Модель и методика оценки систем менеджмента информационной безопасности тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Шаго Федор Николаевич

Введение

Система менеджмента информационной безопасности (СМИБ) (information security management system, ISMS): часть общей системы менеджмента организации, основанная на подходе бизнес-рисков, по созданию, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению информационной безопасности (ИБ).[3,4]

Для получения достоверной информации о состоянии СМИБ необходимо проводить постоянный мониторинг и анализ системы в ходе которого производится оценивание состояния системы. Усложнение систем менеджмента информационной безопасности приводит к необходимости совершенствования научно-методического аппарата оценивания данных систем. Эффективность мероприятий связанных со сбором и обработкой информации о системе будет определяться качеством оценок показателей СМИБ к затраченным ресурсам на проведение измерений. Организация проведения измерений, как показывает практика, оказывает существенное влияние на качество оценивания показателей СМИБ. Однако, в большинстве случаев, ресурс, выделяемый для мониторинга и анализа состояния СМИБ, распределяется на основе имеющегося опыта персонала службы ИБ, руководств и нормативно - правовых документов ГОСТ РФ с применением общеизвестных методов планирования (например, по диаграмме Ганта, Program PERT (Project Evaluation and Review Technique -техника оценки и анализа программ (проектов)). В ходе планирования зачастую не учитываются результаты проведенных измерений, полученные на предыдущих этапах проверок.

Оценивание является важным этапом в циклической взаимосвязи видов

деятельности системы менеджмента информационной безопасности, в ходе

которого определяется соответствие системы заданным требованиям ИБ

организации. Исходя из анализа текущей практики оценивания эффективности

СМИБ, можно сделать вывод о том, что в большинстве случаев, проводится

независимое оценивание отдельных атрибутов ИБ без учета их взаимодействия, в

ходе измерений атрибутов не учитывается наличие неопределенности

4

стохастического характера. Отсутствует научно-методологический аппарат для оценивания взаимосвязанных мер и средств контроля и управления ИБ. В конечном итоге оценка показателей качества СМИБ сводится к принятию бинарного решения «удовлетворяет - не удовлетворяет».

Таким образом, совершенствование методологического аппарата оценивания СМИБ, который бы позволил учесть вышеуказанные недостатки, составляет актуальную научную задачу.

Целью работы является повышение качества оценивания СМИБ, за счет учета стохастических факторов и ввода обоснованных показателей качества СМИБ в условиях ограничений накладываемых временными и стоимостными затратами на проведение проверок состояния СМИБ. При этом под качеством понимается достоверность и точность оценок определяемых характеристик. Ограничение материально-технического обеспечения выделяемого для проверок СМИБ оказывает существенное влияние на качество оценок, что влечет за собой принятие необоснованного решения о соответствии СМИБ требованиям ИБ организации. Этим и обусловлена актуальность темы диссертационной работы.

Научной задачей исследования является разработка научно-методологического аппарата оценивания СМИБ путем обеспечения комплексного подхода к менеджменту информационной безопасности, связанного с мониторингом и анализом деятельности СМИБ, направленного на совершенствование СМИБ.

В соответствии с поставленной целью и научной задачей диссертационной работы, рассматриваются и решаются следующие частные задачи:

1. Анализ требований предъявляемых к СМИБ, архитектуры построения, практики оценивания показателей качества СМИБ, рассмотрение ряда нормативно-правовых документов и стандартов по защите информации, исследование рисков информационной безопасности СМИБ и определение перспективных направлений развития СМИБ.

2. Разработка нового интегрального показателя эффективности СМИБ.

3. Разработка методологического аппарата расчета интегрального показателя

5

эффективности СМИБ, на основе использования математического аппарата теории планирования эксперимента, факторного планирования.

4. Рассмотрение с единых системных позиций процесса распределения ресурса назначаемого для проведения измерений атрибутов СМИБ, анализ принципов распределения ресурсов по этапам проверок, разработка методики оптимизации распределения ресурса.

5. Оценивание результатов применения разработанного интегрального показателя эффективности СМИБ и разработанных методов.

В соответствии с целями и задачами диссертационной работы объектом исследования является совокупность организационных, методологических и программно-технических комплексов, работающих в рамках единой СМИБ.

