Научно-методический аппарат оценки уязвимости системы обеспечения безопасности информации в современном вузе тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Шемяков, Александр Олегович

  • Шемяков, Александр Олегович
  • кандидат технических науккандидат технических наук
  • 2013, Серпухов
  • Специальность ВАК РФ05.13.19
  • Количество страниц 130
Шемяков, Александр Олегович. Научно-методический аппарат оценки уязвимости системы обеспечения безопасности информации в современном вузе: дис. кандидат технических наук: 05.13.19 - Методы и системы защиты информации, информационная безопасность. Серпухов. 2013. 130 с.

Оглавление диссертации кандидат технических наук Шемяков, Александр Олегович

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ

ГЛАВА 1. Системный анализ уязвимости системы обеспечения информационной безопасности современного вуза

1.1. Системный анализ причин повышения уязвимости автоматизированных систем

в пространстве современных информационных технологий

1.2. Комплексное обеспечение информационной безопасности вуза

1.2.1. Концептуальные положения политики информационной безопасности вуза

1.2.2. Требования к формированию политики безопасности вуза

1.2.3. Принципы организации и функционирования системы ИБ АС вуза

1.2.4. Организационные, физико-технические, информационные и программно-математические угрозы деятельности вуза

1.2.5. Классификация методов парирования видов угроз

ГЛАВА 2. Алгоритмы проведения анализа и оценки уязвимости автоматизированных систем вуза

2.1. Алгоритм проведения анализа уязвимости автоматизированных систем управления вуза

2.2. Алгоритм проведения оценки уязвимости автоматизированных систем

управления вуза

ГЛАВА 3. Разработка предложений по снижению уязвимости автоматизированных систем управления вуза

3.1. Программный комплекс

3.2. Пример проведения анализа и оценки уязвимости информации

3.3. Пример реализации рекомендаций по результатам анализа и оценки уязвимости

автоматизированных систем управления вуза

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Введение диссертации (часть автореферата) на тему «Научно-методический аппарат оценки уязвимости системы обеспечения безопасности информации в современном вузе»

ВВЕДЕНИЕ

Актуальность диссертационного исследования.

Новые информационные технологии, глобальная компьютеризация и информационно-вычислительные сети, облачные вычисления породили новые источники угроз для всей информационной среды, в которой существует и развивается современное общество. Сегодня информационным атакам подвергаются различные объекты: экономические, объекты управления, оборонные системы, критически важные технологические объекты и т.п. Появились новые объекты защиты, на которые не обращалось практически никакого внимания в недавнем прошлом, например, персональные данные.

В последние годы снова возросло внимание государства к организации и развитию научных исследований в высшей школе. Были разработаны несколько федеральных целевых и конкурсных программ, в рамках которые выделяются значительные гранты на исследования в интересах оборонно-промышленного комплекса, снова стал развиваться гособоронзаказ. В отличие от предыдущих лет, когда работы научных коллективов вузов практически не поддерживались, а вопросы об обеспечении безопасности результатов научно-исследовательских и опытно-конструкторских работ были на втором плане. И сейчас, когда вузы участвуют непосредственно в программах по созданию новой оборонной техники, современного программного обеспечения - вопрос об обеспечении системы защиты этих результатов стоит особо остро.

Другой аспект - развитие корпоративных сетей вузов, позволяющих хранить всю информацию по персональным данным студентов и сотрудников. Эти сети также нуждаются в особой системе защиты.

Третий аспект определяется уже упомянутой возможностью глобальных негативных и деструктивных воздействий через глобальные информационные сети. Опасность такого воздействия возрастает вместе с увеличением объемов информации, циркулирующей в сетях, а также информационных ресурсов,

3

используемых при современном автоматизированном управлении организационными и организационно-техническими системами. В том числе и системами управления вузами. Ранее при решении задач защиты процессов, сопровождающих хранение, передачу и обработку информации, приходилось иметь дело с локальными объектами и с локальными угрозами безопасности их функционирования. Сейчас через сети распределения информации, особенно -глобальные сети - можно разрушить все информационные связи сразу. При этом информационная агрессия может начинаться так, что никто не узнает откуда она исходит. Угроза становится анонимной. Явно обозначенный противник отсутствует, а его информационные атаки приносят значительный ущерб. В том числе информационным системам вуза, содержащим персональные данные, данные о финансовом обеспечении как отдельно взятых проектов вуза, так и зарплатной системы и системы материального стимулирования сотрудников. Таким образом, проблемой современной информационной безопасности (ИБ) вуза является и открывшаяся в последние годы глобальность информационных воздействий через сети типа Internet.

Объектом настоящих исследований является система обеспечения безопасности информации в современном вузе, а предметом исследования - модели и методы оценки уязвимости системы обеспечения безопасности информации в современном вузе. При этом под термином "уязвимость" понимается принципиальная возможность нанесения информационного ущерба системе обеспечения безопасности, а сложность системы не всегда позволяет корректно определить количественные характеристики такого ущерба.

В рамках данной работы констатируется, что для существующего состояния теории и практики обеспечения безопасности применительно к особенностям функционирования высшего учебного заведения в России имеет место противоречие между позитивными возможностями для эффективного функционирования системы управления вузом, которые несет за собой процесс автоматизации и информатизации

4

всех процессов вуза, и ростом рисков и угроз информационной безопасности вуза посредством увеличения уязвимостей информационных систем вуза.

Цель исследований состоит в снижении уязвимости системы обеспечения безопасности информации в современном вузе.

