


:
- ;
- - ;
-

;
- ,
;
- , , ,
,

, ,
.


:
75

-
, , ,
, , , ,
;
-
,
,
,

,
;
-
, ,
, , , ,
;
-

, ,
,
;
- ,
;
-
, ,
.
[91]
.

76



2010 .
.

.
,
.
:
1.

()
- .
2.

,
()
,
.
3.
,
,
.
4.

,
.
:
- - ;
- ;
- ;
- ;

77

;
- ;
- ;
- .

.
,
,

,
.

,
,

:
1.
.
2. .
3.
- ,
78

,
.
4. .
5.
,
.
6.
,
, .
7.
,
, ,
.
8.

,
,

,
.

. , :
-
;
-
;
-

, .

:

79

-
;
-
;
- .


.

, .
:
- ;
-

;
-

()
.

,

:
- , ,
,
;
- ,

.

-

80

.
, , ,

.

- :
-

,
;
- ;
- ;
- ;
- ,
;
-

,

;
- ;
- ;
- ;
- .
,

:
- ;
- ;
- ;
81

()
.

: , , .


(20022010 ).

, ,
.

.
-


( 30 1994 . 51-, 26
1996 .
14-, 26 2001 . 146-,
, 18.12.2006 . 230-).
,

82

),

.
,
.


.
. 128 ( ) :
, ,
, ; ;
; ,
( ).
138.
,
, (
)

, ,
( , ,
..).

,
,
.

83

,
,

, .
,
.

44 . ,

, , . ,
,
.
:
(

( ),
, ,
.

( , ,
.).

:
, ,
, .

84


.

( , ),

.
, ,
. ,
.
139.
1.
,
,

. ,
,
.
(
).
2. ,
, ,
.
, ,
,
. ,

, , ,
- .

85

,
,
, -
.
(, .),

-,

, .

, .
,
, , ..
.

.
, , ,
, ,
: , ,
, .

, .
, .

.
.
,

. .
, ,
(
). ,
86

(,
, .).
,
( ,
, , , .).

, .

, , .

:

( ).
()

()

.
- (
-, -
, , .).

,
.
-
.
, .


,
.

87

,
.
771. ,

1. , -
, ,
,
.

.
2.
, ,
.
,

.
. ,

.

. ,

, ,

, , ,
.
,
, .



88

, ,
.
,
, .
857.
1. ,
.
2.


,
.
3.

, , ,
.
,
,
( ). ,
,
, ,

.
,
, ,
, ,

). ,
,
,
( ),
89

. , ,
(, ,
.). ,
,

.
,
, , ,

, ,
, .

, ,
,
, ,
.

.
,

, (
), (),
, , ,
,
, .
,
, ,
-.
.
,

90

.
.
946.

,
, ,
.

139 150 .
.
,
/ ,
, / ,
, .

,
,


, -
.


,
.

91

1 2008 IV
.
.

( 31 1998 . 146-, 5 2000
. 117-, ).
,
,
, : ,

(,

)
; ,

, ,
;

;
() .
32

,

, ,
,
,
.
102 .
,
92

,
,
:
- ;
- ;
-
;
- ()

(), .

( 30 2001 . 197-, ).

, ,
.
14 ,
.

( 29 1995 . 223-, ).

, ,

: , (
), ,
, ,
,
.
139 .
93


( 30 2001 . 195-, ).

, ,
, -
, ,
, ,
, ,

, ,
.

.
5. ,

5.39.

,
,
, ,
.
8.

8.5.
,

,

,
94

, ,
,
.
13.

13.11. ,
,
( ).
13.12.
1.

, ).
2. ,
,
,

,
).
3. ,
, ,
, ,
, ,

()

.
4. ,
, .

13.13.

1. (
, )
(),
95

( )
().
2. ,
, ,
,

, ()
,
.
13.14.
,
( ,
), ,

.
13.15.
() -, -, ,
,

,
,
() .
13.16.


.
13.17.

.
96

23.45. ,

1. ,
,
, 3 4 13.12, 2
13.13 .
2.
, 1 , :
1)


, ,
, ;
2)

, ;
3)

, ;
4)

, ;
5)
,
,

, ,
,
.

97


( 13 1996 . 63-, ).
,
, ,
,
- .


.
19.

137.
1.
, ,
,

,

.
2. ,
.

138.

, ,
1. , , ,
.
2. ,

98

3. ,
,
.
140.

,
,
.
144.

1.

.
2. ,
.
146.
1. (),
( 100 ) .
2.
, , ,
,
.
3. , ,
: ;
; ( 500
); .
147.
1. ,
,
99

,
,
, .
2. ,
.
20.
155. ()

()

, ,
() ,
.
22.
155.
,

.
163.
,


,
, , ,

.
165.



.

100

179.


,
, ,

, .
180.
1. ,
,
,
.
2.

,
.
3. ,
,
.
182.

, ,
(,

),

.
183. ,
,
1. , ,
, , ,
.

101

2.

, ,
,
.
3. ,
.
4. ,
, .
185.
1.


, ,
,
( 2000 ) ,
.
2. ,
.
185.1.


,
, -
, , ,

,
,
, .

102

186.

1.
,
,

.
2. , ,
.
3. ,
, .
187.

1.
, ,
.
2. ,
.
189. , -
, , ,
,

, -
,

,
,
.

103

23.


201.
1. ,
,


,

.
2. , .

202.


1.


,

.
2.

203.


1.
,
, ,
.
2. , .

104

25.


237. ,

1. ,
,
, ,
,
, .
2. , ,

,

.
28.
272.
1.
, .. , ,
, , ,
, ,
.
2. ,
,
, ,
.

273.


1.

, ,
105

, ,
,
.
2. , .
274. ,

1. ,
, , ,
,
, .
2. , .
29.

275.
, ,


, .
276.
, ,
,
, ,


,
.
283.
1. , ,
,
106

, ,
.
2. , .
284. ,

, ,

, ,
,
.

:
1. ,
2. ,
3. , .
,
.

.
,

, , ,
, :
- .
, , .

107



;
- .
, , ,
()
.

,
;
- ( ).
,

(
) , ()
.
()
;
- () .

.

()

). ,

(
) , (
);
- . ,
, , , ..
. () ,
108

, (
) , ,
, ..

, ,
( ).

( ) ,
;
- .
, , , ,
,
, .

, ..
, ,
,
() .

.

, .

109

9 1993 . 5351-1
(
20 2004 . 72-)
,
, (
),

( ).
.

.
1
: 1) ,
,
, 2) , ,
, , .
2 ,

.

, .
25;
6 ( 2) 18 ( 2).
3
.

110

:
( 1952 );
( 1971 );
;
.
:

; ,

,
;
.
4 .
.
,
.

(, ),
,
().

,
- ,

;
.

111

,
.
,
.

,
, ,
, .
( )
,


, .
5 , ,

.
(),
,
.
.
68 .
, ,
,
, .
,
, -
: , , - ,
, - .
:
- ( );
112

- (-, - ,
, - );
- ,
, ;
- , , ,
, ,
;
- (, , )

.

( ),
,
.
, , ,
, , , , , (
).

. ,
.
,
, .
,
.
, :
(, , ,
),
; (, , ,
);

113

; ,
.
916
: ,
.

,
- .

,
:

()

.
70
. ,
( 27).

.
()

,
().
,
.

.
,
(
),

114

,
(),
.

, ,
26
.

, ,
, :
-

, ,
;
-
, -
, - ;
- ,

, ,
;
- ,

, ;
-
,
,
.

115

25
.
,
,

:
- ,

, ,

,
( ),
, ;
-
,
,
,
.

,
.
, ,

(
)
,


,
, :
116

- ,

,
;
-
,
;
- , ,

,
, ,

,
,
,
,
.
III IV ( 3547)
, , ,
..
,
.
V ( 4850) .
, , :


-, ,
.

,
117

,
,
,
.

,
.

,

,
.
8 2001 . 128-
(
) ( 25 1998 . 158-).
,
.
, ,
.
,
.
,

1 ,
:
;
, ;

, ;
118

;
;
;
;
;

;
;

;
;
;
-
(
);
, ,
, ;
,
;
.
,
,
, ,
,
,
( 4).



( 5):
119

;
,
;
,

.
:
; ,
; ;
; ; ;

11 2002 . 135.


.
:

,
.


.
,
,
,

120

,
, ,


, ,

,
.

,
.

, ,
.

,

.
,


.
Ha (
17 ) . ,
,

121


.
,

.
.

.

.
9 ,
. ,
, ,

.

,

.
.
:
, ,

.

. ,
122



.

15 .

,
,
( 12).


;
;

()

; ,
,
; .

( 13).

,
. . ,
,

.

17

( 103 ).
:
123

() ;
-
() ;
- ;
- , ()
,

()

;
-
,
, ,

;
-

);
- ()
;
-

;
- , ,
,

;
-

;
124

- ,
;
-

,

);
- () ;
- () ;
- ,
;
- ( )
;
- .
,
.
,

1 2006 2007 .


,
.

29 2007 . N 957

, ()

2002 . N 691).

125

23

:

() ;

() ;

;

()

()

.
:
1. :
- () ,

;
-

()

,
56
, ,
,

, ,
,
128 ;
-

400
(
, );
126

- () ,
-
, .
2. ,
,
.
3. .
4.


().
5.

.
6.
.
27 2002 . 184-
.
, , ,
,
, , , ,
, ; , ,

, , , , ,
, ;
.
1 2003 .
,
, :
127

10 1993 . 5151-1

;
10 1993 . 5154-1
.

,
,
.

01.05.2007
65- .



. ,
,
.
.


.
,

.

, .
128

,
.

, .
, , ,
.

,

,
.

, , ,

.

,
, , ,


(, ,
, , ,
, , ).

129


:

, , ;
;
()
;

, ,
,
.
,


, .

/ .

6
.
.

.
.
130

,
.

2- .

.

.

.
.
.
.

, : ;

; -
; .
, , ,
,
,
.
, .
,
,

.
.

131

,

().
()
.

.
.

.

.

7
.
.


.

17 2004 . 294.

.
01.05.2007 65-
.

132

29

2004

98-

( . 02.02.2006
19-, 18.12.2006 231-, 24.07.2007 214-)
, ,
,
(-) (
, ,

, ,
, , ,
, ,
,
98- 29.07.2004).

139

, ,
.
:
,

, ,
, ,
.
,
),

(,

, , ),
133

- ,

,
,

(. 2 . 18.12.2006
N 231-).

