Автоматизированное управление многоуровневым доступом к информационному и программному обеспечению промышленного предприятия тема диссертации и автореферата по ВАК РФ 05.13.06, кандидат наук Кузнецова, Наталия Михайловна

Введение

Актуальность темы исследования. Современные промышленные предприятия всё чаще сталкиваются с проблемой нарушения параметров защиты информационного и программного обеспечения АСУТП, АСУП, АСТПП, связанной с несанкционированными действиями легальных пользователей -сотрудников предприятия.

Ведущие промышленные предприятия страны ставят задачи усовершенствования механизмов и технологий контроля работы с информационным и программным обеспечением АСУТП, АСУП, АСТПП.

В настоящее время промышленные предприятия используют интегрированные информационные среды, технологии классов CALS, ERP, MRP, SCADA, CAD/CAM/CAE, применение которых предполагает наличие высокого уровня защиты информационного и программного обеспечения АСУТП, АСУП, АСТПП.

Существует ряд систем предотвращения несанкционированного использования информационного и программного обеспечения, но ни одна из них не обеспечивает комплексной защиты ресурсов АСУТП, АСУП, АСТПП.

Необходимость обеспечения комплексной защиты информационных и программных ресурсов требует разработки единой, интегрированной в основную информационную среду предприятия, системы, основной задачей которой является предотвращение максимального количества видов «инсайдерских» атак.

Сложность структуры информационного и программного обеспечения АСУТП, АСУП, АСТПП промышленного предприятия определяет сложность структуры разрабатываемой автоматизированной системы разграничения доступа к информационному и программному обеспечению (АСРДкИПО).

Цель работы является разработка методики автоматизированного управления многоуровневым доступом к информационным и программным ресурсам промышленного предприятии для повышения уровня защиты АСУТП, АСУП, АСТПП.

Задачи работы

1 Проведение анализа особенностей обработки информации в АСУТП, АСУП, АСТПП с точки зрения защиты информационного и программного обеспечения.

2 Разработка методики проектирования автоматизированной системы разграничения доступа к информационному и программному обеспечению АСУТП, АСУП, АСТПП для обеспечения должного уровня защиты.

3 Выявление взаимосвязей между структурными подразделениями промышленного предприятия для последующего анализа информационных потоков.

4 Разработка структурной модели автоматизированного управления информационными потоками на промышленном предприятии, основанной на принципе контроля и защиты информационного и программного обеспечения АСУТП, АСУП, АСТПП.

5 Создание алгоритма управления разграничением доступа сотрудников предприятия к информационным структурам предприятия, объединяющего процессы идентификации, аутентификации и авторизации сотрудников, целью которого является предотвращение угроз нарушения параметров защиты АСУТП, АСУП, АСТПП.

6 Разработка программного модуля управления базой данных автоматизированной системы предприятия с целью обеспечения контроля достоверности ее функционирования.

Положения и результаты, обладающие научной новизной, выносимые автором на защиту:

1 Выявленные взаимосвязи информационных ресурсов структурных подразделений промышленного предприятия, отличающихся уровнем разграничения доступа к информационному и программному обеспечению АСУТП, АСУП, АСТПП.

2 Структурная модель автоматизированного управления информационными потоками производственного предприятия на основе принципов ограничения доступа к информационным и программным ресурсам АСУТП, АСУП, АСТПП.

3 Алгоритм управления разграничением доступа в соответствии с должностными инструкциями сотрудников предприятия к информационным структурам предприятия.

4 Основные программно-аппаратные модули автоматизированной системы разграничения доступа к информационному и программному обеспечению АСУТП, АСУП, АСТПП.

Практическая значимость работы заключается в методическом обеспечении разработки программно-аппаратного комплекса защиты автоматизированных систем промышленного предприятия, основанного на результатах анализа достоинств и недостатков существующих технологических решений.

Теоретическая значимость работы. Научные выводы, представленные в работе, могут быть использованы при проектировании систем защиты информационного и программного обеспечения.

Апробация работы. Результаты, а также основные положения работы, предложенные в ней докладывались на 4-х международных и всероссийских конференциях:

-1 Международная конференция конструкторско-технологической информатики, Москва, 2012;

- IV Международная научно-практическая конференция «Повышение управленческого, экономического, социального и инновационно-технического потенциала предприятий, отраслей и народнохозяйственных комплексов», Пенза, май 2012;

- IX Всероссийская научно-практическая конференция «Конкурентоспособность предприятий и организаций», Пенза, май 2012;

- XVII Международная научно-техническая конференция «Информационно-вычислительные технологии и их приложения», Пенза, июнь 2012.

Диссертационная работа соответствует пункту 12 паспорта специальности 05.13.06 «Методы контроля, обеспечения достоверности, защиты и резервирования информационного и программного обеспечения АСУТП, АСУП, АСТПП», так как посвящена решению проблемы обеспечения комплексной защиты информационных и программных ресурсов автоматизированных систем промышленного предприятия.

ГЛАВА 1. ИССЛЕДОВАНИЕ И АНАЛИЗ ТЕОРЕТИЧЕСКИХ ОСНОВ РАЗГРАНИЧЕНИЯ ДОСТУПА К ИНФОРМАЦИОННЫМ И ПРОГРАММНЫМ РЕСУРСАМ АСУТП, АСУП АСТПП ПРЕДПРИЯТИЯ

1.1 Анализ особенностей обработки информации в АСУТП, АСУП, АСТПП с точки зрения защиты информационного и программного

обеспечения от внутренних угроз

На сегодняшний день существует множество систем защиты информационного и программного обеспечения от внутренних угроз.

Одной из наиболее популярных технологий является технология IPC (Information Protection and Control). Основные функции, выполняемые технологией IPC:

- предотвращение различных видов утечек информационных ресурсов;

- защита информационных и программных ресурсов от внутренних угроз;

- предупреждение промышленного шпионажа.

К информационным ресурсам АСУТП, АСУП, АСТПП относятся:

- данные предприятия о разработках, проектах;

- персональные данные сотрудников предприятия. К данным предприятия о проектах можно отнести:

- технические задания;

- программные коды разработок;

- проектно-конструкторскую документацию;

- сопровождающую документацию;

- экономические характеристики проектов.