а предметом исследования - методы повышения качества оценивания показателей СМИБ.

На защиту выносятся следующие основные научные положения и результаты:

1. Использование разработанного интегрального показателя эффективности СМИБ, позволяет повысить качество оценивания СМИБ.

2. Модели, получаемые в ходе анализа позволяют осуществлять прогнозирование состояния СМИБ, проводить изучение процессов протекающих в СМИБ

3. Методика расчета разработанного интегрального показателя эффективности СМИБ на основе аппарата теории планирования эксперимента.

4. Методика планирования распределения ресурса, назначаемого для проведения измерений СМИБ, на основе формализации динамики показателя качества СМИБ, позволяющая обоснованно и рационально распределять ресурс, с учетом априорных и апостериорных данных о системе.

Научная новизна и теоретическая значимость диссертационной работы состоит в следующем:

1. Планирование проведения измерений атрибутов СМИБ, в отличие от известных подходов, предлагается осуществлять на основе корректировки плана по результатам анализа динамики показателя качества СМИБ, после каждого этапа измерений.

2. Новый интегральный показатель эффективности СМИБ позволяет, в отличие от известных показателей, получить статистическую оценку стохастических факторов оказывающих наиболее существенное влияние на эффективность СМИБ, определять динамику развития системы.

3. Новизну метода расчета интегрального показателя эффективности СМИБ составляет использование математического аппарата теории планирования эксперимента. Адаптированы и описаны процедуры формирования факторного пространства для исследования процессов СМИБ, стратегии измерений атрибутов ИБ, составления матриц измерений, выбора типа плана и статистического анализа результатов факторного эксперимента. Практическая значимость работы определяется в комплексном подходе

обеспечения качества оценивания СМИБ основывающемся на применении

методики рационального распределения ресурса назначаемого для проведения

измерений, после каждого очередного измерения с учетом его результата на

основе анализа динамики показателя качества СМИБ. Это позволяет при

заданных законах динамики показателя качества определить оптимальные

требования к показателю качества и необходимое количество измерений

(времени) для каждого этапа проверок СМИБ. Использование нового

интегрального показателя эффективности СМИБ позволяет перейти от бинарной

оценки «удовлетворяет - не удовлетворяет» к количественной, и повысить

качество оценивания СМИБ. Для расчета нового показателя адаптированы и

описаны процедуры формирования факторного пространства, стратегии

измерений, составления матриц экспериментов, выбора типа плана и

статистического анализа результатов факторного эксперимента. В связи с

различной возможностью варьирования атрибутов СМИБ, влияющих на ИБ,

предложено зависимое определение интервалов варьирования, обеспечивающее

7

более адекватную формализацию исследуемого процесса. Разработанный научно-методический аппарат расчета интегрального показателя СМИБ обеспечивает существенное повышение достоверности оценки показателей СМИБ или - же значительное сокращение числа измерений.

Обоснованность и достоверность основных научных положений, результатов и рекомендаций достигается использованием апробированного математического аппарата; системным анализом описания объекта исследований, учетом сложившихся практик и опыта в области ИБ; проведением сравнительного анализа с существующими методами и непротиворечивостью с известными аксиомами в ИБ.

Подтверждается непротиворечивостью полученных результатов моделирования современными теоретическими положениями; практической апробацией в деятельности научно-производственных организаций и одобрением на научно-технических конференциях.

Методологической основой исследования являются труды ведущих ученых в области ИБ: W. Jansen, D. Catteddu, В.А. Герасименко, В.С. Канева, А.Г. Кащенко, А.А. Малюка, А.Г. Остапенко, в теории испытаний: Белова А.В., Волкова Л.И., Демиденко В.П., Ивченко Б.П., Мартыщенко Л.А., Филюстина А.Е., Кивалова А.Н. и др., а также ряд работ зарубежных университетов, коммерческих структур в области ИБ: ENISA, NIST, University Heraklion.

При решении частных задач исследования использовались теоретические положения теории вероятности, математического программирования, теории ИБ и методов защиты информации, теории планирования эксперимента, статистического анализа.