( 01.01.2008 231-)
, ,
, , ,
,
.
, ,

.
, ,

,
,
,
.
- ,
, ,
.
134

, ,

.
, ,

, (,
, ,
)
-
.
,
:
1.
,

.
2. ,
.
3.

.
4. ,
, - ,
,

135

5. , , ,

,
.
6.
.
7.
.
8.
.
9. ,
, ,
,
.
10. ,
.
11.

(. 4 .8 149-, . 7 5485-1, . 26
).
,
,
.

,
, .
.

, .

136

,
.

,
(

, , ).
, ,
. :
- , ;
-
, ;
- , ,
, () ,
;
-

,
- ;
- (),
, ,
.

,
,
, .
:
-

, ;

137


;
-
.
,
, ,
.

,
,
,
;

,
.

,
.

,

.
,
, ,
,


138


.
,

,
,
,

.
21 1993 . 5485-1
( ).
,

. ,
.

,
.
, .

.

,
, .

,

,
- ,
,
139

( 1).
:

,
,

;
, ,
, , ,
,
, , , ;

,
, , ,
, ;

, ,
,
;
, ,

, ;
,
, ,
() ;
, ,
, ,

,
140

.
, ,
,

, .

,
,
, ,
( 3).


( 4),
,
( 5).

,
.
, .


,
, ,
.

141


() .

, -
.

, ().


,
,
17 2000 . 6-.

( 7):

, ,
, ;
, , , ,
, , ,
;

,
,

;
;
142


;

;

.


,
. .
,
,
, , ,

, .


.
,

,
, .

,

.
143

, , ,
.
,
()
.

, ,

,
, ,
. ,
,
,

, .
, ,
,
( )
,

,
,
, .
,
,

, .
144

,
, .
12 ,
. ,
, ,
:


, ,
, ;
, , ,
, ;
;
,
.

, ,
.
20 VI ,
,
:
- ;
- ,
,
,

, ,
,

, ;

145

- , ,

.

.
, , ,
,
,
.

:
-

;
- ,
24 ( ,
,
);
-

;
- , ,
;
-
,
;
- ,
,
, .

, .
146

, ,
, ,

, , ,
, ,
.
( 27) ,

, ,
( 28).
,
,

, ,
()
,
,
.

, ,
,
, , .
,

, :
- ,

, ,
, ;
147

-

,
;
- .


.

,

,
, ,
,
.


, .


.
6.10.2004 .
1286.

,
,
,
.

148

,
,
( ),
,
( ),
,

),

( ), ,
.
7 2003 . 126-
( ).


,
, ,

.
63 .

, , ,
,
.
, ,
, ,

149

, ,
.
.
31 2002 . N 63-3
(
).

, ,
,
,
, , .
8 .
,
.
27 1992 . 4015-1

( ).
,
, ,

, ,
.
33

150

3 1996 . 17-
2 1990 . 395-1
(
).

, , ,
.
26 :
, , ,
,
, .
,
,
, ,
.
,

, ,
(), ,
,
, ,

, .
7 2001 . 119-
( ).

151

8 .

,
.

, ()
,

()
,
,
,
.
,
, ,
,

,
.
27 1991 . 2124-1

).

,

152

18 1995 . 108-
( ).
, ,
, ,
, ,
,
( ) , .
27

,
.

5 1992 . 2446-1

( ).
,
, ,

,
.
3 1995 . 40-

( ).
, , ,
, ,
, .
7
:
1. ,
() ,
153

,
,

.
.
2. ,
,

() ,
.
, 17 19 :
1.

, ()
,
,

, .
2. ,

,
,
.
12 1995 . 144-
-

).

,
-
.
154

12 ,
- .

, , ,
, , ,
,
-

.
25 1998 . 130-
( ).

,
,
,
, ,
.

15

.
27 2006 . 149- ,
(
20 1995 . 24- ,
155

) (
10 2003 . 15-3).
,
, , , ,


, ,
,
.
.
, , .

, - ,
, ,
, , .
.
, :
- ,

;
- ,

;
-
,
, ,
.

156

5, . 2, ,
,
,
( ).
7:

, .


.
, . 4 8
:
1) , ,
,
,
;
2) ;
3)
,
(

);
4) , ,
, ,

( ) ;
5) ,
.
9 .

, .
157


, ( 98- 29
2004 . ), ,
,
. ,


( ),
,

. ( )
,
, ,
( ),
.
( )
( 152- 27
2006 .).
6 .
( ), , ,
, .
:
1) ,
;
2) , ,
;
3)
;

158

4)

;
5)
.
13, . 3, ,

,
.
:
1) ;
2) ;
3) ,
.
11 .
, ,

, ,
,

.
12
, :
1) , , ,
,

();
2)
( ), ,

159

,
;
3)
- ,
-
.
13 () ,


,
, ,
.

,
,

,
.
14.
, ,
, ,
- ,

160

, 16
.
,
, :
1) ,
,

, ,
;
2)
,
3) .
, ,

, :
1)
() , ;
2)

;
3)
;
4)
, ;
5) ,

;
6)
.
. 6 16,

161

.
17 (,
-,

. : ,

,
,
, , ,
.

,


,
.

,
, :
1) , ,
;
2)
,
.

162

10 2002 . 1-
.

() .

, ,
.
23 1992 . 3526-1

( ).
, ,
.
27 2006 .
N 152- .
,
, ,
,
, ,

, ,

,
(),
.
, ,
:
1)

,
;
163

2) , ,


;
3)

,


;
4) ,
, .
:
1) ,

( ),
, , , , , , ,
,

, , .

.
19.12.2005 160

,
(
);
2) , ,

()

,
;

164

3) ()
, , , ,
,

(,

),

( ), , ,
;
4)

,
,

-
(
149-
27.07.2006, ,
);
5) ()
,
,

;
6)
, , , ,
, ;
7) ,


;

165

8) ,

;
9)

,

;
10)



;
11)

;
12) ,



.

17 2007 . N 781

.
.

()
166

,
,

,

( ).

,
, - ,
, (

, ,

,

),

( ,
..), ,
.

, ,
, , ,
, , ,
.


,
( ()
,

, -
),

.
167

()

()
( 2008 .).

.
:
) ,
()
, ;
)
;
)

,
;
)
,

;
)
.

:
)
, ;
)
,

,
;
168

)
;
)
;
) , ,
, ;
) ,
, ;
) ,
;
)
,

;
)

,
,

,

,
;
) .

.
()

.

169

.
()

,
.

,
13.02.2008 . 55/86/20
,
4- :
1.

,
( 14 2008 .
).
2.
,

( 15 2008 . ).
3.
,
( 15
2008 . ).
4.
,
( 15 2008 .
).
, . 15
.
55/86/20
() .
170

, ).
,
, , .
,
:
- ,
;
-
,

.
2

_ \ _

(1, , 4)
, _ ( ) _
( ).
171

:
1 (1) ,
, ,
;
2 (2) ,
, ,
;
3 (3) ,


;
4 (4) ,
, ,
.
_ :

, ,
, , ;
2 ,
,
, 1;
3 ,
;
4 ()
.
_ 3 :
1 100 000
;
2 1000 100 000
, ,
172

,
;
3 1000

.

,
.

,

17 2007 . N 781.
,
_ _, :
-

(,

, );
- ( , , );
- ;
- (
);
- (
);
- ( ,
).
4
,
.

173

:
153-


.
218- 30.12.2004 .
35- 6.03.2006 .
16- 09.02.2007 .


,
, . ,
.
,
, ,
.
: ,
.
[-].
,

, ,

(, 11.03.2003 .),

, ).

174


1. 31 1993 . 2334

( 17 1997 ., 1 2000 .).

, ,

:
-

;
-
;
-

, ,
, ,
,
;
-

, .
,

(),


175

.
2. 3 1995 . 334

, ,
(
25 2000 .).
.

),

, ,
,
, ,
,
.

,

,

.


, , ,
,
, ,

176

, ,
.




, .
3. 9 1996 . 21
, , ,
,

,
( 30 2000 .).
-
:
-

, , , ,
,

,
,
;
-

177

-
,
- , , ,
,
, (,
, )

15 2002 . 526.


10 2000 .
214.
,
,
1 1996 . 770.
4. 15 2006 . 116
.

.
. .
300 .
5. 17 2008 . 351

178


.

1. 15 1995 . 333

,
, ,
, ()
(
23 1996 ., 30 1997 ., 29 1998 ., 3 2002 .)

,

. , , , ,
, :
- ,
, ,

( ),
( );
- ,
,
(
),
,
, (
);
- ()

,
179


, (
).

,
, ,
:
-

, ,
;
-

,
;
- ,
,
.

,
.
,
,

,
,
,

.

180

2. 26 1995 . 608
(
23.04.1996 ., 29.03.1999 .).

,

.
, , ,
,
, , ,

.
,
.
()

, .

,
.

,

,
,

.

181

,
.


.

, ,
, ,
.

:
-

;
-

. ,
.
.
3. 10 2000 . 214

,
,
,
,
( 19 2000 .).
182

-


.

.
4. 11 2002 . 135
.

, ,
,
.

.
: () ,
() ;


;
:
- , ,

,
183

;
-

);
-

() ;

() ;
- ;
- , ()
,

()

;
-
,
, ,

;
:
-

;
- ()
.
5. 30 2002 . 290

.
184

() ,
,
, .
.

:
)

,
,
;
) , ,
-
,
-
;
) (
) ,

;
)
.
185


.
5 , .
.
6. 27 2002 . 348

()
.

()
.
,
, ,
, , ,
.

,
,

. ,
, .
,
,
290,
.
7. 23 2002 . 691

186

, ()
.
4 ,

:
1.
() .
2.
() .
3.
.
4.

()

()

.
,
, , ,
. ,

40
128
.
.

, ,
.
8. 30 2003 . 313

.
187





.

.


:
22 1992 . 292


( 14 1994 .).
31 1999 . 1105

.
-78.143-92 ,
. .
-78.147-93
.
:
1. 13 1999 . 564

,
, .

188

2. 9 2005 . 66. ,
,

() (-2005).
,
,
, .
3. 13 2001 . 152
,

,
, .

() :
1. .
.

.
2. ,

.
3. ,

189

4.

.
5. .
. .
6. .
1. .
.
.
7. .
. 1. 2. 3.
.
8.
,
()

17 1995 .
9.

. .
10. 3 1995 . 42


.
11.

.
25 1994 .
12.

190

.
25 1994 .
13.
.
5 1996 3.
14.
.
5 1996 3.
15. .
5 1996 3.
16.

(N
RU.0001.0100).
17.
.


27.04.1994 . 10.
18.
.
27.10.1995 . 199.
19.
.
25 1994 .
20.

