Так же как и для структурной технологии программирования, концепцию модульного программирования можно сформулировать в виде нескольких понятий и положений: Функциональная декомпозиция задачи - разбиение большой задачи на ряд более мелких, функционально самостоятельных подзадач - модулей. Модули связаны между собой только по входным и выходным данным.

Модуль - основа концепции модульного программирования. Каждый модуль в функциональной декомпозиции представляет собой "черный ящик" с одним входом и одним выходом. Модульный подход позволяет безболезненно производить модернизацию программы в процессе ее эксплуатации и облегчает ее сопровождение. Дополнительно модульный подход позволяет разрабатывать части программ одного проекта на разных языках программирования, после чего с помощью компоновочных средств объединять их в единый загрузочный модуль.

Реализуемые решения должны быть простыми и ясными. Если назначение модуля непонятно, то это говорит о том, что декомпозиция начальной или промежуточной задачи была проведена недостаточно качественно. В этом случае необходимо еще раз проанализировать задачу и, возможно, провести дополнительное разбиение на подзадачи. При наличии сложных мест в проекте их нужно подробнее документировать с помощью продуманной системы комментариев. Этот процесс нужно продолжать до тех пор, пока действительно не удастся добиться ясного понимания назначения всех модулей задачи и их оптимального сочетания. Назначение всех переменных модуля должно быть описано с помощью комментариев по мере их определения.

Метод предполагает последовательное разложение функции обработки данных на простые функциональные элементы ("сверху вниз"). В результате строится иерархическая схема, которая отражает состав и взаимоподчиненность отдельных функций. Она носит название функциональная структура алгоритма (ФСА) приложения, в которой отражаются:

• цели предметной области (цель-подцель);
• состав приложений (задач обработки), обеспечивающих реализацию поставленных целей;
• характер взаимосвязи приложений с их основными характеристиками;
• функции обработки данных.

Подобная структура отражает состав и взаимосвязь функций обработки информации для реализации приложений, не раскрывая логику выполнения каждой отдельной функции. Разложение должно носить строго функциональный характер, т.е. отдельный элемент ФСА описывает законченную содержательную функцию обработки информации, которая предполагает определенный способ реализации на программном уровне. Функции ввода/вывода информации отделяют от функций вычислительной или логической обработки данных. Некоторые функции например Ф2, ФМ далее неразложимы на составляющие, они предполагают непосредственную программную реализацию. Другие функции Ф2... могут быть представлены в виде структурного объединения более простых функций, например ФИ, Ф12 .. Для всех функций-компонентов осуществляется самостоятельная программная реализация, составные функции типа Ф1, ФМ реализуются как программные модули, управляющие функциями - компонентами, например, в виде программ-меню. По частоте использования функции делятся на однократно выполняемые и повторяющиеся.

Структурное программирование - методология программирования, базирующаяся на системном подходе к анализу, проектированию и реализации программного обеспечения. Эта методология родилась в начале 70-х годов и оказалась настолько жизнеспособной, что и до сих пор является основной в большом количестве проектов. Основу этой технологии составляют следующие положения:

Сложная задача разбивается на более мелкие, функционально лучше управляемые задачи. Каждая задача имеет один вход и один выход. В этом случае управляющий поток программы состоит из совокупности элементарных подзадач с ясным функциональным назначением.

Простота управляющих структур, используемых в задаче. Это положение означает, что логически задача должна состоять из минимальной, функционально полной совокупности достаточно простых управляющих структур. В качестве примера такой системы можно привести алгебру логики, в которой каждая функция может быть выражена через функционально полную систему: дизъюнкцию, конъюнкцию и отрицание.

Разработка программы должна вестись поэтапно. На каждом этапе должно решаться ограниченное число четко поставленных задач с ясным пониманием их значения и роли в контексте всей задачи. Если такое понимание не достигается, это говорит о том, что данный этап слишком велик, и его нужно разделить на более элементарные шаги. Согласно требованиям структурного программирования, наиболее часто детально проработанные алгоритмы изображаются в виде блок-схемы. При их разработке используются условные обозначения согласно ГОСТу («следование», «ветвление», «цикл»)

Под государственной системой защиты информации понимается совокупность федеральных и иных органов управления и взаимоувязанных правовых, организационных и технических мер, осуществляемых на различных уровнях управления и реализации информационных отношений и направленных на обеспечение безопасности информационных ресурсов

Основными задачами государственной системы защиты информации являются:

• проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности;
• исключение или существенное затруднение добывания информации техническими средствами разведки, а также предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных программно-технических воздействий с целью уничтожения или искажения информации в процессе ее обработки, передачи и хранения;
• принятие в пределах компетенции правовых актов, регулирующих отношения в области защиты информации;
• анализ состояния и прогнозирование возможностей технических средств разведки и способов их применения;
• создание средств защиты информации и контроля за эффективностью защиты;
• контроль состояния защиты информации в органах государственной власти и на предприятиях.