В работе учтены требования законодательных актов Российской Федерации в сфере ИБ, нормативные документы ФСТЭК России и других министерств и ведомств. Использованы энциклопедическая и справочная литература, материалы периодической печати, Интернет-ресурсы, а также опыт организации работ по проведению анализа систем менеджмента ИБ.

Апробация основных результатов проводилась в форме докладов на:

- 8 Всероссийская научно-практическая конференция "Актуальные вопросы разработки и внедрения информационных технологий двойного применения". Ярославль, 2007г.

- VII военно-научной конференции «Информационные технологии в радиоэлектронных системах. Подготовка специалистов», СПВВУРЭ (ВИ), 2007г

- II Всероссийской научной конференции с международным участием «Проблемы развития и интеграции науки, профессионального образования и права в глобальном мире». Красноярск, 2007 г.

- Научно-технической конференции «Радиолокация. Теория и практика», посвященной 60-летию Нижегородского НИИ радиотехники. Москва, 2008 г.

- Международная научно-практическая конференция «XXXIX НЕДЕЛЯ НАУКИ СПбГПУ», СПбГПУ Санкт-Петебург, 2010г.

- XII Всероссийская научно-практическая конференция «Качество управления и проблемы развития средств ВКО в современных условиях» в рамках международного форума «Управление. Бизнес. Образование» Ярославль, 2011 г.

- VIII Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России (ИБРР-13)», Санкт-Петербург, 2013;

где получили одобрение.

Результаты исследований внедрены во ФГУП ЦНИИ ВВС Минобороны России (акт реализации от 25.08.14 г.), ОАО «НПО «ЛЭМЗ» (акт реализации от 03.09.14 г.) и в учебном процессе Университета ИТМО по направлению «090900 Информационная безопасность» в рамках магистерской программы «Информационная безопасность и технология защиты информации» и постановке курса лекций по дисциплине «Управление информационной безопасностью».

По материалам диссертации опубликовано 8 печатных работ, в том числе три в изданиях из перечня российских рецензируемых журналов, в которых должны

быть опубликованы основные научные результаты диссертаций на соискание ученых степеней доктора и кандидата наук в редакции от 25.08.2014 г.

Диссертация состоит из введения, трех глав, заключения. Материал изложен на (109) страницах машинописного текста. Диссертация выполнена в соответствии с требованиями паспорта специальности.

Во введении обосновывается актуальность тематики диссертационной работы, ее теоретическая и практическая значимость, анализируются проблемные вопросы, формулируются задачи, которые необходимо решить в диссертационной работе, приводятся основные положения, выносимые на защиту, дается краткое описание содержимого работы.

В первой главе содержится системный анализ, проведенный в интересах решения задачи обеспечения качества оценивания СМИБ. В главе проведен анализ построения и направления развития СМИБ, отмечены особенности функциональных задач СМИБ, рассмотрена структура показателей качества СМИБ и особенности современной практики проведения измерений и оценивания показателей СМИБ, приводится обоснование научной задачи по обеспечению качества оценивания характеристик СМИБ. Проанализированы стандарты и ряд нормативно-правовых документов в области обеспечения ИБ.

Во второй главе для разрешения поставленной научной задачи проводится обоснование нового интегрального показателя эффективности СМИБ, подробно описан научно-методологический аппарат его расчета основывающегося на положениях теории планирования эксперимента, аппарат формирования аналитических моделей.

В третьей главе рассмотрены практики проведения измерений атрибутов СМИБ и предлагается научно-методический аппарат планирования проведения измерений СМИБ, обеспечивающий повышение качества оценивания СМИБ. Аппарат включает в себя методику обоснования и оптимального распределения ресурса назначенного для анализа СМИБ по этапам измерений. Разработанная методика основывается на методах иерархической оптимизации.

В заключении изложены основные результаты, полученные при выполнении работы, их апробация, внедрение и публикация, общие выводы по работе. Рассматриваются новые перспективные направления научных исследований по рассматриваемой проблеме повышения качества оценивания показателей СМИБ.