, ,
(-97) 23 1997 . 55.
21.

191

.
.
22. . .

.
23.

- .

.
.
24. -

(-),
25.

,
. .
26.
.

24 1994 . 10 (
24 1997 . 60).

192

4.


[45, 2,
60, ]



,
.
. .
[2] 5 :

,
, .
[3]
: , , .
, ,
: , ,
.
, :
, .
, :
, ,
.

[13,
14]. :

193

- ( , ,
),
- (
,

, ),
- ,
.
[.
, 1992]

. ,
.
, ,
:

()

,
;


;
2
, ..

;
,
,
,
(
,

194

, ,
).
[-] 4
, .

,
( , );

(
, );

( , (),
( ), );
,
- ,

(
, (),
, ,
, ).
,
,
[10]. :

:
) (

195

); ;
.
.. [11]
.

.. ..
[ . ,
1995].


. , :
- (
);
- (
; ,
;
;

);
- ( ) ..;
- .
, ,
( )
( ).
(
) ,
-, .
:
- ;
- ;
196

-
;
- ;
- .
- :
- ,
, ;
- ,

.
:
- , ,
,
;
- , ,
;
-

;
-

;
-

,
;
- ,
;
- -
.

197

:
- ;
-

, ,
.


, .

. ,
.

, ,
..
, .. [11],

, 3.
3
, .
1. . ,
.
2. .
: .

198

1 . .

1.1.


()
()

1.2.
1.3.

2.

1.4.

1.5.

2.1.

, , ,

3.

,
2.2.

3.1.

3.2.

.
,
, ,
,
, , ,
-,
/ ,

199

. 3

4.

4. 1.


()
, ,

4.2.

. ,

, , ,

4.3. , ,

4.4.

, ,

4.5.

,
,

, .
, ,
, .
( , )
:
- ,
;
-
,
;
200

( )
,
( ) ;

.
3. .
: (

( ,
, ,
).

:

,
/ ;

()


;

,

, ,
) , (
201

),

(
) (
,
,
);
(
) ,
,
(
);

;
()

,
.
4.

.
, , (), ,
.

0.1-2006 ( 7).
.

,
202


:
- ( , .);
-

, .);
- ;
- ();
- ();
- ;
- - .

( ..

),
.

-.
-,

, ,
( .. )
/ .

.
,
:
- : ,

();
- ,
(,
203

, ,
..);
-

/ .

, ,
:
- ,

,
..);
-

.
-:
- ,
(
, .);
- : (, )
, .
,
.

.

, , ,
, (,
, , ),
.
204


, , ,
, ,
.


.
,

. -
.

: , () /
,

.

,
,

,
.

1.0-2006.

.
M2.3 ()
:
205

- ;
- ;
- ;
-

(,

.)

;
- ;
- / ;
- ;
- , ;
-

?
M2.6
:
- ,
- ,
- ,
- ,
- ?
M2.8
,

,
/
,
?
M2.9

,
206

,
?
, -
. , ,
( , ).
()

,
[40].

() :
( )
.

,

..

(,
), .
, ,
,
(,
) ,
(,
).

(,
,
) (,
).

207

1- ,

. ,
, ,

.
,
.
2- ,
.
,
, ,
, , ,
, -
.
,
.
3- ,
,
.
,
.
4- ,
,
.
, ,
,

208

5- ,

. :
,
, ..,
,

.
6- ,

.
,
.
CRAMM
CRAMM.
CRAMM CCTA Risk Analysis & Managment Method (
CCTA Central Computer & Telecommunications Agency), UK).

.
. [ ,
http://www.jetinfo.ru/1999/1/1/article1.1.1999.html]
( ):
1. - (; ; ;
).
2. .
3. ( ;
).
4. (: , ,
, ,
209

, ,
,

; : , ).
5. ( :

;
;
;
: , , ;
: , ;
: , ; .

,
, - .
,
.
,
:
( ) ;
;
-
() ();
, ;
;
.

.
210

- . ,

.

,
,
.

,


.

.
.

:
;
;
( )
( ).
. ,
/ ,
:
(,
) ( , ..);
.
.
.
211

- ,
.
, ,
..

(, ), ,
.

- ( ,
) .
.

,
.
.

). (
), ,
, , , ..,
- .

).

),

, .
,
( ).

() , ,
.
212


, ,
..

, ,
(, , ),
( , ), ,
.

,
- .
.
1. .
2.


.
3. , ..,

,
.
4. ( ),
..,

.
:
.

213

.
: ; ;
.

. 8.

. 8.

,
, ,
, .
214

4


(Threat)

- , ,

(Bot-network

operators)

, .

(, DOS-,
, ..).

/
- .


,
.

.

,

,
.

215

. 4
(Threat)

(Hackers) -

.
,

-.
, ,
. ,
,

, . ,

,
.

(Insiders)

.
,

,
.

(Phishers)



.

.

216

. 4
(Threat)

(Spammers)


(, DOS-)
-

/-

(Spyware/malware) .


. the Melissa Macro
Virus, the Explore.Zip worm, the CIH (Chernobyl) Virus,
Nimda, Code Red, Slammer, Blaster.

,
,
,


/ ,

[GAO 2005, Critical Infrastructure Protection, US]



().
.

() .
217

. :
(Denial of service),
(Distributed denial of service),
(Exploit tools), , (Phishing),
(Sniffer), , , (War
dialing), (War driving),
.
; (,
) (
, ).

,
DOS-
(Denial of Service)

,
,
-

.


.
,

,
.

, .
,


.
,
,

,
, .

,
DDOS-
(Distributed Denial of
Service)

(Exploit tools)

218

. 5

(Phishing)

(Sniffer)

(War dialing)

(War driving)

,
.

, .
. ,


, ,
.
,
.
,
.
, ,
,
.
,

,
. ,
(
) .
,

.

,
,
.

219

. 5

,

.
,
.


( ).

.

2002 .[Stoneburner G.,
Goguen A., Feringa A. The Risk Management Guide for IT Systems, NIST,
sp800-30, 2002], ,
, .
, , ,
.
[GAO05, Critical Infrastructure Protection:
Department of Homeland Security Faces Challenges in Fulfilling Cybersecurity
Responsibilities] [GAO_2005,
Cybersecurity Threats to Federal Information]. :
,

, ,
, , -, .
, ,

, .
,
.
220

.
,

(BSI IT baseline protection
manual). , ,
. [Catalogues of Threats 2004]
5 .
1. - . (T1.1
T1.15).
2. . ( T2.1 T1.101).
3. , . (T3.1 T3.76).
4. , . (T4.1 T4.52).
5. , . (T5.1
T3.126).
370 .
.

(IT Baseline Protection Manual) BSI (Bundesamt fr
Sicherheit in der Informationstechnik (German Information Security Agency),
www.bsi.bund.de).

http://www.bsi.bund.de/gshb/english/menue.htm

(http://www.bsi.bund.de/english/gshb/index.htm).

.
,
.
http://www.bsi.bund.de/english/gshb/index.htm

221

.
1. Digital Security (. 9).

222

2. -

. 10.

ISO 27005.


, ,
.
. ,
.
1.
, (
, , ).

223


( , ,
).

, ).
, (
, , ).
2.

).

, , ).

).
, , (
, , ).
(
, , ).
/
( , ,
).
(
, , ).
3.
(
, , ).
224


( , ,
).
( ,
, ).
,
( , ,
).
( ,
,

).
(
, ,
).

, ).

( ,

,
) ( , ,
).
( ,
,

).

( , ,
).
, (
, ,
).
225

(
, , ).
( , ,
).
( , ,
).

( , ,

).
( ,
,
).
(
, ,
).
(
,

).
4.
( , ,
).
( , ,
).

( , ,
).

226

).

( , , ).
( , ,
).
( ,
, ).

(
,

).
(
, ,
)

, ).
5.
( , ,

).

).

( , , ).
6.
( , ,
).

( , ,
).

227

( ,
, ).
( ,
, ).

).
( ,
,

).

(
, ,

).

, , ).
7.

( , , ).

( , ,
).

()

).

( , , ).

228


( ,
, ).

( ,
, ).

( , ,
).
(
, , ).

).

( , ,
).

) / (
, , ).

) ( ,
, ).
(
, , ).

( ,
, ).

229

(
, ,
).
(
, ,

).
(
, , ).

( , ,
).

( , ,
).

( , ,
).

, , ).

).
() ( ,
, ).
, (
, , ).

( , ,
).
230

, , ).

(
, ,
).

( , ,
).

( , ,
).
8. -
( , ,
).

).
(
, , ).
( , ,
).
9.
( , ,
).
(
, , ).

231

(
, , ).
.

,
,

(, , , ,
).
:
- ;
- (STE);
- .


(,
[FTP], ).
, , , ,

,
. ,
,
.

,
,
. ,
.
232

,
,
.
(, ,
).

,
. ,
,

,
.


, .
,

.
,

//,

.
,

233

(,
).
.
.

234

5.

,

.
11 :

,
;

;

-
,

;
;

; ;
() ,
- ;
.
13
, : ;
, ;
,
- ;
.
14

.
:
- ;
- ;
- ;
235

-
, -
- ;
-

,
;
-
;
-
;
-

;
-
;
-
, .
,
,

.
16
2004 . 284 17 2004 . 294


. (, ).

, 77-16464
22 2003 .
, 30 2004 . 4
,
236

,
1 2003 .

, :
,
, ;
,
;
, .

52069.0-2003
. . (
5 2003 . 181-).
,
, ,
.

- ,
, ,

.

()
: ; ; ,
; -

237

; - ()
().

, ,
: ; ; ; ,
; ;
; ; .
:
( );
();


( /);
( );

( );
,
();
.

:
-

;
- ,
.
,
. ,
, , .
,
.
238

.
:

.

,
.
,
,
.
:
.

, , , ,
.
,
. ,
. ,

, . , ,
.

. ,
239

. ,

, .
.
, ,

,
.

, ,
,

.

, , .

.
,
.

. ,
,
,
. :

240

.
,
.
,

.

,
.
, ,
. ,
,
.

, -

, .


(TCSEC Trusted
Computer System Evaluation Criteria), ,
(
), 1983 .

241


.
1985 .
(DoD TCSEC). 1987 1991 .

.
,
,
(CB, Trusted Computing Base) ..

,
,
, ,
, , .


.

, ,
.

,
.

1.

.

,

242

2. .
, .


, /
.
3. .
.

,
() . ,
,
, .

,
.
4. .
,
, ,
.

,
.
.
,
.
5.
.
. , ,
, ,
243

, ,
,
.
,
.
6. . ( ..

/ ,

.