Общая организация и координация работ в стране по защите информации, обрабатываемой техническими средствами, осуществляется коллегиальным органом — Государственной технической комиссией России.

В ее состав входят руководители федеральных органов государственного управления, определяющих научно-техническую и финансовую политику по защите информации, или их первые заместители.

Деятельность Гостехкомиссии России осуществляется на основе коллективного принятия членами Комиссии решений по важнейшим вопросам защиты информации, рассматриваемым на ее заседаниях. Гостехкомиссия России в пределах своей компетенции:

• формирует общую стратегию и определяет приоритетные направления защиты информации в жизненно важных сферах деятельности государства с целью предотвращения ущерба интересам страны;
• определяет основные направления исследований, рассматривает и утверждает концепции, требования, нормы и другие нормативно-технические и методические документы;
• рассматривает и представляет на утверждение Правительству проекты государственных программ по защите информации;
• заслушивает руководителей министерств и ведомств, государственных предприятий и объединении, главных конструкторов по вопросам, связанным с защитой информации, и осуществляет другие важные функции.

Центральный аппарат Гостехкомиссии России в пределах своей компетенции:

• организует работу по оценке сил, средств и возможностей технических разведок, осведомленности противника о защищаемых сведениях;
• осуществляет координацию работ по защите информации в информационных системах, средствах и системах связи и управления;
• выполняет функции государственного заказчика работ, проводимых в рамках государственных программ по защите информации;
• организует работу по осуществлению государственного лицензирования деятельности по защите информации, проведению сертификации средств защиты информации, аттестованию объектов информатики по требованиям безопасности информации в пределах компетенции, определенной нормативными актами;
• проверяет организацию защиты информации в органах государственного управления, на предприятиях, войсковых частях; контролирует с применением технических средств эффективность защиты информации и выполняет другие функции.

Федеральная служба безопасности контролирует обеспечение в органах государственного управления и на предприятиях, ведущих работы по оборонной и иной секретной тематике, организационно-режимных мероприятий, участвует в лицензировании деятельности предприятий по проведению работ, связанных с использованием сведений, составляющих государственную тайну, организует и координирует в стране деятельность по созданию, оценке эффективности и эксплуатации криптографических СЗИ, обрабатываемой средствами вычислительной техники и передаваемой по каналам связи, а также организует работы по предотвращению ущерба за счет возможно внедренных в средства и объекты информатики закладных устройств.

Госстандарт выступает в качестве национального органа по стандартизации и сертификации продукции.

Другие органы государственного управления (министерства, ведомства) в пределах своей компетенции:

• определяют перечень охраняемых сведений;
• обеспечивают разработку и осуществление технически и экономически обоснованных мер по защите информации на подведомственных предприятиях;
• организуют и координируют проведение НИОКР в области защиты информации в соответствии с государственными (отраслевыми) программами;
• разрабатывают по согласованию с Гостехкомиссией отраслевые документы по защите информации;
• контролируют выполнение на предприятиях отрасли установленных норм и требований по защите информации;
• создают отраслевые центры по защите информации и контролю эффективности принимаемых мер;
• организуют подготовку и повышение квалификации специалистов по защите информации.

На предприятиях, выполняющих оборонные и иные секретные работы, функционируют научно-технические подразделения защиты информации и контроля, координирующие деятельность в этом направлении научных и производственных структурных подразделений предприятия, участвующие в разработке и реализации мер по защите информации, контролирующие эффективность этих мер.

Кроме того, в отраслях промышленности и в регионах страны создаются и функционируют лицензионные центры, осуществляющие организацию и контроль за лицензионной деятельностью в области оказания услуг по защите информации, органы по сертификации средств защиты информации и испытательные центры по сертификации конкретных видов продукции по требованиям безопасности информации, органы по аттестации объектов информатики.