Исходя из того, что указанное противоречие есть следствие, порождаемое объективно существующими причинами (которые рассмотрены выше), его разрешение в практическом аспекте целевой установки в перспективе надлежит рассматривать не как механизм их устранения, а как формальную процедуру выработки и минимизации риска реализации количественно выраженных организационно-технических рекомендаций по изменению состояния безопасности автоматизированной системы (АС), которой и является современная система обеспечения безопасности информации в современном вузе.

Для разрешения сформулированного противоречия и достижения поставленной цели формулируется и решается научная задача, заключающаяся в разработке научно-методического аппарата оценки уязвимости систем обеспечения безопасности информации в современном вузе.

Научные результаты, предлагаемые к защите:

1. Перечень потенциальных угроз информационной безопасности высшего учебного заведения и классификация методов их парирования.

2. Алгоритмы проведения анализа и оценки уязвимости автоматизированных систем вуза

3. Рекомендации по снижению уязвимости системы обеспечения безопасности информации в современном вузе.

Новизна исследований

Научные работы в области защиты информации и информационной безопасности применительно к высшим учебным заведениям на настоящий момент практически отсутствуют. За исключением монографии «Обеспечение информационной безопасности деятельности учебного заведения», написанной при

5

участии автора данной диссертационной работы и ряда публикаций профессоров А.И. Куприянова и В.П. Мельникова по данной тематике было написано три диссертационные работы: «Управление информационными рисками с использованием технологий когнитивного моделирования: на примере высшего учебного заведения» (Кудрявцева М.Р., Уфа, 2008 г.), «Контроль сетевой политики безопасности и разграничение потоков данных в компьютерных сетях научных организаций» (Козачок А.В., Воронеж, 2010 г.), «Оценка защищенности автоматизированных учебно-тренировочных комплексов на факультетах военного обучения» (Супрун А.Ф., Санкт-Петергбург, 2007 г.). В этих работах не исследовались вопросы оценки и снижения уязвимости систем, не рассматривались в комплексе все возможные виды угроз информационной безопасности вуза и не разрабатывались комплексные рекомендации по функционированию системы обеспечения безопасности информации в вузе.

Таким образом, задача, поставленная в данной диссертационной работе, рассматривается впервые, а новизна исследований состоит в том, что:

• разработана концепция информационно-лингвистического анализа безопасности системы обеспечения безопасности информации в современном вузе в терминах информационных взаимосвязей. Данная концепция была затем использована в работе для разработки алгоритма проведения анализа и оценки уязвимости автоматизированных систем вуза.

• впервые создана методологическая основа для выполнения детализированного анализа информационной и функциональной взаимосвязности элементов системы обеспечения информационной безопасностью высшего учебного заведения. Благодаря этому стало возможно оценить уязвимость системы обеспечения безопасности информации в современном вузе.

Теоретическая ценность заключается в том, что проведенный анализ

потенциальных угроз и предложенные системы защиты от них углубляют и

расширяют общее содержание теории защиты информации применительно к

6

высшему учебному заведению. Полученные результаты систематизируют сведения теории защиты информации для вузов с учетом особенностей их функционирования.

Практическая значимость научных результатов исследований состоит в том, что они:

1) позволяют за счет выявления множества критичных для безопасности высшего учебного заведения элементов и связей между ними принимать меры к снижению уязвимости в среднем (для типовой политики безопасности) на 45.. .65%;

2) дополняют и уточняют, посредством разработанного для их представления тезауруса, Международный стандарт КОЛЕС 15408 в части определения системы требований, критериев и показателей обеспечения уверенности в безопасности информационных технологий по классам: «Оценка уязвимостей» и «Поддержка уверенности в безопасности», не ниже пятого-седьмого оценочных уровней безопасности, в соответствии с третьей частью этого стандарта;

3) позволяют включать в анализ схем информационных потоков такие операции как добавление в систему и удаление из нее компонентов, которые при использовании традиционных подходов к исследованию безопасности вуза обычно остаются за рамками этой схемы и правил, и, как следствие, за рамками моделей безопасности, в результате чего порядок их осуществления определяется разработчиками конкретных систем в частном порядке, что приводит к потере доказательности и неадекватной реализации моделей безопасности;

4) на их основе могут быть сформулированы новые критерии принятия решения о целесообразности того или иного усовершенствования АС, с тем расчетом, чтобы реализуемые ею функции безопасности не компрометировались интегрируемыми в нее новыми элементами.

Достоверность полученных результатов подтверждается:

• использованием при проведении исследований основополагающих концепций и методов современной математики, теории графов, а также в базовых

приложениях теорий вероятности и теорий множеств;

7

• сходимостью к известным результатам при введении ограничений и допущений;

• рассмотрением с единых методологических позиций основных задач исследований, лежащих в основе решаемой проблемы, что позволило аргументировано подойти к формулировке цели исследований и предложенным к ее достижению подходам.

Апробация работы и публикации по теме исследований

Основные результаты диссертационной работы общетеоретического и прикладного характера были внедрены:

• в ФГБОУ ВПО «Московский авиационный институт (национальный исследовательский университет)» (акт о внедрении от 23.05.2013 № 003-03-82);

• НОУ ВПО «ИИТУ» (акт о внедрении от от 28.05.2013 № 13/и);

• ООО НПФ «Информационные системы безопасности» (акт от 17 мая 2013 г.);

• ООО «Научно-производственная фирма «АИСТ» (акт использования результатов от 29 апреля 2013 года);

• ООО «Удостоверяющий центр Сибири» (акт о внедрении результатов от 07 мая 2013 года).