. ,
.

,
, .

,
):
D . ,
.
1 , (DAC).
.
2 , .

.
.

244

1 ,
, .
.

. .

.
3 .
,
, , ,
( ,
).
1 .

.

.
:
1. ,

.
2. .

.
3. . ,
.
4. . ,
.
245

5. .
. ,
, .
:
()
. , .
,

,
,

.

,
. ,

.

,

, .


.

(Information
Technology Security Evaluation Criteria, ).

246

-
;
-
;
-
.
,
,
, ,
, ..
,

.
(assurance) .
: ,
,
,

,
,


.


.

247


.
,
,
.


(Federal Criteria for Information Technology Security)

(Federal

Information

Processing

Standart),

.

(National Institute of Standarts and Technology NIST)
(National Security Agency).

:
1.
,
.


.

.
2.
.

248

,
.
3.
.
4.

.
,
80- ,

.

( )
, , ..
, .

(Information Technology Products)


(Information Technology Systems).
( -)
/ ,

. , -
,
,

-,

,
.
-,

.

249

()

,
, , ,

,
. ,

,
.
,
.
-
.

-, .. ,

, .

,
, ,
. , -

, .

(Protection
Profile). ,
-
,
250

. ,
-.

,

.

,
,
:
1. . ,

. ,

, -.
,
.
2.

-.

- ,

.
3.
.

251


. -
.

(Common Criteria for Information Technology Security Evaluation,


)

2.1

(ISO)

1999

ISO/IEC 15408.
31
1996 .
,

. 1998 .,

.

,
.

252

-
.

,
.

-,

, ,

.

,
- ,
,
.

, .

253


.
,
-,
,
,

.
,
-,

, -,
,
,
.
, -,

.

-,
, .

,
,
,

254

-,


.

- ,
,
.
,

,

.

.
,

,
,
.

/ 15408-2002 .
.

/ 15408-2002 .

255


, .
ISO/IE 15408-99
(
).
3- :
1. .
2. .
3. .

- ,
.

(),
: , , ,
.

:
1.

(),

.
2. ,

.
3. ( ).
4.

.
5. ,

.
6. ,

256

7. ,
.
1 ,
( ),
( , )

: ,
.
, ,
,
(, , ).
, :
();
();
().
2

.

, ,

,
.
, ,

,
,
.

257


,
.
.
,

, ),
.
,
, ,
. ,
.

- ,
. , ,

.

.
,

.

.
, ,
, ,
.
,
.
(ST) ;
258

(IT) ;
(TSFI) ;
(TSC) ;
(CC) ;
(TOE) ;
(EAL) ;
(TSP) ;
() ;
(SFP) ;
(SOF) ;
(SF) ;
(TSF) .
1.

, ,
. ,
.
6

1.
2.

3.

, Assets

, ,
Security

/ , - attribute

- , - Authenticati

- on data

259

. 6

4.

5.

6.
7.

8.

9.

10.

11.

12.


- SOF-basic
, ,
,


, External

, IT entity

Selection

Internal


communicat
ion channel

- SOF-high
, ,
,



, , TSF data

, User data

Trusted

, channel


Trusted

, path

260

. 6

13.

14.

15.

16.

17.

18.

19.
20.

,
,
, ,
, ,


,


(, ),
.


,

,
(- ), (
),

-

261

Assurance

Dependency

Security
target

Identity

TOE
security
functions
interface

Iteration

Class
Component

. 6

21.

22.

23.

24.
25.
26.

27.

28.

29.

30.

Reference

, validation
: - mechanism

;
,

- TOE

, security

policy model

, Reference

monitor

Assignment


Informal

- TSF scope

, of control

, Object

Target of
- evaluation


,

Evaluation

authority


, Evaluation

262

. 6

31.

32.

33.

34.

35.

36.

37.

38.

39.
40.

3 Evaluation
, assurance
- level

Package

(, ),

Internal

TOE
transfer

,
Transfer

outside TSF
control
Inter-TSF

transfers

, , Organizatio
nal security
, policies


, TOE
, security

policy
, Security

function
policy
Semiformal

(- User
) ,

263

. 6

41.

42.

43.

44.

45.

46.

47.

Attack
( ) potential
,
,

, - Product
-
/


- Protection
profile
,

- Extension
,
2 , /
,
3
, TOE

resource
Role
,

Connecti , vity
.

264

. 6

48.

49.

50.

51.

52.

53.

54.
55.

56.

, Secret

,
Family

System

- , Evaluation
scheme


- SOF , , medium
,

Strength

, , of function

, Subject

, Authorized
- user

Augmen 3 tation

265

. 6

57.
58.

59.

60.

61.
62.

63.


,

,

Refinement
TOE
security
functions
Security
function

Formal

Human user
Security
objective

Element


, ,

.
,
,

( ).
.
( )
.
266


, .
,
: , ,
.
,
,
. :
-

;
- , ;
- , .
,

,
.

,
, ,
,
. , , ,
.
,

.
3
: , () ().

,
267

,
.
,
.

,
.
,
,
.
.

, ,

.
,

.

.

, ,
, , ,
.

,
, :
- ,
, ;
268

- ,
,
(), ,
, ,
, ;
- , ;
,

,
, .


. ,

, .


, , ,
.

.
,

,
, ..

269

,
.

,
.

().


(), .
2.

,
, .
,
. , ,
,

()
().

: .

. ,
,
, .

,
270


, .

.
,
.

. ,
FDP_IFF.4.2 :
F ;
DP ;
IFF ;
4 4-

;
2 2- .
11 :
FAU ;
FCO ;
FCS ;
FDP ;
FIA ;
FMT ;
FPR ;
FPT ;
FRU ;
FTA ;
FTP /.
FAU ( ) , ,
, , ,
,
271

. 6 :
(FAU_ARP);
(FAU_GEN); (FAU_SAA);

(FAU_SAR);

(FAU_SEL); (FAU_STG).

FCO

()

, :
(FCO_NRO
);
(FCO_NRR ).
FCS ( ) ,

, - / .
: ,
,

, .
:
(FCS_CKM); (FCS_COP).
FDP ( )

. 13 , 4 .
1.
, 2 :
(FDP_ACC);

(FDP_IFC).
2. , 6 :

(FDP_ACF);

(FDP_IFF);
(FDP_ITT); (FDP_RIP); (FDP_ROL);
(FDP_SDI).
272

3.

, , 3

: (FDP_DAU);
(FDP_ETC); -
(FDP_ITC).
4. 2 :
(FDP_UCT);
(FDP_UIT).
FIA ( )
(
, ). 6 :
(FIA_AFL);
(FIA_ATD);

(FIA_UAU);

(FIA_SOS);

(FIA_UID);

- (FIA_USB).

FMT

, . 6
:

(FMT_MOF);

(FMT_MSA);

(FMT_MTD);

(FMT_REY);

(FMT_SAE); (FMT_SMR).
FPR ()

. 4 : (FPR_ANO);

(FPR_PSE);

(FPR_UNL); (FPR_UNO).
FPT ( ) ,

. ,
FDP ( ),
273

, FPT
. FPT 16
:

(FPT_AMT);

(FPT_FLS);
(FPT_ITA);
(FPT_ITO); (FPT_ITI);
(FPT_ITT);
(FPT_PHP);

(FPT_RCV);

(FPT_RPL);
(FPT_RVM); (FPT_SEP);
(FPT_SSP); (FPT_STM);
(FPT_TDC);
(FPT_TDC); (FPT_TST).
FRU ( )
( , ) 3
:

(FRU_FLT);

(FRU_PRS); (FRU_RSA).
FTA ( )
6 :
(FTA_LSA);
(FTA_MCS); (FTA_SSL);
(FTA_TAB);
(FTA_TAB); (FTA_TSE).
FTP ( /)
,
.
,

,

274

. :
(FTP_ITC); (FTP_TRP).
3.

,

,
. ,
.
:
; ,
;
;
; ; ;
;

; .

: .
,
,
. ,
, .
, ,
,
.
AMA ( ) 4 :
(AMA_AMP);

275

(AMA_CAT); (AMA_EVD);
(AMA_SIA).
APE ( ) 6 :
, (APE_INT); ,
(APE_DES); , (APE_ENV);
, (APE_OBJ); ,
(APE_REQ); ,
, (APE_SRE).
ASE ( ) 8 :
, (ASE_INT); ,
(ASE_DES); ,
(ASE_ENV); , (ASE_OBJ);
, (ASE_REQ);
, (ASE_PPC);
, (ASE_TSS);
, ,
(ASE_SRE).

,
.
.
, ,
, .
3-
(). ,

.

. ,
,
276

. 1 7
-
(.. ,
/ )
(.. ).
.
,
,
.
,
.
, .
, ,

,
.
,
.
(augmentation),
,
,
,
.

. ,
.
,
. , -

.

277


( / ).
.

.
()

, (),

.
.

()
()
().

.
.
,
.
()
, , .
,
, ,
.
3 3.
,
() ,
278

()
.
2 2.
,
()

. 1, 1,
1, 1 1.
7

3 3 2 2 1 1 1 1 1
2

1
1.

9 10

1.1. ,
: ;

+ +

+ +

, ; -

+ +

+ +

+ +

1.2. .

+ +

/ ( ); +

+ +

+ +

+ +

, , ,

, , , ,

2.
2.1. : /

()
;

279

. 7
2

9 10

/
(, );

+ +

+ +

; -

+ +

, ,
, , , ,
, ;

+ +

2.2. .

+ +

+ +

+ +

+ +

2.3. (, )

.
2.4.

.
3.
3.1.
.
3.2. ,

( )
.
3.3.
()

280

. 7
2

9 10

4.
4.1. .

+ +

+ +

. +

+ +

+ +

+ +

+ +

+ +

+ +

+ +

+ +

4.2. -

4.3.

) .
4.4.

.
4.5.
.
4.6.

; + ;

. ( 4),

4.1. (, )
.

.
281

,
. ,
.

( ),
. ,
, ,
.

.
.800
X.800
,
.

X.800

()

,
.

:
.


.
, , .
,
.

282

( )
().

, .

.
( ,
, ).

,
,
, .

) :

.

.

OSI, .
, , ,
.

283

8

OSI

284


()
:

.
;

. X.800
:

( , ,
)
, ,
;

X.800,

,
,

. ,
,
.

,
285

.
, .
.
9

+ ;
.

286

() .
, (
) .


,
,
.

, ,
..

.
() ,
,
.
X.800,

.
, ,

, ,
.

( ),
287

.

. :

( );

).


. ,

, ,
..);

, ..);

( ,

, ..);

( );

, ).