Подготовку молодых специалистов в области защиты информации проводят на кафедрах вычислительной техники и АСУ вузов и высших военных учебных заведении, а повышение квалификации — в отраслевых институтах повышения квалификации.

1. Конституция РФ:

Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих гос. тайну, определяется федеральным законом

«О государственной тайне» (ст. 29).

2. Кодекс РФ об административных правонарушениях

Ст. 13.12 определяет ответственность за нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации, составляющей гос. тайну. Также данной статьей устанавливается наказание за использование несертифицированных ИС, баз и банков данных, средств защиты информации, составляющей гос. тайну, если они подлежат обязательной сертификации.

Ст. 13.13 устанавливает ответственность за занятие видами деятельности в области защиты информации, составляющей гос. тайну без лицензии.

3. Уголовный кодекс РФ

Ст. 275, 276 устанавливает ответственность за выдачу гос. тайны в рамках гос. измены. Ст. 275 предусматривает освобождение от уголовной ответственности, если лицо, выдавшее гос. тайну иностранному государству, добровольно и своевременно сообщило о своем преступлении органам власти или способствовало предотвращению ущерба.

Ст. 283 устанавливает ответственность за разглашение гос. тайны, лицом, которому она была доверена или стала известна по или работе, если эти сведения стали достоянием других лиц, при отсутствии признаков государственной измены. Также определяется мера наказания за то же деяние, повлекшее по неосторожности тяжкие последствия.

Ст. 284 устанавливает ответственность за нарушение лицом, имеющим допуск к гос. тайне, правил обращения с содержащими гос. тайну документами или с предметами, сведения о которых составляют гос. тайну, если это повлекло по неосторожности их утрату и наступление тяжких последствий.

4. Патентный закон РФ

Ст. 30.2 определяет, что, если при рассмотрении в федеральном органе исполнительной власти по интеллектуальной собственности заявки на изобретение будет установлено, что содержащиеся в ней сведения составляют гос. тайну, заявка на изобретение засекречивается и считается заявкой на выдачу патента на секретное изобретение.

5. ФЗ

«Об архивном деле в РФ»

Ст. 25 указывает на то, что ограничивается доступ к архивным документам, независимо от их форм собственности, содержащим гос. и иную тайну, а также к подлинникам особо ценных документов, в т.ч. уникальных документов, и документам Архивного фонда РФ, признанным находящимися в неудовлетворительном физическом состоянии.

6. Закон о гос. тайне

Закон регулирует отношения, возникающие в связи с отнесением сведений к гос. тайне, их засекречиванием и защитой в интересах безопасности РФ.

В законе понятие гос. тайна определяется как защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ.

Система защиты гос. тайны – совокупность органов защиты гос. тайны, используемых ими средств, методов и мероприятий по защите сведений, составляющих гос. тайну, и их носителей.

Допуск к гос. тайне – процедура оформления права граждан на доступ к сведениям, составляющим гос.тайну, а предприятий, учреждений и организаций–на проведение работ с использованием таких сведений.

Доступ к сведениям, составляющим гос. тайну – санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими гос. тайну.

Гриф секретности - реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него;

Средства защиты информации - технические, криптографические, программные и др. средства для защиты сведений, составляющих гос. тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

В соответствии с возможной заинтересованностью различных субъектов информационных отношений существует четыре основных способа нанесения им ущерба посредством разного рода воздействий на информацию и системы ее обработки:

1) нарушение конфиденциальности (раскрытие) информации;

2)нарушение целостности информации (ее полное или частичное уничтожение, искажение, фальсификация, дезинформация);

3) нарушение (частичное или полное) работоспособности системы. Вывод из строя или неправомерное изменение режимов работы компонентов системы обработки информации, их модификация или подмена могут  приводить к получению неверных результатов расчетов, отказам системы от потока информации (непризнанию одной из взаимодействующих сторон факта передачи или приема сообщений) и/или отказам в обслуживании конечных пользователей;

4)несанкционированное тиражирование открытой информации (не являющейся конфиденциальной), например, программ, баз данных, разного рода документации, литературных произведений и т.д. в нарушение прав собственников информации, авторских прав и т.п. Информация, обладая свойствами материальных объектов, имеет такую особенность, как неисчерпаемость ресурса, что существенно затрудняет контроль за ее тиражированием.

5) Нарушение доступности информации.

Предлагаемый порядок определяет требования к защищенности циркулирующей в системе информации представлен ниже:

1. Составляется общий перечень типов информационных пакетов, циркулирующих в системе (документов, таблиц). 