К персональным данным сотрудников предприятия относятся:

- номера паспортов;

- номера документов, заверяющих личность;

- номера страховок;

- номера кредитных карт [50, 95, 96, 145].

Разрабатываемая автоматизированная система разграничения доступа к информационному и программному обеспечению (далее АСРДкИПО) имеет сложную структуру, так как должна решать не только проблему утечки информационных ресурсов за пределы АСУТП, АСУП, АСТПП, но и многие другие задачи, речь о которых пойдёт ниже.

Основными объектами защиты проектируемой АСРДкИПО являются:

- информационные ресурсы АСУТП, АСУП, АСТПП, потеря или несанкционированное изменение которых влечёт за собой ущерб, потерю репутации предприятия;

- процессы обработки информационных и программных ресурсов. Примером процессов обработки могут служить хранение, исполнение (запуск), передача, отображение, изменение, вычислительная обработка, утилизация;

- программное обеспечение АСУТП, АСУП, АСТПП;

- информационная архитектура, представляющая собой структурированную совокупность автоматизированных систем и технологий предприятия (АСУТП, АСУП, АСТПП).

Информационная среда предприятия является распределенной структурой, объединяющей информационные подсистемы предприятия (АСУТП, АСУП, АСТПП) в единую интегрированную автоматизированную компьютерную систему предприятия, осуществляющую обработку, хранение и преобразование данных [1].

К основным особенностям информационной среды предприятия относятся:

- хранение информационных ресурсов в единых хранилищах (северах, банках данных, «серверных фермах» и т.д.);

-многофункциональность и широкий круг применения программного и информационного обеспечения АСУТП, АСУП, АСТПП;

- возрастание ответственности принимаемых решений, возложенной на АСУТП, АСУП, АСТПП;

- функциональное разнообразие выполняемых задач АСУТП, АСУП, АСТПП;

- высокий показатель нагрузки внутреннего информационного трафика (особенно это касается файлов конструкторской документации, графических файлов);

- применение особых технологий обработки графических файлов;

- недопустимость возникновения перебоев работы АСУТП, АСУП, АСТПП, особенно при применении систем реального времени, (обязательно присутствующих на предприятиях, использующих станки ЧПУ);

-многообразие пользователей АСУТП, АСУП, АСТПП - сотрудников предприятия;

-объединение большого количества информационного, программного и аппаратного обеспечения в единую интегрированную информационную систему.

С учётом перечисленного ожесточаются требования к соблюдению норм и правил работы с информационным и программным обеспечением АСУТП, АСУП, АСТПП промышленного предприятия [51, 68, 74].

К субъектам защиты АСРДкИПО относятся:

- юридические и физические лица, задействованные в обеспечении выполнения предприятием своих функций (разработчики, консультанты, сторонние организации, привлекаемые для оказания услуг, обслуживающий персонал и т.д.);

- сотрудники структурных подразделений предприятия;

- подразделения предприятия;

- руководство предприятия;

- предприятие в целом;

- представители третьей стороны.

Перечисленные субъекты заинтересованы в обеспечении:

- целостности информационных ресурсов АСУТП, АСУП, АСТПП;

- полезности информационных ресурсов АСУТП, АСУП, АСТПП;

- достоверности информационных ресурсов АСУТП, АСУП, АСТТШ;

- конфиденциальности информационных ресурсов АСУТП, АСУП, АСТ1111;

- доступности информационных ресурсов АСУТП, АСУП, АСТПП;

- защите информационных ресурсов АСУТП, АСУП, АСТПП от несанкционированного копирования, распространения, тиражирования;

- защите программных ресурсов АСУТП, АСУП, АСТПП от некомпетентного и некорректного использования (как специально, так и по неосторожности);

-разграничения ответственности за нарушения и отклонения от правил работы с информационными и программными ресурсами АСУТП, АСУП, АСТПП;

- возможности мониторинга работы с информационными и программными ресурсами АСУТП, АСУП, АСТПП, определения причин инцидентов нарушения их защиты.

Основной целью проектируемой АСРДкИПО является защита перечисленных объектов от возможного нанесения им физического, материального, морального или иного ущерба.

Указанная цель должна достигаться посредством обеспечения и постоянного поддержания следующих свойств информационных ресурсов АСУТП, АСУП, АСТПП:

-конфиденциальность — сохранение в секрете информационных ресурсов, находящихся внутри АСУТП, АСУП, АСТПП;

- целостность - сохранение свойств и полноты информационных ресурсов, находящихся внутри АСУТП, АСУП, АСТПП;

-доступность информационных ресурсов для легальных пользователей -нахождение АСУТП, АСУП, АСТПП в таком состоянии, при котором санкционированные пользователи (сотрудники предприятия) могли обращаться и работать с запрашиваемыми информационным и программными ресурсами АСУТП, АСУП, АСТПП. [51, 70, 71].

К качеству информационных ресурсов, предоставляемых сотрудникам предприятия, предъявляются определенные требования, прежде всего требования о том, чтобы они были полезными.

Для того чтобы информационные ресурсы АСУТП, АСУП, АСТ1111 обладали перечисленными свойствами, необходима разработка методики защиты информационных и программных ресурсов АСУТП, АСУП, АСТ1111. Методика защиты информационных и программных ресурсов АСУТП, АСУП, АСТПП должна включать в себя следующие аспекты:

- применение принципа предоставления сотруднику минимального количества разрешенных программ, специального программного обеспечения для работы с журналами безопасности (для сотрудников отдела информационной безопасности предприятия), оперативного контроля состояния автоматизированных рабочих мест сотрудников;

- обеспечение комплексного использования средств защиты информационных и программных ресурсов АСУТП, АСУП, АСТПП;

- централизованное управление потоками информации в АСУТП, АСУП, АСТПП;

- централизованное управление учётными записями сотрудников предприятия, зарегистрированных в АСУТП, АСУП, АСТПП, их правами доступа к информационным массивам;

-комплексное использование средств защиты от утечки информационных ресурсов по техническим каналам [116].

Для обеспечения доходности, ликвидности, конкурентоспособности, сохранения репутации промышленного предприятия информационные ресурсы АСУТП, АСУП, АСТПП должны обладать всеми перечисленными свойствами [44, 68].