288

ISO/IEC 17799:2002 (BS 7799:2000) /


17799
ISO/IEC 17799:2000 (BS 7799-1:2000)

(Information technology Information security management)

.
BS 7799-1:1995

(Information

security

management Part 1: Code of practice for information security management)



.
ISO/IEC 17799:2000 (BS 7799-1:2000)

:
;

;
;
;

;
;
;
;
;
,
;
289

;
.
BS 7799-2:2000

(Information

security

management Part 2: Specification for information security management


systems)



.
.


British Standards Institution (BSI), 19952003 .
:

(Information

security

managment:

an

introduction);
BS 7799
(Preparing for BS 7799 sertification);
BS 7799
(Guide to BS 7799 risk assessment and risk management);

(BS 7799 Guide to BS 7799 auditing);

(Code

of

practice

for

IT

management).
2002 . ISO 17799 (BS 7799)
.
290


.
ISO 27001 / 27001

. ( 31
2006 .).
2005 .

() ISO/IEC
27001:2005

. .
.
2006 . / 27001.
ISO/IEC 27001:2005
BS 7799, 1995 .

. 1999 . BS 7799
(ISO The International
Organization for Standardization) 2000 .
ISO/IEC 17799:2000 (BS 7799-1:2000).
ISO/IEC 17799:2005. 1999 .
: BS 7799-2:1999
Information Security management Specification for ISMS (ISMS
Information Security Management System). 2002 . ,
BS 7799-2:2002.
14 2005 . ISO/IEC 27001:2005.
27000 ISO/IEC 27002,
ISO/IEC 17799:2005.

291

ISO/IEC 27001:2005

:
- ;
- ;
-
, -;
- ;
-
;
- ;
- - ;
- - ;
- .
ISO/IEC 27001:2005
ISO/IEC 17799:2005
( 515) (Annex A. Control
objectives and controls).

27000 ISO/IEC JTC
1/SC 27. ,

, , ,
.

, 27000 .

292


ISO27000

COBIT ITIL.

.
ISO/IEC 27001:2005 .
ISO27001

. (BS 77992:2005). 2005 .


ISO/IEC 27002:2005 .

ISO27002

ISO/IEC 17799:2005).

ISO27003

.
2007 .

ISO27004

.
2007 .

ISO27005

(
BS 7799-3:2006). 2007 .
ISO/IEC 27006:2007 .

ISO27006

ISO27007
ISO27011

( ).

( ).

293

ISO ( ) IEC
(

, ISO IEC,
,

. ,
, ISO IEC
.
ISO IEC ISO/IEC JTC 1.

, ,
.
75
.
,
ISO/IEC.
BSI
ISO 17799


.
BSI :

(

, );
;
294

,
, );
(, ,
, );

( );

, Novell NetWare, UNIX
Windows).

, Cisco Systems;
(
600 ).


,
.


-1.0

295

. ( )

.
- ,
,
, -
.
(
, , ),
( ),
,
.
,
( )
, (
).
-

( ),
.
() ,
( )
( ,
, ,
).

(, .). ,
.
() ,
,
296

, .
(,
), - (, ).

()
.
()

,
,
.
(

, , (
) (
) .
()

.
()
,

() .

()

,
()
.

:
();
297

();
();

().

.
,
, ,
,
, .
. . 11
, .

. 11.

298

,
, ,
,
.
,
.
,
, . ,
- , ,
,
.


.
.

,
,

, , (
).

.


.
,
,
299

, , .

( ) ,
. ,

, .

, .

.
,
, , .
1.0 -1.1, -1.2
-2.1.
-1.1
.

-2.1


-1.0
.
-1.2
.


300

-1.0
-1.0,
-1.0
( ) .
(M1
M32) (M_i,j). (
.)
,
- (1-8),
- (9-27)
- (28-32).

(V

Mi)

(V1, V2 V3).

,
(V Mi.j),
V Mi (i=1,,32).
( - ,
( a_i,j).

( ) ,
,
.
.

.
= 0:
() ;
, .

301

= 0,25: ,
;

.
= 0,5:
; ,
.
= 0,75: ,
.
= 1:
.
(
): ,
; ,

; ,
( ,
..); ,
; , .

( 1.0).
1.
(. 8.2.2).
2.
(. 8.2.3).
. (.
8.2.4).
4. (. 8.2.5).
302

5. (.
8.2.6).
6.
(. 8.2.7).
7.
(. 8.2.8).
8.

(. 8.2.9).
,
, .
, ,
( ) (
).

, .
,
,
( ).

,
.
,
,
2.0

.

-1.0,
,
.
303


,


.
. 1.0 -1.2,
. (www.techcom3623.ru )

,
-,
. ,
IETF (Internet
Engineering Task Force),
, .
IETF ,
TCP/IP , SMTP (Simple Mail Transport Protocol) POP
(Post Office Protocol) , SNMP (Simple
Network Management Protocol) .

IETF.

; .

(Internet draft)
.
,
.
IESG RFC (Request
304

for Comment ).
RFC ,
.
.
IETF RFC IEsG.
RFC
.
.
,
SSL, SET, IPSec.

-.
SSL (Secure Socket Layer)
.

.
SSL
( HTTP, FTP .) (TCP/IP)
.
SET (Security Electronics Transaction)

SET

.509.

MasterCard

SET

Visa

IBM, GlobeSet .
,
.

305

SET

. SET -
,
, ,
. SET

.
SET
, , ,
.
SET
:

, ;


;

;


;


;
,
,


306

.

;

;

.

SET


( .509),
,
Visa Mastercard.
, SET ,

.
IPSec. IPSec IP v.6

TCP/IP. IP Security IETF.
IPSec 3 - ,

RFC-.

IPSec


() IP
:

, .
(VPN).
PKI (Public Key
Infrastructure)

.
,
307

.509
,

.
,
. .
. ISO TR 17944-2002
.
.

308

6.
( )

(., , / 13335)
, ,
, ,
,
.


. , ,

, ,
.
,
.

.
, ,
,
.
:

; ; ;

; ; ; ; .

.
,
, .

; ;
309

; ; ;
; ; .
(
/ 27001, ISO 13335-1)

- .

.
, ,
.
,
, .
, ,
: ; ;
;
; .
.
,
.
, ,
/ 27001 ISO/IEC 17799:2005
. /
27001 ISO/IEC 17799:2005 :
- ;
- ();
- ();
-

;
- ;
310

- ;
- ,
;
- ;
- -;
- .
( )
(.[92])
:
1. (, , ) 5%.
2. ( , ,
.) 15%.
3. (
) 2530%.
4. (
, , ,
, .) 50%.
( )
/ 27005

, (
ISO/IES 27005 ),
, ,
.

() .

.
311

, ,
.
,
( , ),
.

()

,
.

/ .

, ,
.

, ,
.

, .

,
, / ,

312

, ..

, , ,
.., .


.
,
,
, ,
.

()
. ,
.

, ,
,
.
/ .
,

,
,
, ,

.
313

, :
- , ,
,

;
- ;
- ,
;
- ,
;
- .

.
, ,
, . ,
.
,
(

).

/ ,
. ,
,

314

. ,
, ;
. ,
,
. ,
,
.

.
.

(,
),
.
,
.


. ,
, , .
, ,

.


(, ,
),
, .
, ,
315

.. ,
, /
. ,
, .
-

.
.
:
- ;
-

), ;
-
, .
/

,

.
,
.

.

316

:
-
..?
- ?
- , ?
- / ?
:
- ?
- ?
- ?
- , ..,
?
- , , ,
?
- / ,
, ?
:
- (),
?
-

?
-

/,

?
-
-

, (
)?

.
317


/ 17799:2005.


. ,
,

. -,


. ,
,
.


,

,
, .

; ; ;
; ; .
,
-,
. .

.
,
318

, .

,
, .
.
,
.


.

, .
, ,
.

,

, ,
,
.

, ,
, .

(
) (). ,
:

319

-
;
-

;
- ;
- ;
- .

, ,

. .

(
)

().

:
- ;
- ;
- ;
-
;
- ;
- , ,
.

, ,
, ,
. .

320



, ..

.
, /
. ,
:
- ;
- ;
-
;
- ;
-

;
- .
, ,
,
. ,
, ,
,
(
).

, ,
, ,
. .

321



(, ),
.

,
.

:
- ;
- ;
- ;
- ;
- ;
-

.

, ,

.

,
, .
,

. , :
- ;
-
, ;
- ;
322

- ;
- ;
-

.

, ,
, ,
. .

. ,

( 9126:). ,
:
- ;
- ;
- ;
- ;
- ;
-

.

, ,
, ,
. .

,
,
. ,
.
323


, ,
.
.
- . ,
, ..,
.
.
.
-

,
, ,
.
- .

.


, .

.
- .
,

..;

.
- . ,
, ,

324

.
- -
.
.


, ,
. .
- .
-

.

,
,
.
,
.
.
-

,
,
,

-
-

.
- .

325

.
-


,
.
- .
, ,
. /

,
.
-

.
/

,
, .

.
- .

326

, /

.
-


, .

,
,
, ,
, ,
.
.
- . ,
,
, .
- .

,
-
,
. .
- .
, , ,
,
.
327

- .

( ,
..), .
- .
,
- ,
, , .
- . ,
, .
, ,

, ,
,

, ,
.
-



.
- .

.
,
.
- .
, .

328

- .
, .
- .

(,

),


.
-

,
.
.
- .
, ,
,
,
.
,
, .
- .
( , )

.
- .

329

.
, .

,
,
. ,
.


, . ,
.
- .

.
- .
, ..
, ,


.
-

.

-

330


.
-
,

.
-

.


, , ,

,
. .
- .
-

.

,
,
.
,

.
.
331

,
,
,

.
- .

,


.
.
-


,
.
- .
, ,
. /

,
.
- .
,

, .
/

,
, .

,
332

.
,
, ,
. .
-


, /

.
-


, -
.

,
,
/ .
( )
.

,
.
.
- .

.
-

333

,
,
.
- . ,
,
,

.
-

.
(, )
,
- . ,

.
;
.
-

, ,
, ,
, .
- .
.

, , ,
, .
.
-
,

334

,
.

.
- . ,

.
-

, ,
, ,
, .
- .
.


.
.
- .
, ,
.
- .
, .
/ ,

,
.
- .

.
335


.
, ,

, ,
,
.

, ,
.
-



.
- .

.

,
.
- .
, .
- .
, .
- .

(,

),

336

- .

.

, ,


(, ).
.
- .
,

,
.
- .
.
- .


.
- .
,

.
.

