Постановка проблемы. Резкое увеличение количества компьютерных атак во всех сферах применения вычислительной тех-ники, фиксируемое в цивилизованных странах мира, неизбежно ведет к росту вероятности крупных техногенных катастроф.
Все чаще нападению подвергаются не автоматизированные информационные системы (АИС), а киберфизические системы, то есть комплексные системы, в которых интегрированы вычислительные и физические сущности, что, в свою очередь, усложняет обеспечение зашиты информации, с которой они работают.
Мировым сообществом постоянно принимаются организационные и технические меры по обеспечению защиты от компьютерных атак и их предотвращению. Согласно действующей нормативной базе, информационные системы, как таковые, и телекоммуни-кационные сети определяются как объекты критической информационной инфраструктуры (КИИ), а субъектами КИИ являются организации всех организационно-правовых форм, которым эти системы и сети принадлежат. Для обеспечения безопасности объектов КИИ создаются системы безопасности, требования к которым содержатся в ряде нормативных документов.
К объектам КИИ должны быть отнесены все АИС и автоматизированные системы управления (АСУ) производственным процессом (АСУПП), работающие в научной сфере. В частности, автоматизированные системы, обслуживающие экспериментальные установки, во многих случаях должны быть отнесены к значимым объектам КИИ.
Задачами обеспечения безопасности этих объектов являются предотвращение неправомерного доступа к информации, обра-батываемой объектом, недопущение вредоносного информационного воздействия на программные и программно-аппаратные средства, обеспечение функционирования объекта в условиях воздействия угроз безопасности информации, обеспечение возможности восстановления функционирования. При этом объектами защиты являются в случае АИС обрабатываемая ин-формация, программные и программно-аппаратные средства, средства защиты информации (СЗИ), архитектура и конфигурация АИС, а в случае АСУ также информация о параметрах управляемого объекта или процесса, включая управляющую и контрольно-измерительную информацию.
При наличии в институте комплексной системы управления, объединяющей все работающие информационные системы, зна-чительная часть СЗИ, необходимых для обеспечения информационной безопасности, может быть реализована на ее уровне. Аналогично может быть обеспечена безопасность значимых объектов КИИ. В частности, администрирование базы данных пользователей, управление доступом, идентификация и ауте...