Результаты диссертационной работы легли в основу разработанной и внедренной в научно-исследовательской части МАИ информационной аналитической системой.

Научные результаты исследования были опубликованы в 4 статьях из списка ВАК, а также в двух учебных пособий и одной монографии.

Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Заключение диссертации по теме «Методы и системы защиты информации, информационная безопасность», Шемяков, Александр Олегович

ЗАКЛЮЧЕНИЕ

В диссертационной работе выполнен анализ и проведено теоретическое обобщение известных методов парирования угроз конфиденциальной информации применительно к высшему учебному заведению. Разработаны практические рекомендация по снижению уязвимости системы обеспечения безопасности информации в современном вузе. Основные результаты работы следующие.

1. Получен набор угроз безопасности и разрушения целостности информации высшего учебного заведения ограниченного распространения, а также информационным ресурсам вуза.

2. Классифицированы конкретные наборы методов и средств парирования различных видов угроз (от несанкционированного доступа, шпионажа и физических воздействий, электромагнитных излучений и наводок, компьютерных вирусов, взлома баз данных корпоративных систем вуза).

3. Разработаны алгоритмы проведения анализа и оценки уязвимости автоматизированных систем вуза

4. Разработаны рекомендации по снижению уязвимости системы обеспечения безопасности информации в современном вузе.

5. Получены теоретические и прикладные материалы использованы в Московском авиационном институте (НИУ), что позволило повысить обоснованность и эффективность принимаемых управленческих решений по вопросам построения информационно-аналитической системы вуза.

Список литературы диссертационного исследования кандидат технических наук Шемяков, Александр Олегович, 2013 год

СПИСОК ИСПОЛЬЗОВАННЫХ источников

1. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. ГТК при президенте РФ [руководящий документ: утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации 30 марта 1992 г.]. - М.:СИП РИА, 1997.

2. Андрианов, В. И. Шпионские штучки-3. Электронные средства коммерческой разведки. / В. И. Андриянов, А. В. Соколов. - М.: ACT, СПб: Полигон, 2000, - 224 с.

3. Андрианов, В. В. Технология защиты в принципах организации информационных систем. /В. В. Андриянов. // Защита информации. Конфидент. -1998. -№3. - С. 23-30.

4. Анин, Б. Ю. Защита компьютерной информации. / Б. Ю. Анин. - - СПб.: БХВ-Петербург, 2000. - 384 с.

5. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных : [утверждена Федеральной службой по техническому и экспортному контролю (ФСТЭК России) 15.02.2008].

6. Бармен, С. Разработка правил информационной безопасности. / С. Бармен. -М.: Вильяме, 2002. - 208 с.

7. Барсуков, В. С. Безопасность: технологии, средства, услуги. / В. С. Барсуков. -М.: КУДИЦ- ОБРАЗ, 2001.-496 с.

8. Беркович, С. Я. Клеточные автоматы как модель реальности: поиски новых представлений физических и информационных процессов. / С. Я. Беркович. - М.: Едиториал УРСС, 2003.- 184 с.

9. Бур дин, О. А. Оценка рисков компьютеризации организационных систем. / O.A. Бурдин. // Проблемы управления информационной безопасностью: Сборник трудов ИСА РАН. / Под ред. д.т.н., проф. Д.С. Черешкина. - М.: Едиториал УРСС, 2002.-С. 106- 111.

10. Вадзинский, Р. Н. Справочник по вероятностным распределениям. / Р. Н. Вадзинский. - СПб.: Наука, 2001. - 295 е., ил. 116.

11. Вехов, В. Б. Преступления в сфере высоких технологий. Десять лет это только начало / В. Б. Вехов. // Защита информации. Конфидент. - 2000. - № 6. - С. 32 -38.

12. Власов, А.И. Применение нейросетевых методов в информационных и аналитических системах. / А. И. Власов, Г. Л. Яковлева, В. Л. Яковлев. -М.: ИПРЖР, 2002.

13. В о лубу ев, С. В. Безопасность социотехнических систем. / С. В. Волубуев. -Обнинск: Викинг, 2000. - 340 с.

14. Гадасин, В. А. Оценка эффективности систем защиты информационных ресурсов. / В. А. Гадасин, Д. С. Черешкин, О. И. Елизаров, А. А. Кононов, Д. В. Тищенко, В. Н. Цыгичко. - М.: Институт системного анализа РАН, 1998.

15. Голов, А. В. Построение эффективной системы информационной безопасности [Электронный ресурс] / А. В. Голов. // Финансовая газета. - 2006 - № 8. Режим доступа: http://www.topsbi.rll/default.asp?artID=998.

16. Гордейчик, С. В. Безопасность беспроводных сетей / С. В. Гордейчик, В. В. Дубровин. - М.: Горячая линия - Телеком, 2008. - 288 с.

17. ГОСТ 34.03-90 Информационная технология. Комплекс стандартов на автоматизированные системы: Автоматизированные системы: термины и определения. - М.: Изд-во стандартов, 1991.

18. ГОСТ 34.03-90 Информационная технология. Комплекс стандартов на автоматизированные системы: Автоматизированные системы: Стадии создания. -М.: Изд-во стандартов, 1991.

19. ГОСТ Р 34.10.94 Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе ассиметрического криптографического алгоритма. - М.: Изд-во стандартов, 1995.

20. ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. - М.: Изд-во стандартов ,2000.

21. Грушо, А. А. Теоретические основы защиты информации. / А. А. Грушо, Е. Е. Тимонина. - М.: Яхтсмен, 1996. - 192 с.

22. Демурчев, Н. Г. Подходы к количественному анализу эффективности методики построения системы разграничения доступа. / Н. Г. Демурчев. // Материалы 51 научно-методической конференции преподавателей и студентов ставропольского государственного университета «Университетская наука - региону». - Ставрополь: Изд-во СГУ, 2006. - С. 356 - 359.

23. Доктрина информационной безопасности Российской Федерации : [утверждена Президентом РФ 9 сентября 2000 г.]. // Российская газета. - 2000. - № 187.

24. Домарев, В. В. Безопасность информационных технологий. Методология создания систем защиты. / В. В. Домарев. - К.: ООО «ТИД «ДС», 2001. - 688 с.

25. Жилин, Д. М. Теория систем: опыт построения курса. / Д. М. Жилин. - М.: Едиториал УРСС, 2003.- 184 с.

26. Зегжда, Д. П. Общая схема мандатных моделей безопасности и ее применение для доказательства безопасности систем обработки информации / Д. П. Зегжда. // Проблемы информационной безопасности. Компьютерные системы. - 2000. - № 2. -С. 89-97.

27. Зегжда, Д. П. Основы безопасности информационных систем. / Д. П. Зегжда, А. М. Ивашко. - М.: Горячая линия-Телеком, 2000. - 452 с.

28. Иванов, А. А. Чрезвычайные ситуации в системе защиты информации. / А. А. Иванов, В. В. Шарлот. // Защита информации. Конфидент. - 2000. - № 4-5. - С. 1022.

29. Иванов, Б. И. Дискретная математика. Алгоритмы и программы: учеб. пособие. / Б. И. Иванов. - М.: Лаборатория базовых знаний, 2001. - 288 с.

30. Капица, С. П. Синергетика и прогнозы будущего. / С. П. Капица, С. П. Курдюмов, Г. Г. Малинецкий. - М.: Эдиториал УРСС, 2001. - 288с.

31. Киселев, В. Д. Защита информации в системах передачи и обработки. / В. Д. Киселев, О. В. Есиков, А. С. Кислицын. - М.: Солид, 2000. - 200 с.

32. Комарцова, Л. Г. Нейрокомпьютеры. / Л. Г. Комарцова, А. В. Максимов. - М.: Едиториал УРСС, 2002. - 320 с.

33. Кононов, А. А. Методика оценки рисков нарушения информационной безопасности в автоматизированных системах. / А. А. Кононов, Д. С. Черешкин, Е. Г. Новицкий, В. Н. Цыгичко. - М.: Институт системного анализа РАН, 1999.

34. Кононов, А. А. Системный подход к разработке таксономии угроз безопасности информационных систем. / А. А. Кононов, Д. С. Черемушкин. // Сборник науч. трудов «Методы кибернетики и информационные технологии». -1999. -№3. - С. 111-120.

35. Корт, С. С. Теоретические основы защиты информации./ С. С. Корт. - М.: Гелиос АРВ, 2004. - 240 с.

36. Костогрызов А. И. Сертификация качества функционирования автоматизированных информационных систем. / А. И. Костогрызов, В. В. Липаев. -М.: 1996.-280 с.

37. Круглов, В. В. Интеллектуальные информационные системы: компьютерная поддержка систем нечеткой логики и нечеткого вывода. / В. В. Круглов, М. И. Дли. -М.: Едиториал УРСС, 2002.- 164 с.

38. Крутов, С. В. Защита в операционных системах. / С. В. Крутов, И. В. Мацкевич, В. Г. Проскурин. - М.:, Радио и связь, 2000. - 168 с.

39. Куприянов, А. И. Радиоэлектронные системы в информационном конфликте. / А. И. Куприянов, В. А. Сахаров. - М.: Вузовская книга, 2007. - 528 с.

40. Куприянов, А. И. Основы защиты информации: учебной пособие. / А. И. Куприянов, В. А. Сахаров, В. А. Шевцов. - М.: Изд. центр «Академия», 2006. - 256 с.

41. Курант, Р. Что такое математика? / Р. Курант, Г. Роббинс. - Ижевск: НИЦ «Регулярная и хаотическая динамика», 2001. - 529 с.

42. Курбатов, В. А. Руководство по защите от внутренних угроз информационной безопасности. / В. Курбатов, В. Ю. Скиба. / СПб.: Питер, 2008. - 320 с.

43. Лазарев, И. А. Информация и безопасность. Композиционная технология информационного моделирования сложных объектов принятия решений. / И. А. Лазарев. -М.: Московский городской центр научно-технической информации, 1997. - 336 с.

44. Лидский, Э. А. Игровая задача при конфликтной ситуации в информационной среде. / Э. А. Лидский. - Телекоммуникации. 2007. - № 6.

-С. 33-37.

45. Масановец, В. В. Методы комплексного контроля безопасности на объектах телекоммуникационных систем органов государственного управления. / В. В. Масановец, А. П. Фесун, О. Г. Никифоров. - М.: Управление делами Президента Российской Федерации, 2009. - 368 с.

46. Малинецкий, Г. Г. Современные проблемы нелинейной динамики. / Г. Г. Малинецкий Г. Г., А. Б. Потапов. - М.: Эдиториал УРСС, 2000. - 336 с.