337

.
.
- .
, ,
,
,
,
.
, ,
.
- .
( , )

.
- . ,

.

.
.
-

,
338

.

,

.
- . , ,
,
, - .

,
,
. ,
.
,
, ..
,
.
,

.

(
)
.
,
- .
.

.
.
339

- .
(
).
- .

.
- .
, .. -

),


.
-

,
.
- .

.
- .
,

340



, . ,
.
- .
,
, .
,
, ,
.
- .
, .. -

),

, .
.
- .

.


.
,
.
-

,
,
341


.
- .
; ,
, .
- . ,
,
.
,
-
/ .

.
- . ,
-

, ,
.
- .


.

342


.
-
,

.

,
,
. ,
, ,

, .
.
- .
-


.

,
,
.
,
.
.
-

,
343

,
,

.
- .

,


.
.
-


,
.
- .
, ,
. /

,
.
- .
,
, .
/
-
,
, .

.
.
.
344

- .

, /

.
- . ,
, .


.
.
- .

;
.
-

.
- .


.
- .

.

345

- .

.

-
.
- .
.
- .


, .


,
.
.
- .

.
- .

,
,

.
- . , ,
, ,

346

,
.
(, )
,
- . ,

.
;
.
-

, ,
, ,
, .
- .
, .. -
- ,
.

, , ,
,
. .
-
,

347

- . ,

.
- .


,
.

.
.
- .
, , ,
,
.
- .

( ,
..), .
- . ,
, .

.
.
- .

.

348

.
,
.
- . ,
,

.


.
.
- .
, ,
.
- .
, ,
-
.
. / ,

,
.
, ,

, ,
,
.
349


, ,
.
- .


.
- .

.

,
.
- .
, .
- .
.
- .

(,

),

, ,


(, ).
.
350

- .
,

, .
- .
,
.
- .


.
- .
,

.
.
-

,
,
.
.
- .
, ,
,
, .
351

,
, .
- .
( , )

.

.
.
-

.

,

.
- : , ,
, ,
- .
,
,
. ,
.
.
, ,
, ..

, ,
.
352



, ,
.

, ,
,

, , .
, .
,
.
.
. ,
.

.
, ,
, ,
,

,
,
, , .
,

353

, .

.
,
,

,
,
.

.

.
, ,
,


.
.
( )
/ 13335-4-2007

:
.
354

, ,

, .
:
(,
);
, ;
/ ;

.
8 ,
.
, (..
,
) .
.
,
,
.

( A H).

.
, -,
IT-Grundschutz
,

http://www.bsi.bund.de/gshb/english/menue.htm,
:
;
355

;
;
;
;
.

http://www.bsi.bund.de/ gshb/english/s/s1000.htm .

.
,
.
(IDS).
(IPS).
(VPN).
(Firewalls).
.
.
.
.

-.
.

.
.
PKI-.
.
.
.
356

.
.

.
.
.
.
.
().
.

().
USB-.
- .


( ,

),

(, )

.

357


.
.
,
,
.
1. . .
. .: , 1963.
2. .. . .:
., 1980.
3. ., ., . . .: , 1982.
4. Denning D. Cryptography and data security. Addison- Weslay
Publishing Company. 1982. 400 p.
5. . 76, 5. .
. .: , 1988.
6. Russel D., G.T.Gangemi Sr. Computer Security Basics. O`Reilli &
Associates, Inc., 1991. 448 p.
7. Jackson K., Hruska J. (Ed.) Computer Security Reference Book.
Butterworth-Heinemann Ltd., 1992. 932 p.
8. .., .. .
. .: , 1992. 191 .
9. . . .: , 1993.
10. ..
. .: , 1993. 188 c.
11. ..
. .: , 1994, . 1 2.
12. ., .
. .: , 1994.

358

13. .., .., ..


. .
: . .: , 1995. 112 .
14. .., .., ..
.
: . .: , 1995.
15. .. . -
. .: , 1995. 224 .
16. Garfinkel S. PGP: Pretly Good Privacy. OReilly and Associates,
Inc., 1995.
17. Stinson D. Cryptography: theory and practice. CRC Press, 1995.
18. Hoffman L. (Ed.) Building in big Brother: the cryptography policy
debate. Springer-Verlag NewYork. Inc., 1995. 560 p.
19. Kaufman C., Pelman R., Speciner M. Network Security PRIVATE
Communication in a PUBLIC World, Prentice-Hall, Inc.,1995.
20. .., ..
. .: , 1995. 116 .
21. .., .., ..,
..
.
, . 1, 2. .: , 1995. 44 .
22. Schneier B. Applied cryptography, second edition: protocols,
algorithms, and source code in C. J. Wiley & sons, Inc. 1996. 758 pp.
: . . ,
, . .: , 2002. 816 .
23. Menezes A., Van Oorschot P., Vanstone S. Handbook of Applied
cryptography. CRC Press, 1996. 816 .
24. .
. .. .: , 1996.

359

25. .., .. . .:
, 1996. 192 .
26. . . .:
, 1997. 480 .
27. .., .. .
.: , 1997. 538 .
28. .., ..
. .: , 1997.
29.

..

Oo

o-o

o. .: Oc-89, 1998. 336 c.


30. .., .., ..
. : , 1998. 328 .
31. .., .. . .
. .: , 1998.
198 .
32. .. Windows
NT. .: Channel Trading Ltd. 1999. 656 .
33.

..,

..,

..

. .: ,
1999. 328 .
34. .., .., ..
. : , 1999. 368 .
35. .., .., .., ..
, : ,
2000. 192 .
36. ., ..
. .: , 2000. 452 .
37. .., .. : Internet,
: . .: -, 2000. 527 .

360

38. .., .., ..


, : , 2000. 168 .
39. ..
. . .: , 2000. 248 .
40.

..

.:

, 2000. 400 .
41. . . .: -, 2000. 384 .
42. .. .
. .: , 2000. 448 .
43. . :
, 2- . .: , 2001. 672 .
44. .., .., .., ..
: . .: , 2001. 480 .
45. .., .., ..
.:
, 2001. 148 .
46. ..
. .: , 2001. 415 .
47. . . :
, 2001. 240 .
48. .., ..
. .: , 2001. 190 .
49. .., .., .., ..,
.. .
.: , 2001. 356 .
50. ..
. .: , 2002. 296.
51. .., .., ..
. .: , 2002. 432 .
361

52. . .
.: , 2002. 208 .
53. ., .
. . .: , 2002. 848 .
54. . : . .:
, 2002. 432 .
55. ..
: . .: , 2002. 399 .
56. ., . .
RSA Security. .: -, 2002. 384 .
57. .. . 2- .,
. .: , 2002. 256 .
58. .., ..
: . .:
. 2003. 296 .
59.

.,

. .: -, 2003. 752.
60. . .
.

2003.

http://lib.aldebaran.ru/author/shnaier_bryus/shnaier_

bryus_sekrety_i_lozh_bezopasnost_dannyh_v_cifrovom_mire/
61. .. : . .:
, 2003. 292 .
62.

..

. .: , 2003.
63. ..
. .: , 2003. 192 .
64. .., . .:
, 2004. 288 c.
65. .. :
. .: . , 2004. 328 .
362

66. .., ..
: .
.: , 2004. 144 .
67.

..

: : . .: ,
2004. 432 .
68.

..,

..,

..

: .
.: -, 2004. 479 . (8.10.
. . 35837).
69. .
. .: -89, 2004. 160 .
70. ., . . .:
, , 2004. 288 . (. 2002 .)
71. .., .. . :
. .: ,
2004. 204 .
72. .., .., ..
. .: -, 2004.
512 .
73. .., .., .., ..,
.. :
. .: , 2005. 240 .
74. :
/ . . .. . .: -, 2005.
439 . (6. .
. 192-221).
75. .., .., .., ..

: . .: , 2005. 192 .
363

76.

..

: .
.: I, 2005. 304 .
77. . : .: .
. .: , 2005. 768 c.
78. .., ..
. . ;
, 2005. 384 c.
79. .., .., .., ..,
.. : . .:
-, 2005. 272 .
80. .., ..
: . .: , 2005. 224 .
81. . . .: , 2005. 528 .
82. .. .
. .: -, 2005. 512 .
83. .. :
. .: -- .
, 2005. 608 .
84. ., . . .:
, 2005. 424 .
85. .., .. :
. .: ,
2006. 204 .
86. .., .., .., ..
: , .:
, 2006. 544 .
87. .. : .
.: -, 2006. 412.

364

88. .., ..
. .: , 2006. 400 .
89. .., .., .., ..
: . 2-
. 1 , , . .:
, 2006. 536 .
90. .. :
. .: . , 2006. 205 .
91. .., .. :
. .: : -, 2006. 368 .
92. .., .. :
,

, :

. .: , 2006. 528 .
93. . . .: :
; , 2006.
256 .
94. ... :
. .: , 2006. 471 .
95. .. .
.: , 2007. 360 .
96. .. 2006.
. , 2 2007. 6069 .
97. .. . .:
, 2007. 480 .
98. .. . .:
, 2007. 352 .
99. ..
. .: , 2008. 272 .

365

100. .. :
. --: , 2008. 253 .
101. ..
: . .: : -, 2008.
416 .

366

1.1. .
:

,
, . ,

.
:

,
;

, , .
, " ".
1.2. , ,

:

;

(,

, );
367

;

;

;

;

.

:

;

;

;
1.3. , ,
, .


368

, .

.
,
.
..,

.., ..

.: , 2001.,-148 .
.., .., .., ..
. , .:
, 2006.- 544 .
.. .
. - .: . , 2006. 205 .

..,

..

, :

. . .: , 2006.- 528 .
..
: . .- .: : -,2008.-416 .


. ,
,
369

,
,
.
. -,

.

.

,
,
.

, .

Information

CISA

CISSP,

Security

Certification

Consortium (ISC)2 - www.isc2.org ).


,

.


,
.


370

.

,

. , ,

.

, .

(,

, , , , )
(ISO, EC, ).
- ,
.
, ,

.
,
.

371

1.4.

(2 )

7 .

74

74

64

64

54

54

-10

-10

-10

-10

-
-


1.
3. ,
.
4. .
372

5. , , .
6. .
7. .
8. -
.
9. .
10. .
11. .
12.

13. .
14. - .
15.
16.

373


1. PGP.(/
APM, STCLite, Articsoft FileAssurity OpenPGP).
2. . .
3. ,
.
4. (XSpider)/
5. :
-ZIP/RAR ,
- PGP.
6 ftp.
7. firewall,
(, Atelier web firewall tester).
8.
(Visual watermark).
9. PC
(, pcAudit )
10. jpeg/bmp gif
mp3.
11.
. .