Глава 1. Обзор подходов к оценке системы менеджмента информационной безопасности в процессе жизнедеятельности системы

1.1 Анализ состояния и направления развития систем менеджмента информационной безопасности

Международный стандарт ИСО/МЭК 27000:2013 «Information security management systems - Overview and vocabulary» (Системы менеджмента информационной безопасности. Общий обзор и терминология)» дает следующее определение «Система менеджмента информационной безопасности (СМИБ) (information security management system, ISMS): часть общей системы менеджмента организации, основанная на подходе бизнес-рисков, по созданию, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению информационной безопасности (ИБ)» [3,32]. Для полного и разностороннего представления о том, что представляет собой система менеджмента информационной безопасности, необходимо разобраться в понятийном аппарате информационной безопасности.

Сейчас сложно представить себе какую-нибудь сферу деятельности человечества, в которой бы обходились без информационных технологий (IT), без автоматизации каких либо процессов. В инфраструктуре большинства организаций эксплуатируются автоматизированные системы (АС), широко используются сетевые технологии, базы данных, электронный документооборот. Информационные потоки, циркулирующие в АС организации, зачастую содержат коммерческую тайну, персональные данные и др. служебную информацию организации.[33,34] Соответственно, чем шире в компании используются информационные технологии, чем крупнее компания, тем более остро стоит для нее вопрос информационной безопасности. [14, 36,43]

Наиболее распространённое определение информационной безопасности дают стандарты ИСО/МЭК: «Информационная безопасность (information security): сохранение конфиденциальности, целостности и доступности информации.» [ 3, 4 ].

Конфиденциальность (англ. confidentiality): свойство информации быть недоступной и закрытой для неавторизованных лиц, субъектов или процессов [ 3,32];

Целостность (англ. Integrity): свойство сохранения правильности и полноты активов [ 3,32 ];

Доступность (англ. availability): свойство быть доступным и готовым к использованию по запросу авторизованного субъекта [3,32].

Информация, которой владеет организация, является объектом угроз атаки, ошибки, воздействия природных и техногенных факторов (например, наводнения или пожара), воздействия злоумышленников и т.д. С этой стороны, термин «информационная безопасность» относится к информации, как к активу, у которого есть ценность, требующая соответствующей защиты. Эффективность работы организации напрямую зависит от обеспечения возможности санкционированного и своевременного получения точной и полной информации. [37]

Для достижения организацией своих целей, сохранения деловой репутации, соблюдения законодательства Российской Федерации (РФ) она должна осуществлять защиту информационных активов посредством определения, достижения, поддержания, и улучшения информационной безопасности. Оценка рисков ИБ и реализация необходимых средств управления выступают элементами менеджмента ИБ.

В связи с динамическим изменением внешних и внутренних факторов воздействующих на ИБ, организациям необходимо управлять ИБ, посредством:

a) контроля и оценки эффективности имеющихся средств управления и процедур ИБ;

b) идентификации новых рисков и их оценки;

c) выбора, реализации, анализа и улучшение средств управления ИБ.

Для достижения поставленных целей, и эффективной реализации политик ИБ, для координации усилий в сфере ИБ, организации необходимо построение системы менеджмента ИБ.

Выделяются основные этапы создания и использования системы безопасности [ 4, 22]:

1. Определение требований защиты конкретного объекта или системы.

2. Использование рекомендаций национальной и международной нормативно-правовой и научной базы.

3. Использование наработанных практик (стандарты, методологии) построения подобных систем безопасности.

4. Определение ответственных лиц за реализацию и поддержание системы безопасности.

5. Распределение между ответственными лицами задач систем безопасности.

6. Исходя из внешних и внутренних факторов, влияющих на организацию, создание Политики ИБ объекта или системы, в которой определены общие положения, руководства по обеспечению ИБ, технические и организационные требования.

7. Реализация указаний и требований Политики ИБ, с использованием внедрения аппаратно-программных комплексов, введения различных инструкций.

8. Внедрение системы управления информационной безопасности.

9. Обеспечение контроля эффективности СМИБ, а так же использование процессов, инструкций по пересмотру и улучшению системы безопасности. Общая схема этапов жизненного цикла СМИБ «Планирование - Внедрение -Проверка - Действие» отображена на рисунке 1.