47. Мельников, В. В. Безопасность информации в автоматизированных системах. / В. В. Мельников. - М.: Финансы и статистика, 2003. - 368 с.

48. Мельников, В. П. Информационное обеспечение систем управления. / В. П. Мельников. - М.: Изд. центр «Академия», 2009. - 336 с.

49. Мельников, В. П. Информационная безопасность и защита информации. / В. П. Мельников, С. А. Клейменов, А. М. Петраков. - М.: Изд. центр «Академия», 2009. -336 с.

50. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных : [утверждена Федеральной службой по техническому и экспортному контролю (ФСТЭК России) 14.02.2008].

51. Методика определения потенциала нападения при оценке стойкости функций безопасности анализе уязвимостей информационных технологий. / И. В. Егоркин, М. Т. Кобзарь, С. А. Коношенко, А. А. Сидак. // Российско-Белорусский науч.-практический журнал. - Минск-Москва: Управление защитой информации. - 2001. -№ 3. - С. 276-280.

52. Милославская, Н.Г. Управление рисками информационной безопасности \ Н. Г. Милославская, М. Ю. Сенаторов, А. И. Толстой. М.: Горячая линия - Телеком, 2013. -130 с.

53. Минаев, В. А. Проблемы поиска, фиксации и изъятия следов при неправомерном доступе к компьютерной информации в сетях ЭВМ: дис. ... канд. техн. наук : / Минаев Владимир Александрович. - М., 2004.

54. Моисеенков, И. Американская классификация и принципы оценивания безопасности компьютерных систем/ И. Моисеенков // КомпьютерПресс. - 1992. - № 2,3.

55. Обеспечение информационной безопасности деятельности учебного заведения: монография / В. В. Шевцов, В. П. Мельников, А. И. Куприянов, А. О. Шемяков. - М.: ЗАО «Издательское предприятие «Вузовская книга», 2012. - 343 с.

56. Об информации, информатизации и защите информации : [федер. закон: принят Государственной Думой 25 января 1995 г. : по состоянию на июль 2011 г.] // Российская газета - 1995. - № 39.

57. Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных» : [приказ Министерства связи и массовых коммуникаций Российской Федерации от 21 декабря 2011 г.] // Российская газета - 2012.

58. Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами,

являющимися государственными или муниципальными органами : [Постановление Правительства РФ от 21.03.2012] // Российская газета - 2012. - № 5743.

59. Об утверждении Перечня сведений конфиденциального характера : [указ Президента РФ от 06 марта 1997 г.] // Российская газета - 1997. - № 51.

60. Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных : [Постановление Правительства РФ от 17.11.2007] // Российская газета - 2007. - № 4523.

61. Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации : [Постановление Правительства РФ от 15.09.2008] // Российская газета - 2008. - № 4757.

62. Об утверждении Порядка проведения классификации информационных систем персональных данных : [приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи) России от 13 февраля 2008 г.] // Российская газета - 2008. - № 4637.

63. Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных : [приказ Роскомнадзора от 19 августа 2011 г.].

64. Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных : [Постановление Правительства РФ от 06.07.2008] // Российская газета - 2008. - № 4705.

65. О персональных данных : [федер. закон: принят Государственной Думой 8 июля 2006 г. : по состоянию на июль 2011 г.] // Российская газета - 2006. - № 4131.

66. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах

118

персональных данных: [утверждена Федеральной службой по техническому и экспортному контролю (ФСТЭК России) 15.02.2008].

67. Основы информационной безопасности / Е. Б. Белов, В. П. Лось, Р. В. Мещеряков, А. А. Шелупанов. - М.: Горячая линия - Телеком, 2006. - 544 с.

68. Основы управления информационной безопасностью / А. П. Курило, Н. Г. Милославская, М. Ю. Сенаторов, А. И. Толстой. - М.: Горячая линия - Телеком, 2012.

- 244 с.

69. Партыка, Т. Л. Информационная безопасность: учебн. пособ. для студентов учреждений среднего профессионального образования. / Т. Л. Партыка, И. И. Попов.

- М.: Форум; Инфра-М, 2002. - 368 с.

70. Парфенов, В. И. Защита информации. Словарь. / В. И. Парфенов. - Воронеж: Изд. им. Е.А. Болховитинова, 2003. -292 с.

71. Перервенко, А. В. Модели и методы формирования политик безопасности автоматизированных систем на основе данных активного аудита: дис. ... канд. техн. наук : / Перервенко Александр Вячеславович. - Санкт-Петербург, 2005.

72. Петренко, С. А. Современная концепция безопасности корпоративных компьютерных систем. / С. А. Петренко. // Защита информации. Конфидент. - 2000. -№6.-С. 79-83.

73. Петров, М. Ю. Создание информационно-технологического ресурса поддержки исследований проблем информационной безопасности. / М. Ю. Петров, В. М. Шишкин. - СПб.: ИИА РАН, 2001.

74. Пинчук, Г. Н. Анализ уязвимости - ключ к построению эффективной системы охраны объекта. / Г. Н. Пинчук. // Защита информации. Конфидент. - 2000. - № 5. -С. 92-94.

75. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных : [утверждена Федеральной службой по техническому и экспортному контролю (ФСТЭК России) 15.02.2008].

76. Смуров, С. В. Алгоритмы аутентификации и шифрования информации на основе формальных моделей параллельных процессов класса «клеточные автоматы». / С. В. Смуров. // Труды межд. симпозиума «Надежность и качество». - Пенза: Инф,-изд. центр Пенз. ГУ, 2002. - С. 126-137.