В соответствии с изложенными аспектами, в АСРДкИПО предполагается использовать средства защиты информационного и программного обеспечения АСУТП, АСУП, АСТПП предприятия:

- централизованное управление параметрами операционных систем, установленных на рабочих станциях сотрудников предприятия [30,33, 79];

- централизованное управление учётными записями сотрудников предприятия - пользователей АСУТП, АСУП, АСТПП;

- применение современных методов идентификации, аутентификации и авторизации сотрудников предприятия при работе с информационным и программным обеспечением АСУТП, АСУП, АСТПП;

- применение методов шифрования;

- использование только зарегистрированных, прошедших контроль на наличие закладок и вирусов, устройств и внешних носителей [125];

- использование лицензированного, прошедшего специальный контроль программного и аппаратного обеспечения;

- использование только сертифицированных средств защиты информации;

- применение методики однонаправленной передачи информации от удаленных подсистем, между контурами различных грифов секретности, а также с автоматизированных рабочих мест ввода данных, при обращении к базе данных инцидентов нарушения защиты информационного и программного обеспечения АСУТП, АСУП, АСТПП (подробнее речь о базе данных пойдёт в главе 4) [116];

- защита от несанкционированного физического доступа к серверам, хранилищам информации, «серверным фермам»;

-проведение специальных проверок технических средств АСУТП, АСУП, АСТПП;

- проведение специальных проверок аппаратного обеспечения АСУТП, АСУП, АСТПП [116];

-проведение специальных проверок программного обеспечения АСУТП, АСУП, АСТПП;

- проведение специальных исследований технических средств АСУТП, АСУП, АСТПП;

- проведение специальных исследований помещений;

- проведение специальных исследований программного обеспечение АСУТП, АСУП, АСТПП;

- проведение специальных исследований аппаратного обеспечения АСУТП, АСУП, АСТПП;

-применение механизма сигнализации - события несанкционированного доступа на автоматизированных рабочих местах сотрудников - отслеживание и оповещение сотрудников отдела информационной безопасности предприятия. Также должна существовать возможность информирования не только сотрудников отдела безопасности предприятия, но и непосредственно руководства. Важно отметить, что события несанкционированного доступа также заносятся в базу данных инцидентов нарушения правил работы с информационным и программным обеспечением АСУТП, АСУП, АСТПП;

-применение методики «замкнутой программной среды» - для каждого сотрудника предприятия - пользователя АСУТП, АСУП, АСТПП — формируется определенный перечень программ, разрешенных только ему для запуска. Перечень может быть задан как индивидуально для каждого пользователя, так и определен на уровне групп пользователей. Применение данного режима необходимо для исключения попыток заражения вирусами, «червями», для предотвращения промышленного шпионажа, а также применения нелицензированного программного обеспечения [116];

-применение программы работы с базой данных инцидентов нарушения защиты информационного и программного обеспечения АСУТП, АСУП, АСТПП. Данная программа должна позволять производить просмотр записи базы данных, архивировать записи и проводить восстановление из архивов, осуществлять фильтрацию по заданным критериям, а также сохранять записи в файл - журнал аудита. Кроме того, проектируемая АСРДкИПО должна предоставлять:

а) оперативный контроль состояния автоматизированных рабочих мест сотрудников и терминалов АСУТП, АСУП, АСТПП и получение информации о состоянии работающих на них сотрудниках;

б) оповещение сотрудника службы информационной безопасности предприятия (офицера безопасности), а также руководства о событиях несанкционированного доступа в режиме реального времени;

в) оперативное реагирование на события несанкционированного доступа - выключение, перезагрузка или блокировка контролируемых автоматизированных рабочих мест сотрудников;

г) ведение базы данных инцидентов нарушения правил работы с информационным и программным обеспечением АСУТП, АСУП, АСТПП;

д) создание удобного интерфейса для представления инфраструктуры АСУТП, АСУП, АСТПП.

Согласно ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология Практические правила управления информационной безопасностью», информация - это актив, который, подобно другим активам предприятия, имеет ценность и, следовательно, должен быть защищён надлежащим образом [27, 31, 32].

Применение принципов контроля за информационным и программным обеспечением АСУТП, АСУП, АСТПП призвано защитить информационные ресурсы от обширного спектра угроз нарушения параметров защиты [50, 83, 84].

Информация на промышленном предприятии может существовать в различных формах:

- в бумажной форме;

- в электронном виде;

-устно [93,99].

В электронном виде информация может передаваться как в локально-вычислительной сети (ЛВС), так и в глобальной вычислительной сети (ГВС). Безотносительно формы выражения информационных ресурсов, средств их распространения или хранения они должны всегда быть защищены [9, 25].

На современном промышленном предприятии большая часть информационных ресурсов в электронном виде. Это, в первую очередь, связано с повсеместным внедрением:

- электронного документооборота;

- интеграционных средств поддержки;

- единых сред обработки большого количества информации;

- технологии непрерывной информационной поддержки поставок и жизненного цикла изделий CALS;

- технологии планирования ресурсов предприятия ERP;

- технологии управления и сбора данных систем реального времени SCADA;

-технологии проектирования CAD/CAM/CAE;

-применение дополнительных вспомогательных программных модулей и комплексов. [78, 91]

Согласно ГОСТ 17799-2005 «Информационная технология Практические правила управления информационной безопасностью», информационная безопасность основной информационной системы предприятия достигается путем реализации комплекса мероприятий, направленных на обеспечение целостного управления информационной безопасностью, в качестве которых могут выступать процедуры, методы, политики, организационные структуры и функций программного и аппаратного обеспечения [27, 122].

1.2 Анализ угроз нарушения параметров защиты информационного и программного обеспечения автоматизированных систем предприятия,

путей их предотвращения

Промышленные предприятия всё чаще сталкиваются с различными угрозами безопасности информационных и программных ресурсов, такими как:

- промышленный шпионаж;

- компьютерное мошенничество;

- вредительство, вандализм;

- распространение компьютерных вирусов;

- распространение программных закладок;

-применение атак вида «Отказа в обслуживании» (так называемые DOS-атаки) [50]. Наличие большого количества серверов обработки и серверов

хранения информационных ресурсов, чаще всего представляющих объёмные файлы графических форматов, требует обеспечения защиты от атак вида «Отказа в обслуживании».