Начало построения СМИБ начинается с этапа «Планирование», в котором проводится оценка состояния ИБ с учетом угроз и уязвимостей, связанных с информационными активами организации. Проводится выбор необходимых мер и средств контроля и управления определяются цели применения мер и средств контроля и управления ИБ, а также мер и средств контроля и управления для обработки рисков.

На этапе «Внедрение» проводится внедрение выбранных мер и средств

управления и контроля для достижения целей ИБ, определяется способ измерения

14

результативности СМИБ, проводятся измерения мер и средств управления и контроля.

На этапе «Проверка», осуществляется анализ результативности СМИБ, производится пересмотр оценки рисков, с учетом результативности СМИБ, производится подтверждение эффективности СМИБ с учетом результатов предыдущих аудитов, определяется направления совершенствования СМИБ, формируются исходные данные для принятия решения по усовершенствованию СМИБ, развитию способов оценивания результативности мер и средств управления и контроля.

На последнем этапе «Действие» проводится реализация принятых решений по улучшению СМИБ.

Планирование

Выбор целей применения мер и средств контроля и управления, а также мер и средств контроля и управления для обработки рисков

Оценка реальной вероятности сбоя обеспечения безопасности с учетом угроз и уязвимостей связанных с активами, а также мер и средств контроля у управления безопасностью

Внедрение мер и средств контроля управления для достижения целей безопасности

Определение способа измерения результативности

I

Измерение результативности мер и средств контроля управления

для достижения целей безопасности

Внедрение

Регулярный анализ ^ результативности СМИБ

Г

Пересмотр оценки рисков, с учетом результативности СМИБ

1 Г

Входные данные

для анализа эффективности СМИБ, с учетом предыдущих аудитов

Анализ СМИБ для подтверждения эффективности и определения направления совершенствования

Проверка

Рисунок 1. Основные этапы жизненного цикла СМИБ. По реализации последнего этапа, все шаги повторяются с самого начала, тем самым процесс функционирования СМИБ является непрерывным и цикличным.

Рассмотрим нормативно-правовую базу, в которой определены основные понятия и требования предъявляемые к СМИБ. В дальнейшем, в своих исследованиях, мы будем в основном опираться на стандарты серии ISO/IEC 27000, в которой определен понятийный аппарат, терминология, методология построения и деятельности СМИБ. Стандарты серии 27000 является наиболее известными и широко используемыми.

Наиболее подробно назначение СМИБ, цели, понятия описываются в международном стандарте КОЛЕС 27001. Данный документ, переведен на русский язык и принят как государственный стандарт Российской Федерации «ГОСТ Р ИСО/МЭК 27001 — «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования» что говорит о его значимости. Так же в этом стандарте прописаны основные требования по созданию, улучшению, и обеспечению СМИБ.

Согласно КОЛЕС 27001 Цель СМИБ - выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Помимо КОЛЕС 27001, описывающего основные требования к СУИБ, в серию 27000 входят следующие основные стандарты:

ISO/IEC 27000 - «Информационные технологии. Методы обеспечения безопасности. Общий обзор и терминология».

ISO/IEC 27002 - «Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью». Этот стандарт является наследником стандарта ISO/IEC 17799. Переведенная версия данного документа является государственным стандартом Российской Федерации «ГОСТ Р ИСО/МЭК 17799 -«Информационные технологии. Практические правила управления информационной безопасностью».

ISO/IEC 27003 - «Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению Системы Менеджмента Информационной Безопасности».

ISO/IEC 27004 - «Информационные технологии. Методы обеспечения безопасности. Измерения.».

ISO/IEC 27005 - «Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности».

ISO/IEC 27006 - «Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасности».

«КОЛЕС 27007 — Информационные технологии. Методы обеспечения безопасности. Руководство по проведению аудита и сертификации систем менеджмента информационной безопасности стандарт для аудита СМИБ»

«КОЛЕС 27011 - «Информационные технологии. Методы обеспечения безопасности. Руководство по организации систем менеджмента информационной безопасности в телекоммуникационных организациях».

Схема взаимосвязи стандартов серии 27000 представлена на рисунке 2.

[3].