77. Смуров, С. В. Концепция информационно-лингвистического анализа безопасности сложных систем в терминах локальных взаимосвязей элементов защиты. / С. В. Смурнов. // Труды межд. симпозиума «Надежность и качество». -Пенза: Инф.-изд. центр Пенз. ГУ, 2002. - С. 235-240.

78. Смуров, С. В. Методический подход к априорной оценке уязвимости систем защиты. /С. В. Смуров. // Сборник трудов XX Межведомственной научно-технической конференции. - Серпухов: СВИ, 2001. - С. 208-213.

79. Смуров, С. В. Применение лингвистических переменных при разработке диагностических процедур сложных дискретных объектов. /С. В. Смуров, Ю. А. Романенко, Б. Ф. Безродный. // Информационные технологии в проектировании и производстве. - 2000. - № 1. - С. 33-36.

80. Смуров, С. В. Роль и место понятия «компрометирующей информации» в общей схеме анализа уязвимости автоматизированных систем. / С. В. Смурнов, Ю. А. Романенко. // Труды межд. симпозиума «Надежность и качество». - Пенза: Инф.-изд. центр Пенз. ГУ, 2004. - С. 175-180.

81. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации [руководящий документ: утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации 25 июля 1997 г.]. - Информационный бюллетень ТеНпй). -1997. -№ 17-18.

82. Соколов, А. В. Защита от компьютерного терроризма: справ, пособие. / А. В. Соколов, О. М. Степанюк. - СПб.: Арлит, 2002. - 496 с.

83. Степанов, П. Г. Принципы управления ресурсами в защищенной ОС «Феникс» ./ П. Г. Степанов. // Проблемы информационной безопасности. - 1999. №4 - С. 68-78.

84. Стрельцов, А. А. Организационно-правовое обеспечение информационной безопасности. / А. А. Стрельцов. - М.: Издательский центр «Академия», 2008. - 256 с.

85. Тарасевич, Ю. Ю. Математическое и компьютерное моделирование. Вводный курс: учебное пособие./ Ю. Ю. Тарасевич. - М.: Эдиториал УРСС, 2001. - 144 с.

86. Тарасенко, Ф. П. Введение в курс теории информации. / Ф. П. Тарасенко. -Томск: Издательство Томского университета, 1968. - 240 с.

87. Теория и практика обеспечения информационной безопасности. / Под ред. П. Д. Дегжда. - М.: Яхтсмен, 1996. - 302 с.

88. Тимофеев, П. А. Принципы защиты информации в компьютерных системах. / П. А. Тимофеев. // Защита информации. Конфидент. - 1998. - № 3. - С. 72 - 76.

89. Торокин, А. А. Основы инженерно-технической защиты информации. / А. А. Торокин. - М.: Издательство Ось-89, 1998. - 336 с.

90. Халяпин, Д. Б. Вас подслушивают? Защищайтесь! / Д. Б. Халяпин. - М.: ИД Мир Безопасности, 2001. - 320 с.

91. Хованов, Л. В. Анализ и синтез показателей при информационном дефиците. / Л. В. Хованов. - СПб.: Издательство СПбГУ, 1996. - 196 с.

92. Чертопруд, С. Организация реальной защиты информации в ком-пьютерных системах. / С. Чертопруд. - М.: Арсин, 1999. - 49 с.

93. Чижухин, Г.Н. Тензорный аппарат системотехники и его возможности при описании аппаратного и программного обеспечения систем защиты информации. / Г. Н. Чижухин. - СПб.: ИИА РАН, 2001.

94. Шаповалов, П. П. Коммерческий технический шпионаж и пути его нейтрализации. / П. П. Шаповалов. - М.: Щит, 1999. - 197 с.

95. Шемяков, А. О. Информационные ресурсы вуза и оценка их безопасности

[Электронный ресурс] /А. О. Шемяков // Труды Московского авиационного

121

института. - 2012. - № 50. - Режим доступа: http://mai.ru/science/trudy/published.php?K)=27592.

96. Шемяков, А. О. Причины повышения уязвимости и снижения стойкости функций безопасности автоматизированных систем вуза [Электронный ресурс] / А. О. Шемяков // Доклады Томского госуниверситета систем управления и радиоэлектроники. - 2013. - № 1.

97. Шемяков, А. О. Понятие компрометирующей информации в общей схеме анализа уязвимости автоматизированных систем [Электронный ресурс] / А. О. Шемяков // Труды Московского авиационного института. - 2013 - № 65. - Режим доступа: http://www.mai.ru/science/trudy/published.php?ID=35841.

98. Шемяков, А. О. Формирование политики информационной безопасности вуза / А. О. Шемяков // Вестник Московского авиационного института. - 2012. - № 1. - С. 188- 193.

99. Щеглов, А. Ю. Защита компьютерной информации от несанкционированного доступа. / А. Ю. Щеглов. - СПб.: Наука и техника, 2004. - 384 с.

100. Щербаков, А. Ю. Компьютерная безопасность. / А. Ю. Щербаков.- М.: Издатель Молгачева С. В., 2001. - 352 с.

101. Юсупов, Р. М. Научно-методологические основы информатизации. / Р. М. Юсупов, В. П. Заболотский. - СПб.: Наука, 2000. - 455 с.

102. Ярочкин, В. И. Способы несанкционированного доступа к объектам и источникам конфиденциальной информации. / В. И. Ярочкин. - М.: ФЗИ РГГУ, 1998. - 198 с.