Промышленные предприятия также всё чаще прибегают к помощи сторонних служб и организаций, что также является потенциальной уязвимостью [1,3].

Существует несколько факторов, обуславливающих снижение уровня защиты информационного и программного обеспечения АСУТП, АСУП, АСТПП предприятия:

- многофункциональность АСУТП, АСУП, АСТПП;

-применение разнородного программного обеспечения в АСУТП, АСУП, АСТПП (в едином информационном пространстве);

- разнообразие пользователей АСУТП, АСУП, АСТПП;

- высокий уровень информационного трафика во внутренней сети предприятия [33, 102].

В связи с этим, разрабатываемая АСРДкИПО должна представлять собой интегрированную распределённую информационную систему, состоящую из нескольких модулей, позволяющих управлять всеми частями АСУТП, АСУП, АСТПП.

Естественно предположить, что при проектировании специального программного обеспечения (ПО), используемого сотрудниками предприятия при выполнении своих должностных обязанностей, должны учитываться требования методики защиты АСУТП, АСУП, АСТПП. Примером такого специального ПО являются среды программирования:

- Oracle JDevelope;

- Microsoft Visual Studio;

- Embarcadero RAD Studio;

и среды проектирования:

-AutoCAD;

- ProEngineer;

- T-Flex;

редакторы-верификаторы G-кода:

- NCManager;

- CIMCO Edit;

- cgtech VERICUT;

текстовые редакторы:

- Microsoft Word; -ТЕХ.

Также уровень защиты, который может быть достигнут техническими средствами, имеет ряд ограничений и, следовательно, должен сопровождаться надлежащими организационными мерами. Выбор необходимых мероприятий по управлению защитой информационного и программного обеспечения АСУТП, АСУП, АСТПП требует тщательного планирования и внимания к деталям. При разработке АСРДкИПО необходимо учитывать все перечисленные особенности применения ПО и аппаратного обеспечения (АО) в АСУТП, АСУП, АСТПП.

Для обеспечения высокого уровня качества внедряемой АСРДкИПО необходимо выполнение всех норм и требований, указанных в ГОСТ [32, 129], уже на этапах сбора информации о АСУТП, АСУП, АСТПП и проектирования АСРДкИПО.

Определение требований согласно методике обеспечения защиты информационного и программного обеспечения АСУТП, АСУП, АСТПП предприятия включает в себя:

- оценку рисков безопасности функционирования АСУТП, АСУП, АСТПП. В рамках оценки рисков необходимо произведение подсчёта возможных угроз нарушения защиты АСУТП, АСУП, АСТПП, планирование комплекса мероприятий по их предотвращению [50];

- приведение к соответствию требованиям нормативных документов ключевых параметров АСРДкИПО [114, 116];

-формирование специального набора норм, законов, целей и требований, разработанных промышленным предприятием в отношении работы с информационными и программными ресурсами АСУТП, АСУП, АСТПП.

Путём проведения систематической оценки рисков определяются требования к параметрам защиты информационного и программного обеспечения АСУТП, АСУП, АСТПП. Следует помнить, что расходы на приобретение и внедрение средств защиты не должны превышать возможную сумму убытков от реализации угрозы [110].

Решения о расходах на мероприятия по защите информационного и программного обеспечения АСУТП, АСУП, АСТПП должны приниматься, исходя и из возможного ущерба, нанесенного предприятию в результате нарушений параметров защиты систем. Оценки рисков могут проводиться как для АСУТП, АСУП, АСТПП в целом, так и для отдельных составляющих модулей.

Оценка риска - это систематический анализ следующих вероятностей:

- возникновения угрозы;

- возникновения инцидента нарушения правил работы с информационными и программными ресурсами АСУТП, АСУП, АСТПП - реализации угрозы;

- возникновение последствий инцидента.

В зависимости от результатов оценки рисков должны быть определены конкретные меры управления рисками, связанными с защитой информационного и программного обеспечения АСУТП, АСУП, АСТПП, а также проведены соответствующие мероприятия.

Оценка рисков должна производиться с использованием принципов системности и комплексности: для предприятия должны быть выявлены возможные источники угроз, предоставлены подробные отчёты о проведенном анализе.

В ходе анализа необходимо учитывать:

- технический прогресс;

- возможные изменение направления деятельности предприятия;

- возможные изменение приоритетов деятельности предприятия;

- появление новых видов уязвимостей АСУТП, АСУП, АСТ1111;

- появление новых видов угроз.

Более глубокую детализацию анализа следует проводить:

- в сложных комплексах элементов АСУТП, АСУП, АСТПП;

- в сложных механизмах АСУТП, АСУП.

После анализа рисков необходима разработка комплекса мероприятий для обеспечения требуемого уровня защиты. При выборе мероприятий следует придерживаться принципа, что стоимость их проведения не должна превышать ценности защищаемых ресурсов АСУТП, АСУП, АСТПП. Ценность информационных ресурсов составляют их актуальность и полезность. Ценность программных ресурсов составляет их функциональность и полезность. Также следует принимать во внимание факторы, которые не могут быть представлены в денежном выражении, например, потерю репутации [77].

Ключевыми мерами контроля с точки зрения законодательства Российской Федерации являются:

- обеспечение конфиденциальности персональных данных сотрудников предприятия;

Список литературы

1. Алтухов, Л.Г. Безопасность информационных систем [Электронный ресурс] / Л.Г. Алтухов - 2004. - Режим доступа: http://www.infoforum.ru

2. Алферов, А.П. Основы криптографии / А.П. Алферов, А.Ю. Зубов, A.C. Кузьмин, A.B. Черемушкин - М.: «Гелиос АРВ», 2002. - 480 с.

3. Ананский, Е.В. Защита информации — основа безопасности бизнеса / Е.В. Ананский // Служба безопасности №9-10, 11-12 1999г, №1-2 2000.