2. Затем для каждого типа пакетов, и каждого критического свойства информации (доступности, целостности, конфиденциальности) определяется (методом экспертных оценок):

1)перечень и важность (значимость по отдельной шкале) субъектов, интересы кот. затрагиваются при нарушении данного свойства информации;

2) уровень наносимого им при этом ущерба (незначительный, малый, средний, большой, очень большой и т.п.) и соответствий уровень требований к защищенности.

3. Для каждого типа информационных пакетов с учетом значимости субъектов и уровней наносимого им ущерба устанавливается степень необходимой защищенности по каждому из свойств информации (при равенстве значимости субъектов выбирается максимальное значение уровня).

Компьюютерный вирус — разновидность компьютерных программ или вредоносный код, отличительным признаком которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру.

Вирусы распространяются, копируя свое тело и обеспечивая его последующее исполнение: внедряя себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск и другое. Вирусом или его носителем могут быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды — например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы. Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программном обеспечении (например, Adobe Flash, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты и т.д.) вместе с эксплоитом, использующим уязвимость.

Можно заразиться через:

• Дискеты (устарело)
• Флешки
• Жлектронная почта
• Чаты типа ICQ
• Веб-страницы
• Дыры в ОС и прочие баги (так называемые черви)

Виды вирусов:

http://wiki.drweb.com/index.php/Виды_(типы)_вирусов

Нарушитель - лицо, предпринявшее попытки выполнения запрещенных операций по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и тд) и использующее для этого различные возможности, методы и средства. Злоумышленник - нарушитель намеренно идущий на нарушение из корыстных побуждений.

Можно выделить три основных мотива нарушений: безответственность, самоутверждение и корыстный интерес.

При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности.

Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру "пользователь — против системы" ради самоутверждения либо в собственных глазах, либо в глазах коллег.

Нарушение безопасности ИС может быть вызвано и корыстным интересам пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему зашиты для доступа к хранимой, передаваемой и обрабатываемой в ИС информации. Даже если ИС имеет средства, чрезвычайно усложняющие проникновение, полностью защитить ее от этого практически невозможно.

Всех нарушителей можно классифицировать следующим образом.

По уровню знаний об ИС:

•  знает функциональные особенности ИС, основные закономерности формировании в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами:
• обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;
• обладает высоким уровнем знаний в области программировании и вычислительной техники, проектировании и эксплуатации автоматизированных информационных систем;
• знает структуру, функции и механизм действии средств зашиты, их сильные и слабые стороны.

• применяющий чисто агентурные методы получения сведений:
• применяющий пассивные средства (технические средства перехвата без модификации компоненгов системы);
• использующий только штатные средства и недостатки систем зашиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные машинные носители информации, которые могут быть скрытно пронесены через посты охраны;
• применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).

По времени действия:

•             в процессе функционирования ИС (во время работы компонентов системы):

•             в период пассивности компонентов системы (нерабочее время, плановые перерывы в работе, перерывы дли обслуживании и ремонта и т.п.);

•             как в процессе функционировании ИС, гак и в период пассивности компонентов системы.

По месту действия:

•             без доступа на контролируемую территорию организации;

•             с контролируемой территории без доступа в здании и сооружении:

•             внутри помещений, но без доступа к техническим средствам ИС;

•             с рабочих мест конечных пользователей (операторов) ИС;

•             с доступом в зону данных (баз данных, архивов и тд);

•             с доступом в зону управлении средствами обеспечении безопасности ИС.

Необходимо учитывать следующие ограничения и предположения о характере действий возможных нарушителей:

•             работа по подбору кадров и специальные мероприятия затрудняют возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий по преодолению подсистемы зашиты двух и более нарушителей;

•             нарушитель, планируй попытки НСД, скрывает свои несанкционированные действия от других сотрудников;

НСД может быть следствием ошибок пользователей, администраторов, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки информации и т.д.

Модель нарушителя — (в информатике) абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа. Модель нарушителя определяет:

•             категории (типы) нарушителей, которые могут воздействовать на объект;

•             цели, которые могут преследовать нарушители каждой категории, возможный количественный состав, используемые инструменты, принадлежности, оснащение, оружие и проч.;

•             типовые сценарии возможных действий нарушителей, описывающие последовательность (алгоритм) действий групп и отдельных нарушителей, способы их действий на каждом этапе.