103. Bryant В. Designing an authentication system: A dialogue in four scenes. 1998.

104. Steiner Jennifer, B. Clifford Neuman, Jeffrey I. Schiller. Kerberos: An authentication service for open network systems. USWNIX, Dallas, 1998.

105. Trusted Database Management System Interpretation. National Computer Security Center. NCSC-TG-021 Version 1, April 1991.

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное государственное бюджетное

образовательное учреждение высшего профессионального образования «МОСКОВСКИЙ АВИАЦИОННЫЙ ИНСТИТУТ (национальный исследовательский университет)»

(МАИ)

Волоколамское шоссе, д 4 Москва, Л-80, ГСП-3. 125993 Факс 8-Í499M 58-29-77 Tei 8-<499)-158-43-33 e-mail mat@mai го сжпо 02066606 огрн «вгшюио

ЙНН 7713338455 КПП 77430J001

23. 05". -20*3 Hi ООЪ-ОЪ-SZ____

гм № от _

^^^а^УТВЕРЖДАЮ

по научной paooie

чШл ,А __у,

.А. Шевцов 2013 г.

АКТ

о внедрении результатов диссертационной работы А.О. Шемякова на тему «Научно-методический аппарат опенки уязвимое!и системы обеспечения безопасности информации в современном вузе», представленной на соискание \ ченой степени кандидата технических на> к, в деиIельность научно-исследовательской части Московского авиационного института (национально-исследовательскою университета)

Настоящий акт составлен в том. что результаты диссертационной работы А О. Шемякова. в частности набор угроз безопасности и разрушения целостности информации высшею учебного заведения ограниченного распространения и информационным ресурсам в> за, а 1акже рекомендации по снижению уязвимости системы обеспечения информации в современном в>зе внедрены в дея£ельность научно-исследовагельской части федерального государственного бюджетного образовагелыюго учреждения высшею профессионального образования «Московский авиационный институт (национальный исследовательский университет», а именно в процессы автоматизации информационного сопровождения.

® управления послевузовским образованием (аспирантура), докторантурой и аттестацией научных кадров: • деятельности диссертационных советов: ® учета результатов выполнения 1 МОКР:

® публикационной активности научно-педагогических сотрудников МАИ (в РИНЦ и системах межд\народного цитирования);

в результатов интеллектуальной деятельности (патенты, полезные модели, программы для ЭВМ).

выполняемой в рамках реализации мероприятия 5.1. «Развитие информационных ресурсов и совершенствование системы управления качеством образования и научных исследований» Программы развития МАИ как национального исследовательского университета на 20092018 годы, утвержденной приказом Министерства образования и науки Российской Федерации от 17 ноября 2009 г №615.

Проректор по качеств^' и инфсрмаг/заиии

Заместитель прожектора по Hav-чной работе

Ю. И. Денискин

А. М Раздолин

Негосударственное образовательное учреждение высшего профессионального образования

«Институт информационных технологий и управления»

142210, г Серпухов, Московской обл Большой Ударный пер , д 1а тел 8(4967) 38-15-78 35-31-93, доб 130.

ОКПО 61550513 ОГРН 1095000001337, ИНН/КПП 5043037981/504301001 *акс 8(4967) 38-15-78

e-mail nturf@gmail com, www »tu гц

. у. ПИСТОВ ЙСХ. №

¿г

чй ШО 1tayr ж^вдмгаоав t дав*

"УТВЕРЖДАЮ"

Ректор НОУ ВПО «ИИТУ»

Ли

Засл. из^р^т^ель РФ. дтн, проф.

И.А. Бугаков >» 2013 г.

АКТ

использования результатов диссертации А. О. Шемякова «Научно-методический аппарат оценки уязвимости системы обеспечения

безопасности информации в современном вузе» в Негосударственном образовательном учреждении высшего профессионального образования «Институт информационных технологий и управления» (НОУ ВПО «ИИТУ»)

Результаты научных исследований, полученные Александром Олеговичем Шемяковым в кандидатской диссертации «Научно-методический аппарат оценки уязвимости системы обеспечения безопасности информации в современном вузе», а именно:

• перечень потенциальных угроз информационной безопасности высшего учебного заведения и вариант классификация методов их парирования;

• алгоритм проведения анализа и алгоритм оценки уязвимости автоматизированных систем вуза;

• рекомендации по снижению уязвимости системы обеспечения безопасности информации в современном вузе

использованы в НОУ ВПО «ИИТУ» в образовательном процессе (при разработке содержательной части и чтении дисциплин: «Информатика и информационные технологии в профессиональной деятельности», «Основы информационной безопасности», «Информационная безопасность и защита информации». «Надежность информационных систем»), а также при формировании технического облика и реализации обладающей необходимой защищенностью информационной системы вуза (в частности, при защите персональных данных для работы в ФИС ЕГЭ).

Первый проректор НОУ ВПО «ИИТУ» ^ ^ ~ ррИ: Медведев

«/J» 2013 г. J1Д

«У 1 верждаю» 1 >неральный ,трекI ор

«И11 форма!{иониые системы

оезопаенщш>>

тшы,'лЩЩС/ В.Л. Холодков

20 Г/ г

АКТ

о внедрении результатов диссертационной работы 4.О. Шемякова

Комиссия в составе: председатель Холодков В.А,, члены комиссии Мельников М.И., Миронова В.Г., Праскурин Г Л. составила настоящий акч в том, чго результаты диссертационной работы А.О 111 ем я ко па на тему «Научно-методический аппарат оценки уязвимости сисюмы обеспечения безопасности информации в современном вузе» внедрены в ООО НПФ «Информационные системы безопасности» при выполнении мероприятий по защите персональных данных в учреждении сисюмы образования в следующем виде.