4. Анапский, Е.В. Защита информации основа безопасности бизнеса [Электронный ресурс] / Е.В. Анапский. - Режим доступа: http://www.bezpeka.com

5. Анин, Б.Ю. Защита компьютерной информации / Б.Ю. Анин - СПб.: БХВ-Санкт-Петрбург, 2000. - 384 с.

6. Астахов, A.B. Аудит безопасности информационных систем [Электронный ресурс] / A.B. Астахов. - 2004. - Режим доступа: http://www.globaltrust.ru/security

7. Афанасьев, A.A. Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам: учебное пособие для вузов /A.A. Афанасьев, Л.Т. Веденьев, A.A. Воронцов - Москва, 2012. - 550 с.

8. Балашов, П. Д. Оценка рисков информационной безопасности / П.Д. Балашов // Москва: Конфидент, 2003. - 10 с.

9. Барсуков, B.C. Современные технологии безопасности / В.С Барсуков, В.В. Водолазкий. - М.: Нолидж, 2000. - 496 с.

10. Бауэр, Ф Расшифрованные секреты. Методы и принципы криптологии / Ф. Бауэр - М.: Мир, 2007. - 550 с.

11. Безруков, H.H. Компьютерная вирусология / H.H. Безруков -Справочник - Украинская Советская Энциклопедия, 1991.- 416 с.

12. Белопушкин, В.И. Правовые аспекты обеспечения информационной безопасности / В.И. Белопушкин, А.Н. Кириллычев - М.: МГТУ, 2003.

13. Бернет, С. Криптография. Официальное руководство RSA Security / С.Бернет, С.Пейн. - 2-е изд., стереотипное. - М.: «Бином-Пресс», 2009. - 384 с.

14. Биячуев, Т.А. Безопасность корпоративных сетей / Т.А. Биячуев - СПб.: СПб ГУ ИТМО, 2004. - 161 с.

15. Будько, H.H. Архитектура системы защиты информации / H.H. Будько, B.C. Василенко, М.П. Короленко // Корпоративные системы. - 1999. - №4. - С.53

16. Блэк, У. Протоколы безопасности / У.Блэк - СПб.: Питер, 2001 -

282 с.

17. Ван-Тилборг, Х.К.А. Основы криптологии. Профессиональное руководство и интерактивный учебник / Х.К.А. Ван-Тилборг. - М.: Мир, 2006 -471 с.

18. Варичев, С. Защита корпоративной информации: с чего начать? [Электронный ресурс] / С. Варичев. - 2004. - Режим доступа: http://www.cio-world.ru/bsolutions.

19. Варновский, Н.П. Криптография и теория сложности // В кн. Введение в криптографию / Под общ. ред. В.В. Ященко. - М.: МЦНМО, «ЧеРо», 1998 - 347 с.

20. Василенко, B.C. Целостность информации в автоматизированных системах / B.C. Василенко, М.П. Короленко // Корпоративные системы. - 1999. -№3. - С. 52

21. Василенко, О.Н. Теоретико-числовые алгоритмы в криптографии / О.Н. Василенко. - 2-е изд., доп. - М.: МЦНМО, 2006 - 326 с.

22. Василенко О.Н. Теоретико-числовые алгоритмы в криптографии / О.Н. Василенко. - М.: МЦНМО, 2003 - 328 с.

23. Вилков, A.C. Информационная безопасность персональных ЭВМ и мониторинг компьютерных сетей: учебно-методическое пособие / A.C. Вилков. -М.: МИНИТ ФСБ России, 2005. - 210 с.

24. Гагарина, Л.Г. Разработка и эксплуатация автоматизированных информационных систем: учебное пособие/ Под ред. проф. Л.Г. Гагариной — М.: ИД «ФОРУМ»: ИНФА-М, 2007 - 384 с.

25. Галатенко, В.А. Стандарты информационной безопасности: Курс лекций / В.Л. Галатенко. - М.: Интернет-Университет Информационных технологий, 2006 - 264 с.

26. Гасанов, Э.Э. Теория хранения и поиска информации / Э.Э. Гасанов, В.Б. Кудрявцев - М.: ФИЗМАТЛИТ, 2002 - 288 с.

27. ГОСТ 19.503-79 Единая система программной документации. Руководство системного программиста. Требования к содержанию и оформлению. -М.: Стандартинформ, 2005.

28. ГОСТ 2.004-88 Единая система конструкторской документации. Общие требования к выполнению конструкторских и технологических документов на печатающих и графических устройствах вывода ЭВМ. - М.: Стандартинформ, 2007.

29. ГОСТ 34.601-90 Информационные технологии. Автоматизированные системы. Стадии создания. - М.: Стандартинформ, 2007.

30. ГОСТ 34.602-89 Информационные технологии. Техническое задание на создание АС. - М.: Стандартинформ, 2009.

31. ГОСТ Р 54869 - 2011 Проектный менеджмент. Требования к управлению проектом.. - М.: Стандартинформ, 2011.

32. ГОСТ Р ИСО/МЭК 15408-2-2013 Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. - М.: Стандартинформ, 2013.

33. Давлетханов, М. Средства обнаружения атак. [Электронный ресурс] / М. Давлетханов. - 2004. - Режим доступа: http:// www.infobez.ru/article.

34. Дейт, К. Дж Введение в системы баз данных, 8-е издание, пер. с англ./К.Дж. Дейт-М.: Издательский дом «Вильяме», 2006. - 1328 с.

35. Доля, А. Анализ безопасности и своевременное обновление информационной системы. [Электронный ресурс] / А.Доля. - 2004. - Режим доступа: http://fcenter.ni/online/softarticles/os/l0242.

36. Доценко, с.м. Комплексная безопасность объекта: от теории к практике/ С.М. Доценко, В.Ф. Шпак - Санкт-Петербург: ООО «Издательство Полигон» -2004.

37. Елманова, Н. Программные средства обеспечения информационной безопасности предприятий [Электронный ресурс] / Н.Елманова. - 2003. - Режим доступа: http://www.sapr.ru/article.aspx7icN10115&iid=420.

38. Железняк, И. Пакетная фильтрация [Электронный ресурс] / И. Железняк. - 2004. - Режим доступа: http://ekorinfo.ru.