374


2.1.

,
.

,
.
:
- ;
- ,
;
-
;
- ;
- ;
- -
;
- ;
- , ;
- ;
375

-
;
- ;
- - ;
- ;
-
.
,

(information security).

2.2.

.
.
,
. , -
.

,
.

.
. ,
,
.

376

1
,
. ,

:
1. . .
. .: , 1963.
2. Hoffman L. Modern methods for computer security and privacy.
Prentice-Hall,Inc.,1977.
: ..
.-.:., 1980.
3. Hsiao D., Kerr D., Mednick S. Computer security. Academic Press,
1979.
: ., ., . . .:,1982.
4. Jackson K., Hruska J. (Ed.) Computer Security Reference Book.
Butterworth-Heinemann Ltd., 1992. - 932 pp.
5. Muftic S. Security Mechanisms for Computer Networks. Halsted Press.
: . . .:
, 1993.
6. .., .. .
.- .: , 1992.- 191 .
7. ..
. .: , 1993.- 188 c.
8. ..
. .: , 1994, . 1 2.
9. ., .
. .: , 1994.
377

10. .., .., ..


. .
. . . - .: , 1995.- 112 .
11. .., .., ..
.
. . - .: , 1995.
12. Schneier B. Applied cryptography, second edition: protocols,
algorithms, and source code in C. J. Wiley & sons, Inc. 1996.- 758 pp.
: . . ,
, .- .: , 2002. 816 .
13. Tiley E., Personal Computer Security, IDG Books Worldwide, 1996.
: . . .: . 1997. 480 .
14. .., .. .
.: , 1997 ., - 538 .
15. .., ..
. .: , 1997.
16. o .. Oo o-o
o. .: Oc-89, 1998.-336 c.
17. .., .., ..
. : , 1998. 328 .
18.

..,

..,

..

. .: , 1999.
328 .
19. .., .., ..
. : , 1999. 368 .
20. Stallings W. Network and Internetwork Security: principles and
practice, Second Edition, Prentice-Hall, Inc., 1999.- 459 pp.

378

: . :
, 2- . .: , 2001. 672 .
21. .., .., .., ..,
, : ,
2000. -192 .
22. ., ..
. .: 2000. 452 .
23. .., .. : Internet,
: . .: -, 2000. 527 .
24. .., .., ..
, : , 2000. -168 .
25. ..
. . .: , 2000, -248 .
26.

..

.:

, 2000., - 400 .
27. Windows 2000.
MCSE. .: . 2001. 912 .
28. .., .., .., ..
: . .: , 2001. 480 .
29. .., .., ..
.: , 2001.,-148 .
30. ..
. .: , 2001 ., - 415 .
31. ..
. - .: , 2002.-296.
32. .., .., ..
. .: , 2002. 432 .
33. Barman S. Writing Information Security Policies. 2001.

379

: .
. .: , 2002.- 208 .
34. ., .
. . .: , 2002. 848 .
35. Smith R. Authenticaton: From Passwords to Public Keys. NY:
Addison-Wesley Publishing Company, Inc., 2002.
: . :
. .: , 2002. 432 .
36. ..
. . . .: , 2002.-399 .
37. .., ..
: . . .:
. 2003.- 296 .
38.

.,

. - .: -, 2003.-752.
39. . .
. - : 2003. http://lib.aldebaran.ru/author/shnaier_bryus/shnaier_bryus_
sekrety_i_lozh_bezopasnost_dannyh_v_cifrovom_mire/
40. .., .- .:
- , 2004.-288 c.
41. .. .
. .: . , 2004. 328 .
42. .., ..
: .
.: , 2004.- 144 .
43.

..

: : .- .: ,
2004. 432 .
44.

..,

..,

..

: . . .:
380

2004.-479.(8.10.

. 358-371.)
45. .
. .: -89, 2004.-160 .
46. .., .., .., ..,
.. :
. .- .: , 2005.-240 .
47. : .
/ .. .. . .: -, 2005.-439. (6.
, 192-221 .)
48. .., .., .., ..

: . . .: , 2005.- 192 .
49.

..

: .
.: I, 2005.-304 .
50. . : .: .
.- .: , 2005. 768 c.
51. .., ..
. . ;
, 2005.-384 c.
52. .., .., .., ..,
.. : // -.:
-, 2005.-272 .
53. .., ..
: . . .: , 2005.- 224 .
54. .., .. :
. .: ,
2006.-204 .

381

55. .., .., .., ..


. , .:
, 2006.- 544 .
56. .. : . . - .:
-, 2006.-412.
57. .., ..
. .: , 2006. 400 .
58. .., .., .., ..
: . . 2-
. 1 , , .

.:

, 2006. 536 .
59. .. .
. - .: . , 2006. 205 .
60. .., .. .
. .: : -. 2006. 368 .
61. .., .. :
,

, :

. . .: , 2006.- 528 .
62. .. .
.: , 2007.- 360 .
63. ..
: . .- .: : -,2008.
416 .

64. Denning D. Cryptography and data security. Addison- Weslay
Publishing Company. 1982,- 400 pp.
65. .76, 5. .
. .: , 1988.

382

66. Russel D., G.T.Gangemi Sr. Computer Security Basics. O`Reilli &
Associates, Inc., 1991. 448 pp.
67. .. . -
. .: , 1995. 224 .68. Garfinkel S. PGP: Pretly Good Privacy. OReilly and Associates,
Inc., 1995.
69. Stinson D. Cryptography: theory and practice. CRC Press, 1995.
70. Hoffman L. (Ed.) Building in big Brother: the cryptography policy
debate. Springer-Verlag NewYork. Inc. , 1995.- 560 pp.
71. Kaufman C., Pelman R., Speciner M. Network Security PRIVATE
Communication in a PUBLIC World, Prentice-Hall, Inc.,1995.
72. Wayner P. Digital Cash, AP Professional, 1995.
73. .., ..
. .: , 1995.- 116 .
74. .., .., ..,
..
.
, .1 ,.2. .: , 1995. 44 ., - 38.
75. Menezes A., Van Oorschot P., Vanstone S. Handbook of Applied
cryptography. CRC Press, 1996.- 816 .
76. .
. .. .: , 1996.
77. .., .. . .
. .: , 1998.198 .
78. Edvards M.J. Internet security with Windows NT.- DUKE PRESS,
1998.
: ..
Windows NT. .: Channel Trading Ltd. 1999. 656 .

383

79. . . .: -, 2000.- 384 .


80. .. .
. .:, 2000. 448 .
81. Burnet S., Paine S. RSA Security`s Official Guide to Cryptography.NY.: The McGraw-Hill Companies, 2001.
: ., . .
RSA Security.- .: -, 2002. 384 .
82. . . :
, 2001. 240 .
83. .., ..
. .:, 2001. 190 .
84. .., .., .., ..,
.. . _
.: , 2001. 356 .
85. .. . 2- .,
. .: , 2002. 256 .
86. .. . . .:
. 2003, - 292 .
87.

..

. .: , 2003.
88. ..
. .: , 2003.- 192 .
89. ., . . .:
, , 2004. 288 .(. 2002 .)
90. . . .: , 2005.- 528 .
91. . .- .-:
; , 2006.-256.
92. ... .
. .; , 2006, 471 .
384

93. .. . .:
, 2007.- 480.
2.3.

.
.
:
10. .., .., ..
. .
. . . - .: , 1995.- 112 .
29. .., .., ..
.: , 2001.,-148 .
55. .., .., .., ..
. , .:
, 2006.- 544 .
57. .., ..
. .: , 2006. 400 .
59. .. .
. - .: . , 2006. 205 .
61. .., .. :
,

, :

. . .: , 2006.- 528 .
63. ..
: . .- .: : -,2008.416 .

385

:
9. ., .
. .: , 1994.
16.

..

Oo

o-o

o. .: Oc-89, 1998.-336 c.
18.

..,

..,

..

. .: , 1999.
328 .
22. ., ..
. .: 2000. 452 .
24. .., .., ..
, : , 2000. -168 .
30. ..
. .: , 2001 ., - 415 .
31. ..
. - .: , 2002.-296.
32. .., .., ..
. .: , 2002. 432 .
38.

.,

. - .: -, 2003.-752.
39. . .
. - : 2003.
2.4. , ,


,
.
.
386

USENIX Security Symposium.


IEEE Symposium on Security and Privacy.
ACM Conference on Computer and Communications Security (CCS).
ISOC Network and Distributed System Security Symposium (NDSS).
International Symposium on Recent Advances in Intrusion Detection
(RAID).
GI International Conference on Detection of Intrusions & Malware, and
Vulnerability Assessment (DIMVA).
Annual EICAR Conference.
Annual Computer Security Applications Conference (ACSAC).
International Conference on Applied Cryptography and Network Security
(ACNS).
ACM Symposium on Information, Computer and Communications
Security (ASIACCS).
European Symposium on Research in Computer Security (ESORICS).
Financial Cryptography and Data Security (FC).
ACM Workshop on Recurring Malcode (WORM).
DEFCON.
BlackHat.
The Virus Bulletin International Conference.
AVAR International Conference.
CanSecWest and EuSecWest Conferences.
Hack In The Box (HITB) Conference.
RSA Conference.
Chaos Communication Congress (CCC).

http://www.springerlink.com/ .
387

.
1. O oo o-
o . (Traitor Tracing)
2. oo oo o o
ooo oo ooooo. (Timestamping)
3. O o o o. (Watermarking)
4. O o o
.
5. .
6. .
7. .
8.

.
9.

.
10.

388

2.5.

1. C,

(3)
.
.

.
. .
. . .
.
, .
.
.

. -.
2. , .
. (3 )
, , ,
.

.
.
.

389

3.

.
(3)

.
. , ,
.
4. .
. (3)
. . :
1)

2) ( )
;

3)

) ,
. : ,
. . :
,

. .
.
. ,

390

: CRAMM, RiskWatch, COBRA, Buddy System, RA Software Tool,


.
5. ,
. (3)

1) ; 2) ;
3) ; 4)
.

.
. : ,
, .
.

6.

. (3)

-. IBM.

.
.


. . ,
, . ,

391

7. .
. (2)
.
, , .
. .
.
.
. .

. .
.

.
.
.
.
.
8.
(2 )
()
() . . .
.
. .
. .

392

9. (2 )
()
.

. .

(). .
. .

.
.

10.

. (3 )
.

, .

.
.
, ,
. ,
.

393

11.

. (3 )
-

()

().
. .
. - .
12. (3 )

, . .
. ,
.
. .

.
.
.

.
.