27000

Общий обзор и терминология

Общие сведения, термины и определения, применяемые в семействе стандартов СМИБ

К .0 ф I JQ

s <5 С

Ююго Офм

CL К

• - ю

27001 Требования

а а а а

27002

Свод правил по управлению

27003

Руководство по внедрению

3

ю О

ф го Т el S X

5 °if

27006

Требования к органу сертификации

27007 Руководство по аудиту

27005 Управление рисками

27004 Измерения

27011

Телекоммуникационные организации

Рисунок 2. Взаимосвязь документов семейства стандартов ISO 27000 ISO/IEC 27000 является обзорным документом, в котором описывается семейство стандартов, а так же содержатся термины и определения. Основными (обязательными) стандартами в серии, являются ISO/IEC 27001, в котором

содержатся требования, предъявляемые к СМИБ, и ISO/IEC 27006 в котором описываются требования к организациям, осуществляющим аудит и сертификацию СМИБ. Далее идут документы, в которых описаны рекомендации по управлению, внедрению, управлению рисками, проведению аудита и измерений.

Помимо этого, данная серия стандартов не единственная, в котором отражены принципы построения СМИБ. Во многих странах существуют требования, которые указывают на использование мер по обеспечению безопасности, и так же существуют методические указания по контролю эффективности этих мер. В первую очередь, хорошая нормативная база по данному вопросу и в целом по вопросам ИБ существует в странах Организации экономического сотрудничества и развития (ОЭСР - OECD), так как активное использование IT и средств автоматизации началось в этих странах уже в 80-х годах. На пример, в Великобритании уже в 1984. г был принят закон о защите данных, в котором выделена тема обеспечения ИБ.[44]

Среди зарубежных стандартов, можно выделить такие документы как Национального института стандартов и технологий США (NIST) семейства SP 800 - ххх, а в частности NIST SP 800 - 53 «Рекомендации по использованию средств управления информационной безопасностью в федеральных информационных системах и организациях», а так же, пакет документов по программе «Федеральный закон о менеджменте информационной безопасности» (Federal information security management act; FISMA).

Литература

1. Catteddu D., Hogben G. Cloud Computing: Benefits, risks and recommendations for information security. - Heraklion: ENISA, 2009. - 125 p.

2. ISO/IEC 19011:2011 Руководство по аудиту систем менеджмента. Международный Стандарт. Второе издание. 2011-11-11. - 44 с.

3. ISO/IEC 27000:2013, Information security management systems — Overview and vocabulary (Система менеджмента информационной безопасности. Общий обзор и терминология). Международный Стандарт. Первое издание. 2013-01-14. - 25 с.

4. ISO/IEC 27001:2013, Information security management systems — Requirements. (Система менеджмента информационной безопасности. Требования). Международный Стандарт. Первое издание. 2013-09-25. - 23 с.

5. ISO/IEC 27007:2011, Информационные технологии. Методы и средства обеспечения безопасности. Руководящие указания по аудиту систем менеджмента информационной безопасности. Международный Стандарт. Первое издание. 2011-11-14. - 27 с.

6. ISO/IEC 31000:2009 Риск Менеджмент - Принципы и руководства. Международный Стандарт. Первое издание. 2009-11-15. - 32 с.

7. Macaulay T. Upstream Intelligence Use Cases // IANewsletter. - 2011. - V. 14. -P. 18-22.

8. NIST SP 800 - 53 Security and Privacy Controls for Federal Information Systems and Organizations. 2013. [Электронный ресурс]. Режим доступа: http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf.

9. NIST SP 800 - 53A Guide for Assessing the Security Controls in Federal Information Systems and Organizations, Building Effective Security Assessment Plans. 2010 г. [Электронный ресурс]. Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-53A-rev1/sp800-53A-rev1-final.pdf.

10. NIST SP 800 - 55 Performance Measurement Guide for Information Security.

106

2008 г. [Электронный ресурс]. Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-55-Rev1/SP800-55-rev1.pdf.

11. NIST SP 800 - 100 Information Security Handbook: A Guide for Managers. 2007 г. [Электронный ресурс]. Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-Mar07-2007.pdf

12. NIST SP 800 - 115 Technical Guide to Information Security Testing and Assessment. 2008 г. [Электронный ресурс]. Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf

13. NIST SP 800 - 137 Information Security Continuous Monitoring for Federal Information Systems and Organizations. 2011 г. [Электронный ресурс]. Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-137/SP800-137-Final.pdf.