39. Зайцев, А.П. Программно-аппаратные средства обеспечения информационной безопасности Учебное пособие / А.П. Зайцев - Томск: Томский межвузовский центр дистанционного образования, 2004. - 126 с.

40. Зайцев, А.П. Основы теории управления Учебное пособие / А.П. Зайцев - Томск: Томский межвузовский центр дистанционного образования, 2004. - 97 с.

41. Зегжда, Д.П. Основы безопасности информационных систем/ Д.П. Зегжда, A.M. Ивашко - Иваново: Горячая линия - Телеком, 2000. - 452 с.

42. Зубов, А.Ю. Совершенные шифры / А.Ю. Зубов - М.: «Гелиос АРВ», 2003.-160 с.

43. Игнатьев, В.А. Информационная безопасность современного коммерческого предприятия: Монография/В.А.Игнатьев-Старый Оскол: ООО «ТНТ», 2005. - 448 с.

44. Казарин, О.В. Безопасность программного обеспечения компьютерных систем / О.В. Казарин - М.: МГУЛ, 2003. - 212 с.

45. Казарин, О.В. Теория и практика защиты программ / О.В. Казарин - М.: МГУЛ, 2004.-388 с.

46. Карлова, Т.В. Интегрированная модель факторов эффективности и развития производства в автоматизированных системах управления / Т.В. Карлова // Информационные технологии в технических и социально-экономических системах: Сборник научных трудов МГТУ «Станкин»; под ред. Ю.М. Соломенцева. Вып. 2. - М.: Янус - К, 2003 - С. 56.

47. Карлова, Т.В., Кузнецова, Н.М. Разработка концепции обеспечения многоуровневого доступа к конфиденциальной информации / Т.В. Карлова, Н.М. Кузнецова // Вестник МГТУ "Станкин" № 2 (14). - 2011. - С.87.

48. Козлов, В.Е. Теория и пратика борьбы с компьютерной преступностью / В.Е. Козлов - М.: Горячая линия - Телеком, 2002. - 336 с.

49. Конеев, И.Р. Информационная безопасность предприятия / И.Р. Конеев, A.B. Беляев - СПб.: БХВ-Петербург, 2003 - 747 с.

50. Коноплева, И.А Информационные технологии: учеб. пособие/ под ред. И.А. Коноплевой - М. : Проспект, 2008. - 304 с.

51. Кузнецов, И.Н. Информация: сбор, защита, анализ/ И.Н. Кузнецова - М.: ООО «Изд. Яуза», 2001. - 94 с.

52. Кузнецова, Н.М., Карлова, Т.В. Автоматизированная обработка текстовой информации с помощью усовершенствованного криптоаналитического метода «грубой силы» / Н.М. Кузнецова, Т.В. Карлова // Двигатель Научно-технический журнал, №5 (83+243) - 2012, - С. 58

53. Кузнецова, Н.М. Классификация каналов утечки конфиденциальной информации на современном промышленном предприятии / Н.М. Кузнецова // Повышение управленческого, экономического, социального и инновационно-технического потенциала предприятий, отраслей и народнохозяйственных комплексов: сборник статей IV Международной научно-практической конференции /МНИЦ ПГСХА. - Пенза: РИО ПГСХА, 2012. - С. 82

54. Кузнецова, Н.М., Карлова, Т.В. Контроль технических каналов утечки информации с помощью технологии Data Loss Prévention в автоматизированной системе разграничения доступа к конфиденциальной информации / Н.М. Кузнецова, Т.В. Карлова //Конкурентоспособность предприятий и организаций: сборник статей IX Всероссийской научно-практической конференции /МНИЦ ПГСХА. - Пенза: РИО ПГСХА, 2012. - С. 84

55. Кузнецова, Н.М., Карлова, Т.В. Применение усовершенствованного криптоаналитического метода «грубой силы» в автоматизированной системе разграничения доступа к конфиденциальной информации // Н.М. Кузнецова, Т.В. Карлова // Вестник МГТУ «Станкин» №4(23), - 2012 - С. 139

56. Кузнецова, Н.М., Карлова, Т.В. Расширенный криптологический метод «brute-force attack» в автоматизированных системах разграничения доступа к конфиденциальной информации / Н.М. Кузнецова, Т.В. Карлова // Информационно-вычислительные технологии и их приложения: сборник статей XVII Международной научно-технической конференции. -Пенза: РИО ПГСХА -

.2012.-С. 41

57. Кузнецова, Н.М.. Обеспечение многоуровневого доступа сотрудников предприятия к конструкторской информации с позиции конфиденциальности и полезности / Н.М. Кузнецова // Материалы студенческой научно-практической конференции «Автоматизация и информационные технологии» (АИТ-2010) Первый тур «Информатика и информационные технологии» - 2010 - С. 58

58. Кузнецова, Н.М. Система многоуровневого доступа пользователей к конструкторской информации с позиции конфиденциальности и полезности /

Н.М. Кузнецова // Вестник МГТУ Станкин, научный рецензируемый журнал, конференция «Автоматизация и информационные технологии» Второй тур - 2010 -С. 48

59. Кузнецова, Н.М., Симанженков, К.А. Разграничение доступа сотрудников предприятия к конструкторской информации с позиции конфиденциальности и полезности / Н.М. Кузнецова, К.А. Симанженков // Вологодский Государственный Технологический Университет. Материалы 8-й Всероссийской научно-технической конференции. - 2010 - С. 61

60. Кузнецова, Н.М., Симанженков, К.А. Разработка методологии проектирования автоматизированной системы разграничения доступа сотрудников предприятия к конструкторской информации/ Н.М. Кузнецова, К.А. Симанженков // Сборник докладов XIII научной конференции МГТУ «СТАНКИН»./ Под ред. O.A. Казакова. - М.: «Янус-K» ГОУ МГТУ «СТАНКИН». -2010-с. 50

61. Курило, А.П. Информационная безопасность в организации: взгляд практика / А.П. Курило // Открытые системы. - 2002 - № 07-08

62. Курило, А.П. и др. Обеспечение информационной безопасности бизнеса / А.П. Курило - М.: БДЦ-Пресс - 2005 - 265с.

63. Кэрриэ, Б. Криминалистический анализ файловых систем / Б. Кэрриэ -СПб.: Питер. - 2007 - 352 с.