. -
.
13. (3 )

():

- .
394

.
.
.
: , , .
. . .
.
:
.
. .
.
14. .
(3 )
().

,
.

.
, .
.
().
. .
DES, AES(Rijndael), 28147-89.
.
.
.
. .
(). RSA.

395

.
DSS, 34,10-94, 34.10-2001.
. .
.

.
.509.

: PGP, , -, Inter-PRO, .

15.

(3 )
. .
. .
. .
.
16. (4 )
Internet Intranet.
.
ISO/OSI.
. .
.
. .
. .

396

VPN.

. VPN.
. PPTP, L2TP,
SSL/TLS, SOCKS.
. IPSEC.
, IPSEC.
.
.
.
.
IDS. IDS. .
.

17.

(3 )
-
.
.

. ,
.

.
.

.
, ,

.
. -
.

397

18. (3 )

.
.

.
. / 15408-2002,
. .
. ISO/IEC 17799: 2002 (BS
7799:2000). ISO/IEC 27001. BSI. SysTrust,
SCORE, GIAC.

.
.
.
19.
(2 )
. .
. .
. :

. , - .
: ,
, .

398

1.
-

, , :
www.kremlin.ru , www.duma.gov.ru, www.cryptopro.ru , www.infotex.ru
3
: , .
, .

-
94. , (, 22 2000 ).
95. ,
(ETS 185) (, 23 2001 .)
96.
(ETS N 108)
(, 28 1981 ),
97. .
WSIS-03/GENEVA/DOC/4-R 12 2003

,
98. .
WSIS-03/GENEVA/DOC/5-R 12 2003 ,
99.

- . . 13 1992 .,
100.
. . 12 1995 .,
101. . . -
26 2002 27 2002 .,
102. N 26

(ECE/TRADE/208; ECE/TRADE/WP.4/R.1133/Rev.l)

). . 1995 .
,
103. NR(92)16
. 19 1992 .;
104. (
,
,

,
,
-
, ). .
22 2001 .,
105. . . 07.06.2002 .

399

106.

. . 5 2003 .,
107.
XXI . .
2 1998 .,
108. , (ETS 196)
(1.06.07.).
- , ,
,
109. .
.- 26 2002 . 19-7 19-
- ,
110. . .- 16
1999 . 14-19 14-
,
111. 7

. 29
2003 .,
112. -
- , , , (

..., ). 28
1999 . 24 ;
113.
. 29 2003 7
,
114.

. . 7
2002 .;
115.
-
. . 4 1999 .;
116.
. . 18
1996 .;
117.
. . 04
1999 .;
118.
. . 18
1996 .;
119.
() -
. . 18 2003 .,
400

120.
x .
. 18 1996 .,
121.
-
-
2005 ( ...,
,
...
). . 29 2001 .,
122.

.
. 25 1998 .,
123.
-
. . 7 2002 .,
124.
-
-
( ) (
..., ..., -
...). . 7 2002 .,
125.
(- ). . - 1 2003 .
-
,
126.
. . 5 2002 .,
127.
- .
. 25 1998 .,
128. ,
,
-
. . - 30 1998 .;
129.
. .
18 1996 .,
130. , , ,
, , , , ,
. . 9 1992
.,
131.
, -
(
...,
...). . 24
1999 . 28 2002 . 356,
132. -
(
401


...). . - 14
2001 .,
133. "
-
,
, "
( " -
") . 16
2004 .
-
, ,

134. 12 1993 . (
9 2001 .),
21 1994 . 1-
,
135. (
22 1991 .),

136. ( 13
1996 . N 63- ),
( : 30
1994 . 51- 1 ; 26 1996 . 14- 2 ; 26
2001 . 146- 3 , 18.12.2006 230- 4 -358 .),
137. (
14 2002 . 138-),
138. (
24 2002 . 95-),
139. - (
18 2001 . 174-),
140. (
18 1993 . 5221-1),
141. ( 1,
146- 31 1998 ., 2,
118- 5 2000 .),
142.
( 30 2001 . 195-),
143. (
30.12.2001. 197-),

144. 3 1995 . 40-


( ),
145. 12 1995 . 144- ,

402

146. 21 1994 . 68-



,
147. 3 1996 . 17-
,
148. 27 1991 . 2124-I
,
149. 9 1993 . 5351-I
,
150. 18 1991 . 1026-I ( ),
151. 13 1995 . 7-

,
152. 29 1994 . 77- "
",
153. 23 1992 . 3517-1
,
154. 23 1992 . 3520-1 ,
,
155. 23 1992 . 3523-1
,
156. 22 2004 . 125-
,
157. 29.07.2004. 98- " ",
158. 10 2002 . 1- "
",
159. 8 2001. 128- "
",
160. 23 1996 . 127- "
- ",
161. 4 1996 . 85- "
", ( )
162. 24 1995 . 213- "
",
163. 27.07.2006 149- ,
( 20
1995 . 24- " ,
"),
164. 7 2003 . 126- " ",
165. 21 1993 . 5485-1 " ",
166. 10 1996 . 5- ,
167. 27 2002 . 184-
,
168. 25 2002 . 114-
,
169. 23 1992 . 3526-1 "
",
170. 5 1992 . 2446-1 ,
171. 22 1996 . 39-
,
172. 26 1997 . 125-
,
403

173. 31 2002 . 63-


,
174. 22 1992 . 4180-1
() ,
175. 27 1992 . 4015-1
,
176. 22 1991 . 948-1
( ),
177. 18 1995 . 108- ,
178.
07.02.1992. 2300-1 (. 30.12.2001.);
179.
( 22 1993 . 5487-1),
( ),
180. (
11 1993 . 4462-1), ( ),
181. 30.12.2004 . 218-
,
182. 21.07.2005 . 110-
183. ,
184. 06 2006 . 35-
,
185. 27 2006 . 153-

186.

,
187. 09 2007 . 16-
.
,
188. ,
( 9 2000 -1895),
189. 28 1993 . 966
,
190. 30 1995 . 1203
, ,
191. 24 1998 . 61 ,
,
192. 12 2004 . 611

,
193. 14 1992 . 20
,
194. 8 1995 1108
,
195. 20 1996 71
,

,
196. 1 1999 . 1467

404

( 5 2001 .),

197. 3 1995 . 334


, ,
,
,
198. 20 1994 . 170
,
199. 8 1993 . 644
-
,
200. 9 1996 . 21
, , ,
, ,
,
( 30.12.2000.)
201. 16 2004 . 1085
,
202. 31 1993 . 2334
,
203. 10 2000 . 24
,
204. 17 1997 . 1300 "
",
205. 20 1996 . 71
,
206. 20 2004 . 649
,
207. 6 1997 . 188
,
208. 16 2005 . 151-
,

,
.

209. 30 2001 . 647
,
,
, ,
,
,
210. 29 2001 . 633
,

,
211. 11 2002 . 135
,

405

212. 23 2002 . 691


,
() ,
213. 13 1999 . 1384

,
214. 28 1996 . 226
,
215. 26 1995 . 608
,
216. 30 2002 . 290

,
217. 26 2004 . 311

,
218. 30 2004 . 319

,
219. 28 2002 . 65
(2002-2010 ),
220. 12 2003 . 98

,
221. 18 2005 . 87 "
, ,
",
222. 3 1994 . 1233


,
223. 15 1995 . 333
,
, ,
, ,
()
,
224. 1 1996 . 770

, -
, , , ,
,
, (,
,
)

, ,
(, , )
,
225. 9 1995 . 578

,

406

226. 30 2004 . 318


,
227. 27 2005 . 1314-

()
,
228. 28 1995. 1050



,
229. 15 1993 . 912-51

230. 4 1995 . 870


,
,
, ,
,
231. 27 2002 . 348
()

() ,
232. 17 2004 . 301

,
233. 5 1991 . 35
, ,
234. 27.04.2005 260 "
-
, -
" ( "


", "

- ,
-
").
,


235. . 9
2005 . 66 , ,
()
( -2005).
236. . 13
1999 . 564
,
407

, (
-),
237. .
,
,
, (
23 1995 . 28),
238.
.

24 1994 . 10
( 24 1997 . 60);
239.
(N POCC RU.0001.03001).

28 1993 .,
15 1993 .
240.
13 2001 . 152
(pe 6 2001 . 2848)
,

, ,

,

, ,
,

(),
( )
241. .
.
. ,
242. ,


. ,
243. ,


. ,
244. . .
. ,
245. .
. ,
246. . 1.
.
.
,
408

247. .
. 1. 2. 3.
,
248. ,
()
.
17 1995 .
249.

.
,
250. 3 1995 . 42


,
251.
.
25 1994 .
252.

. 25
1994 .
253.
.
5 1996 3,
254.
.
5 1996 3,
255. .
5 1996 3,
256. ,
(N RU.0001.0100);
257.
.


27.04.1994. 10;
258.
.
27.10.1995. 199;
259.
.
25 1994 .,
260. ,
, (97) 23 1997 . 55,
261. .
.
. ,
262. . .
.
.
.
409

263. . .
- ,
.
;
264. -
(
),
265. .
, .
,
266.
.
24
1994 . 10 ( 24 1997 . 60);

267. ,
21 2000 . 10,

,
268. 1.1.8-90
. ()
. ,

269. 29
1979 . -1-4
, -
,
270. 19
1994 . 1-7/-587 ( 12 1996 .)
, - .
IV. ,
,
()
271. 7
1995 . 1-7/03-316 ,
,
,
272. 50739-95. .
. .
273. 50922-96 . ,
274. 51000.5
,
275. 52069.0-2003 . .
,
276. 51188-98
. ,
410

277. 51583-2000 .
,
278. 51624-2000 .
,
279. 51275-99 . .
, . ,
280. 34.10-94 .
.
,
281. 34.11-94 .
. ,
282.

28147-89

. ,
283. 51898-2002 .
,
284. 51897-2002 . ,
285. 26883-86. .
,
286. 15971-90 .
,
287. 7498-1-99. .
. . 1. ,
288. 7498-2-99. .
. . 2.
,
289. / 15408-1-2000 .
.
. 1. ,
290. / 15408-2-2000 .
.
. 2.
,
291. / 15408-3-2000 .
.
. 3. ,
292. / 27001: 2005. .

. .
293. -1.0-2004

,
294. 45.127-99
. ,
295. 1 00464-97.
. .

http://www.cbr.ru/credit/Gubzi_docs/main.asp?Prtid=Stnd
296. :"
.
" ( -1.1-2007)
411

297. :"
.

-1.0-2006" (
-1.2-2007)
298.
( -1.0-2006)
299.
( -1.0-2004)

412