14. Symantec 2014 Internet Security Threat Report, Volume 19. 2014 г. [Электронный ресурс]. Режим доступа: http://www.symantec.com/security response/publications/threatreport.jsp

15. The Critical Security Controls for Effective Cyber Defense: Consensus Audit Guidelines (CAG) Version 5. SANS Institute. 2014 г. [Электронный ресурс]. -Режим доступа: http://www.sans.org/critical-security-controls/, свободный. Яз. англ. (дата обращения 20.04.2014).

16. Айвазян С.А. и др. Прикладная статистика. Исследование зависимостей: Справ.изд./ С.А. Айвазян, И.С. Енюков, Л.Д. Мешалкин; Под ред. С.А. Айвазяна. - М.: Финансы и статистика, 1985 г. - 485 с., ил.

17. Аксенов В.В. Аудит системы менеджмента информационной безопасности. Руководство. 2012 г. [Электронный ресурс]. - Режим доступа: http://itsec.by/, свободный. Яз. рус. (дата обращения 09.09.2013).

18. Астахов А.М. Искусство управления информационными рисками. - М.: ДМК Пресс, 2010. - 314 с.

19. Бендат Дж., Пирсол А. Прикладной анализ случайных данных. Пер. с англ. - М.: Мир, 1989. - 540 с., ил.

20. Гвоздев А.В., Зикратов И.А., Лебедев И.С., Лапшин С.В., Соловьев И.Н.

Прогнозная оценка защищенности архитектур программного обеспечения. //

107

Научно-технический вестник информационных технологий, механики и оптики. - 2012. - № 4(80). - С. 126 - 130.

21. Голов. А. Журнал " Информационная безопасность" #1, Information Security. 2008.25 c ISBN: 978-5-222-17389-3

22. ГОСТ Р ИСО/МЭК 27003-2012. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности. Введ. 01.01.2014. - М.: Госстандарт России. - 95 с.

23. ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения. Введ. 01.01.2012. - М.: Госстандарт России. - 62 с.

24. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Введ. 30.11.2011. - М.: Госстандарт России. - 51 с.

25. ГОСТ Р ИСО/МЭК 27006-2008. Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. Введ. 30.09.2009. - М.: Госстандарт России. - 40 с.

26. ГОСТ Р 51897-2011 Руководство ИСО 73:2009 Менеджмент риска. Термины и определения. Введ. 01.12.2012. - М.: Госстандарт России. - 16 с.

27. Домарев В. В. Безопасность информационных технологий. Системный подход — К.: ООО ТИД Диа Софт, 2004. 992 с. ISBN: 966-7992-36-5

28. Лебедев А.Н., Куприянов М.С., Недосекин Д.Д., Чернявский Е.А. Вероятностные методы в инженерных задачах: Справочник. - СПб.: Энергоатомиздат. Санкт-Петербургское отделение, 2000. - 333 с.:ил.

29. Зедгенидзе И.Г. Планирование эксперимента для исследования многокомпонентных систем. - М.: Наука, 1976. - 390 с., ил.

30. Зикратов И.А., Одегов С.В. Оценка информационной безопасности в

108

облачных вычислениях на основе байесовского подхода. // Научно-технический вестник информационных технологий, механики и оптики. -2012. - № 4(80). - С. 121 - 126.

31. Зикратов И.А., Одегов С.В., Смирных А.В. Оценка рисков информационной безопасности в облачных сервисах на основе линейного программирования. // Научно-технический вестник информационных технологий, механики и оптики. - 2013. - № 1(83). - С. 141 - 144.

32. Комлев Н.Г. Словарь иностранных слов. СПб: Эксмо, 2006. 320 с. ISBN 504-002298-0.

33. Кравцов А.А. Сезон охоты на секреты российского ОПК. / Кравцов А.А. // Независимое военное обозрение. - 2013. - 9 августа [Электронный ресурс]. Режим доступа: http://nvo.ng.ru/spforces/2013-08-09/14_opk.html?print=Y

34. Куканова Н. "Защита информации. Инсайд.".№1/2007.34 с.