64. Лаврентьев, A.B. Рекомендации по организации системы защиты информации [Электронный ресурс] / A.B. Лаврентьев - 2010. - Режим доступа: http ://www .bezpeka.com/

65. Легчаков, Клим «Управляя внедрением» Фазирование проекта внедрения ИУС и график «стоимость - время» / К. Легчаков // Бизнес и информационные технологии, декабрь №5 (23). - 2011 - С. 66

66. Лукацкий, A.B. Обнаружение атак / A.B. Лукацкий // 2-е изд., перераб. и доп. - СПб.: БХВ-Петербург. - 2003 - 596 с.

67. Лучик, А. Современные технологии защиты от утечек. Что умеют DLP /

A.Лучик // Системный Администратор. Безопасность» №5 - июнь 2011 - С. 16

68. Малюк, A.A., Введение в защиту информации в автоматизированных системах / A.A. Малюк, C.B. Пазизин, Н.С. Погожин. - М.: Горячая линия-Телеком-2001. - 148 с.

69. Марков, A.C. Методы оценки несоответствия средств защиты информации / A.C. Марков, В.Л. Цирлов, В.Л. Баранов . - М.: Горячая линия-Телеком-2012. - 192 с.

70. Мельников, В.П. Информационная безопасность / В.П. Мельников, С.А. Клейменов, A.M. Петраков - М.: Издательский центр «Академия». - 2012 -336 с.

71. Маслянко, П.П. Концепция управления безопасностью информации в корпоративных структурах [Электронный ресурс] / П.П. Маслянко. Режим доступа: http://www.bezpeka.com/

72. Медведовский, И. Программные средства проверки и создания политики безопасности [Электронный ресурс] / И. Медведовский. Режим доступа: http://www.dsec.ru/

73. Мельников, В.П. Информационная безопасность / В.П. Мельников, С.А. Клейменов, A.M. Петраков -М.: Издательский центр «Академия». - 2012. -234 с.

74. Музыкантский, А.И. Лекции по криптографии /А.И. Музыкантский,

B.В. Фурин - М.: МЦНМО - 2011 - 64 с.

75. Панасенко, С. Алгоритмы шифрования. Специальный справочник /

C.Панасенко - СПб.: БХВ-Петербург, 2009. - 578 с.

76. Петренко, С. Методика построения корпоративной системы защиты информации [Электронный ресурс] / С. Петренко. - Режим доступа: http://zeus.sai.msu.ru:7000/security, 2000.

77. Петренко, С. Методические основы защиты информационных активов компании [Электронный ресурс] / С. Петренко. - Режим доступа: http://zeus.sai.msu.ru:7000/security, 2003

78. Петров, В. Н. Информационные системы / В.Н. Петров - СПб.: Питер, 2003.-656 с.

79. Мелл, П. Обеспечение безопасности Web-серверов / П. Мелл, Д. Феррэйоло // Журнал "Конфидент", #1/2001. - 54 с.

80. Платонов, В.В. Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей / В.В. Платонов - М.: Издательский центр «Академия», 2006. - 240 с.

81. Романец, Ю.В. Защита информации в компьютерных системах и сетях / Ю.В. Романцев, П.А. Тимофеев, В.Ф. Шаньгин - М.: "Радио и связь", 1999. -190 с.

82. Руководящий документ Гостехкомиссии РФ. «Автоматизированные системы. Защита информации от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». - М.: ГТК РФ, 1992

83. Руководящий документ Гостехкомиссии РФ. «Концепция защиты информации от несанкционированного доступа в средствах вычислительной техники и автоматизированных системах». - М.: ГТК РФ, 1992

84. Руководящий документ Гостехкомиссии РФ. «Средства вычислительной техники. Межсетевые экраны. Требования по обеспечению защиты информации от несанкционированного доступа» - М.: ГТК РФ, 1992

85. Руководство по технологиям объединенных сетей, Cisco Systems, Inc. Перевод с англ. - М.: «Вильяме», 2005 - 1040 с.

86. Румянцева, E.JI. Информационные технологии: учеб. пособие / E.JI. Румянцева, В.В. Слюсарь; под редакцией проф. Л.Г. Гагариной - М.: ИД «ФОРУМ»: «ИНФА-М», 2007 - 256 с.

87. Рябко, Б.Я. Основы современной криптографии и стеганографии / Б.Я. Рябко, А.Н. Фионов - М.: ИД «ФОРУМ»: «ИНФА-М», 2010 - 232 с.

88. Сабанов, А. Безопасность баз данных. Что, от кого и как надо защищать / А. Сабанов // Connect, № 4. - 2006 - С. 45

89. Сабанов, А. О роли аутентификации при обеспечении защищенного удаленного доступа / А. Сабанов // Connect, № 5 - 2007 - С. 56

90. Сабинин, В. Организация конфиденциального делопроизводства начало обеспечения безопасности информации в фирме [Электронный ресурс] /

B. Сабинин. - Режим доступа: http://www.informost.ru/

91. Самохин, Ю. Консалтинг в информационной безопасности LAN / Ю. Самохин, Д. Шепелявый // ЖУРНАЛ СЕТЕВЫХ РЕШЕНИЙ №11 - 2000 -

C. 17

92. Сборник публикаций журнала «Защита информации. Конфидент» 1994-2000 г., Санкт-Петербург, 2000 г

93. Семёнов, А.Л. Математика текстов / А.Л. Семёнов — М.: Издательство Московского центра непрерывного математического образования Библиотека «Математическое просвещение» Выпуск 22 - 2002 - 12 с.

94. Симонов, С. Информационная безопасность в корпоративных системах: практические аспекты [Электронный ресурс]/ С. Смирнов — Режим доступа: http:// www.itprotect.ru

95. Синельников А. [Электронный ресурс]/ А. Синельников. - Режим доступа: http://www.leta.ru/press-center/publications/article_730.html

96. Скиба, В.Ю. Руководство по защите от внутренних угроз информационной безопасности / В.Ю. Скиба, В.А. Курбатов - СПб.: Питер, 2008.-320 с.