1. Классификации преднамеренных угроз информационной безопасности в информационной системе, функционирующей в учреждении системы образования;

2. Рекомендуемых методов и средств технологий защит о г угроз безопасности информации, обрабатываемой и хранимой в информационной системе.

3 Разработанного алгоритма проведения оценки уязвимости и нформ а ци о и н ы х с и стем.

Использование указанных результатов позволило получить следующий эффект.

I) использование разработанной мешдики сократило временные и финансовые затраты как при реализации мероприятии по защше

персональных данных, так н при осуществлении контроля соответствия !рисованиям;

2} за! раш на проведение предироектиого обследования информационных систем снизились на 65%,

3) время. затрачиваемое па проведение прелироек1ного обследования информационных систем снизилось на 52%;

Мельников МИ, Миронова В.Г. Праскурин Г.А.

Холодков В.А.

»-•р

¡и

УТВЕРЖДАЮ

Директор ООО «Научно-

произво|щщ£щая фирма «АИСТ»

/Перфильев A.B./ 20 & г.

АКТ

ИСПОЛЬЗОВАНИЯ РЕЗУЛЬТАТОВ ДИССЕРТАЦИОННОЙ РАБОТЫ АЛЕКСАНДРА ОЛЕГОВИЧА ШЕМЯКОВА

Директор ООО «Научно-производственная фирма «АИСТ» Перфильев A.B. составил настоящий акт в том, что в ООО «Научно-производственная фирма «АИСТ» внедрены результаты диссертационной работы Шемякова А.О. на тему «Научно-методический аппарат оценки уязвимости системы обеспечения безопасности информации в современном вузе» в виде «Алгоритма проведения анализа уязвимости автоматизированных систем».

С использованием данного алгоритма ООО «Научно-производственная фирма «АИСТ» провела оценку уязвимостей информационной системы. Для этой системы была получена модель угроз и уязвимостей, а также сформированы перечни рекомендуемых организационно-технических мероприятий по их защите.

Таким образом, в ООО «Научно-производственная фирма «АИСТ» не проводилась разработка моделей угроз и не привлекались сторонние специалисты и дополнительные финансовые затраты.

После внедрения методики и программного обеспечения получен следующий эффект:

1) затраченное на защиту персональных данных время уменьшено на 18% от планируемого;

2) финансовые затраты на обеспечение защиты персональных данных снижены на 15% от планируемых при привлечении компании - аудитора.

Директор ООО «Научно-производственная фирма «АИСТ»

вэе^

а

'«ЛИСП

к

Ж/Перфильев А.В./

5Г.1,

т

УТВЕРЖДАЮ

мрШМпиШ II /Н.С. Михайлов/

достове^йадий центр Сибири»

^Ш0ЛШщШ>ны й директор ООО

5- V» Ок *У \\

АКТ

О внедрении результатов диссертационной работы Шемякова Александра Олеговича

Комиссия в составе:

Председателя:

Михайлов Н.С., Исполнительный директор ООО «Удостоверяющий центр Сибири».

Члены комиссии:

Черных Д.В., технический специалист ООО «Удостоверяющий центр Сибири»;

Мельникова Ю.В. технический специалист ООО «Удостоверяющий центр Сибири».

составили настоящий акт о нижеследующем.

ООО «Удостоверяющий центр Сибири» проводились работы по выявлению и оценке уязвимостей информационной системы обработки информации в Федеральном государственном бюджетном образовательном учреждении «Томский государственный университет систем управления и радиоэлектроники». В рамках исследования по данной тематике была произведена преднамеренных угроз информационной безопасности в информационной системе, функционирующей в учреждении системы образования и сформированы соответствующие модели угроз. Модели угроз содержат перечень угроз для исследуемой информационной системы конкретного типа с определением вероятности реализации, опасности и актуальности каждой угрозы. Для каждой из актуальных угроз, были

предложены одно или несколько рекомендуемых мероприятий по их предотвращению. В ходе проведения оценки уязвимостей информационной системы использовались алгоритмы «Алгоритм проведения анализа уязвимости автоматизированных систем вуза» и «Алгоритм проведения оценки уязвимости автоматизированных систем управления вуза» .

Результаты работы Шемякова А.О. внедрены в деятельность ООО «Удостоверяющий центр Сибири» в результате чего достигнуты следующие показатели:

классификация преднамеренных угроз информационной безопасности в информационной системе, функционирующей в учреждении системы образования позволяет охватить полный перечень угроз и выявить среди них актуальные, тем самым спроектировать и построить надежную систему защиты;

время, затрачиваемое на проведение предпроектного обследования информационных систем снизилось на 59%;

затраты на проведение предпроектного обследования информационных систем снизились на 71 %.

Исполнительный директор ООО «Удостоверяющий центр Сибири» Михайлов Н.С.

Технический специалист ООО «Удостоверяющий центр Сибири» Черных Д.В.

Технический специалист ООО «Удостоверяющий центр Сибири» Мельникова Ю.В.

« ОТ» сма-я 2011г.

«(Я-» смдиО- 2013г.

Мии>ии(Тгу «СР» 2015 г.

Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.