35. Мартыщенко Л.А., Ивченко В.П., Монастырский М.Л. Теоретические основы информационно-статистического анализа сложных систем.-СПб: Лань, 1997. - 320 с.

36. Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119.

37. Пилипенко. В. Ф. Безопасность: теория, парадигма, концепция, культура. Словарь-справочник . 2-е изд., доп. и перераб. — М.: ПЕР СЭ-Пресс, 2005. ISBN 5-9292-0131-5

38. Приказ ФСТЭК России №17. Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. Введ. 11.02.2013. - М: ФСТЭК России. - 37 с.

39. Приказ ФСТЭК России №21 Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Введ. 18.02.2013. - М: ФСТЭК России. - 20 с.

40. Приказ ФСТЭК России №31 Об утверждении Требований к обеспечению

109

защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды. Введ. 14.03.2014. - М: ФСТЭК России. - 42 с.

41. Рекомендации по стандартизации «Информационные технологии. Основные термины и определения в области технической защиты информации» (Р 50.1.053-2005).Российский стандарт. Первое издание. 2005-04-11. 9 с.

42. Спиридонов А.А. Планирование эксперимента при исследовании технологических процессов. М.: Машиностроение, 1981. - 184 с., ил.

43. Федеральный закон Российской Федерации N 152-ФЗ «О персональных данных» Российский закон. Третье издание. 2009-09-11. 32 с.

44. ХабрХабр - Стандарт BS 7799 — Часть 12012 г. [Электронный ресурс]. URL:http://habrahabr.ru/. Режим доступа: свободный. Яз. рус. (дата обращения 30.02.2014).

45. Шаго Ф.Н., Зикратов И.А. Методика оптимизации планирования аудита системы менеджмента информационной безопасности. // Научно-технический вестник информационных технологий, механики и оптики. -2014. - № 2(90). - С. 111 - 118.

46. Шаго Ф.Н., Зикратов И.А. Оптимизация мероприятий аудита системы менеджмента информационной безопасности. // Научно-технический журнал «Информация и космос». - 2014. - № 2. - С. 59 - 65

47. Шаго Ф.Н. Методика оценки эффективности системы менеджмента информационной безопасности по времени реакции системы на инциденты информационной безопасности. // Научно-технический вестник информационных технологий, механики и оптики. - 2014. - № 4(92). - С. 115 - 124.

48. Шаго Ф.Н., Нестеров С.Ю. Об определении оптимального числа испытаний

комплексов средств малой автоматизации РТВ ВВС. Тематический научный

110

сборник № 13 СПб: СПВВУРЭ (ВИ), 2005.

49. Шаго Ф.Н. Использование робастных оценок при обработке результатов испытаний радиоэлектронной техники. Тезисы доклада. "8 Всероссийская НПК "Актуальные вопросы разработки и внедрения информационных технологий двойного применения". Ярославль, 2007г., стр. 252-253."

50. Шаго Ф.Н. Оценка результатов испытаний радиоэлектронной техники с использованием семейств распределений и робастных оценок. Тезисы доклада. Материалы VII военно-научной конференции «Информационные технологии в радиоэлектронных системах. Подготовка специалистов», СПВВУРЭ (ВИ), 2007г.

51. Шаго Ф.Н. Оптимизация испытаний комплексов средств малой автоматизации РТВ ВВС. Материалы II Всероссийской научной конференции с международным участием «Проблемы развития и интеграции науки, профессионального образования и права в глобальном мире». Санкт-Петербург. Часть I. стр. 366-369. 2010 г.

52. Шаго Ф.Н., Кивалов А.Н. Проблема идентификации закона распределения в условиях малой выборки. САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ПОЛИТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ Международная научно-практическая конференция «XXXIX НЕДЕЛЯ НАУКИ СПбГПУ». Санкт-Петебург, 2010г. стр. 145-146.

53. Шаго Ф.Н. Проблемы аудита программно-технических комплексов защиты информации. Тезисы доклада. «Всероссийская НПК «ИБРР -2013» СПб НИУ ИТМО. Санкт-Петербург, стр. 264-265.