97. Смит, Р.Э. Аутентификация: от паролей до открытых ключей / Р.Э. Смит - М.: Издательский дом «Вильяме», 2002. - 98 с.\ http://www.softbest.ru - Соболев Е. А. Защита в Сети

98. Соболев, Е.А. Озащите информации [Электронный ресурс] / Е.А. Соболев. - Режим доступа: http://www.softbest.ru

99. Соболев, Е.А. Комплексная система информационной безопасности предприятия [Электронный ресурс] / Е.А. Соболев. - 2001. - Режим доступа: http://www.viacom.ru/, 2001

100. Соболь, И.М. Выбор оптимальных параметров в задачах со многими критериями: учеб. пособие для вузов - 2-е изд., перераб. и доп. / И.М. Соболь, Р.Б. Статников - М.: Дрофа, 2006 - 175 с.

101. Соколов, A.B. Защита от компьютерного терроризма / A.B. Соколов, О.М. Степанюк - СПб.: БХВ- Санкт-Петербург, Арлит, 2002. - 496 с.

102. Соколов, A.B., Методы информационной защиты объектов и компьютерных сетей / A.B. Соколов, О.М. Степанюк. - СПб.: Полигон, 2000 -272 с.

103. Сосонкин, B.JI. Программирование систем числового программного управления / B.JI. Сосонкин, Г.М. Мартинов. - М.: Изд. Логос, Университетская книга. - 2008 - 344 с.

104. Сувирко Т.Л. Информационная безопасность в сетях ЭВМ [Электронный ресурс] / Т.Л. Сувирко - Режим доступа: http://econom.nsu.ru/

105. Танентбаум, Э. Компьютерные сети / Э. Танентбаум - Спб.: ПИТЕР,

2003. - 992 с.

106. Тарасюк, М.В. Защищенные информационные технологии. Проектирование и применение / М.В. Тарасюк - М.: Издательство Солон-пресс -

2004. - 192 с.

107. Тихонов, В.А. Информационная безопасность: концептуальные, правовые, организационные и технические аспекты / В.А. Тихонов, В.В. Рай — М.: Солон-пресс - 2006 - 528 с.

108. Уголовный кодекс Российской Федерации Статья № 138 «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений»

109. Уфимцев, Ю.С. Методика информационной безопасности / Ю.С. Уфимцев, В.П. Буянов, Е.А. Ерофеев, H.JI. Жогла, O.A. Зайцев, Г.Л. Курбатов, А.И. Петренко, Н.В. Федотов. - М.: Издательство «Экзамен», 2004

- 544 с.

110. Фатьянов, A.A. Правовое обеспечение безопасности информации в Российской Федерации - М.: Издательство «Экзамен», 2006 - 412 с.

111. Федеральный закон "Об информации, информатизации и защите информации». - М.: «Ось-89», 2005 - 32 с.

112. Фейстель, X. Криптография и компьютерная безопасность [Электронный ресурс] / X. Фейстель — перевод А. Винокурова — Режим доступа: http// security .nsys.by

113. ФСТЭК Руководящий документ Безопасность информационных технологий Общая методология оценки безопасности информационных технологий,2005

114. Хорев, A.A. Защита информации от утечки по техническим каналам. Часть 1. Технические каналы утечки информации. Учебное пособие / A.A. Хорев

- М.: Гостехкомиссия России, 1998 - 320 с.

115. Хорев, П.Б. Методы и средства защиты информации в компьютерных системах: учеб. пособие для студ. высш. учеб. заведений - 4-е изд., стер. - М.: Издательский центр «Академия», 2008 - 256 с.

116. Черемных, С.В. Моделирование и анализ систем. IDEF-технологии: практикум / С.В. Черемных, И.О. Семенов, В.С Ручкин - М.: Финансы и статистика, 2006 - 78 с.

117. Черемушкин, А.В. Лекции по арифметическим алгоритмам в криптографии / А.В. Черемушкин - М.: МЦНМО, 2002 - 104 с.

118. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей. Учеб. пособие / В.Ф. Шаньгин - М.: ИД «ФОРУМ» ИНФА-М, 2008 -235 с.

119. Шнайер Б. Прикладная криптография, 2-е издание: протоколы, алгоритмы, исходные тексты на языке Си / Б. Шнайер. - М.: Триумф, 2002. - 610 с.

120. Щербаков, А.Ю. Введение в теорию и практику компьютерной безопасности / А.Ю. Щербаков - М.: издатель Молгачева С.В. - 2001 - 416 с.

121. Ярочкин, В.И. Информационная безопасность / В.И. Ярочкин - М.: Академический проект, 2003 - 125 с.

122. Ященко, В.В. Введение в криптографию/ Под общ. ред. В.В. Ященко-4-е изд., доп. М.: МЦНМО - 2012 - 271 с.

123. Angus, Wong, Network Infrastructure Security Springer Science Business Media, LLC / Angus Wong, Alan Yeung - 2009 - 264 c.

124. Barca, E. IFIP-ICC Vocabulary of Information Processing International Federation for Information Processing / E. Barca, R.G. Baster, R.W. Berner/ Вычислительная техника Обработка информации. Словарь терминов// Перевод с английского Красницкий, В.Н., Коновалов, Л.И. - Москва, 1999 г. - 246 с.

125. Bruce Schneier a Self-Study Course in Block-Cipher Cryptanalysis / Cryptologia, v.24, n.l/ - 2000. - c. 18-34

126. ISA 95 «Международный стандарт по интеграции производственных (АСУ ТП) и бизнес-систем (ИУС) на предприятии»(Т11е International standard for the integration of enterprise and control systems)

127. ISO 9004:2009 Менеджмент для достижения устойчивого успеха организации. Подход на основе менеджмента качества. — М.: Стандартинформ, 2013

128. Nikolaos, P. Papadakos, Quantum Information Theory And Applications to Quantum Cryptography / P. Nikolaos - 2001 - 46 c.

129. PMBOK - Project Management Body of Knowledge (Свод знаний по управлению проектами)

130. Shafi, G, Mihir, В Lecture Notes on Cryptography / G. Shafi, B.Mihir -2001 -283 c.

131. Simon, Johnson. Cryptography for Developers / J. Simon - Syngress Publishing - 2007 - 449 c.