Модели и алгоритмы повышения уровня информационной безопасности корпоративных информационно-телекоммуникационных сетей тема диссертации и автореферата по ВАК РФ 05.12.13, кандидат технических наук Аль-Хаммуд Ибрахим

  • Аль-Хаммуд Ибрахим
  • кандидат технических науккандидат технических наук
  • 2007, Владимир
  • Специальность ВАК РФ05.12.13
  • Количество страниц 164
Аль-Хаммуд Ибрахим. Модели и алгоритмы повышения уровня информационной безопасности корпоративных информационно-телекоммуникационных сетей: дис. кандидат технических наук: 05.12.13 - Системы, сети и устройства телекоммуникаций. Владимир. 2007. 164 с.

Оглавление диссертации кандидат технических наук Аль-Хаммуд Ибрахим

ВВЕДЕНИЕ.

Глава 1. СОВРЕМЕННОЕ СОСТОЯНИЕ БЕЗОПАСНОСТИ КОРПОРАТИВНЫХ ИНФОРМАЦИОННО-ТЕЛЕКОММУНЖАЦИОННЫХ СЕТЕЙ. П

1.1. Особенности корпоративных информационнотелекоммуникационных сетей.

1.2. Обобщенная структура корпоративной сети.

1.3. Проблема защиты информации в современных корпоративных информа ционно-телекоммуникационных сетях.

1.4. Структура управления безопасностью в корпоративных информационно-телекоммуникационных сетях.

1.5. Атакуемые компоненты корпоративной сети.

1.5.1. Уровни сетевых атак согласно модели OSI.

1.6. Внутренние злоумышленники в корпоративных сетях. Методы воздействия и методы защиты.

Выводы к главе 1.

Глава 2. РАЗРАБОТКА МОДЕЛЕЙ И АЛГОРИТМОВ ВЫБОРА КОМПЛЕКСА СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ДЛЯ КОРПОРАТИВНЫХ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ.

2.1. Постановка задачи.

2.2. Математические модели задачи.

2.3. Разработка алгоритмов решения задачи.

2.4.Результаты экспериментального исследования разработанных моделей и алгоритмов.

Выводы к главе 2.

Глава 3. РАЗРАБОТКА И ИССЛЕДОВАНИЕ СТРУКТУР АЛГОРИТМОВ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ КОРПОРАТИВНОЙ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННОЙ

СИСТЕМЫ.

3.1. Процедура оценки рисков безопасности КИТС.

3.2. Механизмы оценки исходных данных процедуры оценки рисков безопасности КИТС.

3.3. Обобщенный алгоритм управления рисками в КИТС.

3.4. Способы вычисления рисков.

Выводы к главе 3.

Глава 4. РЕАЛИЗАЦИЯ РАЗРАБОТАННЫХ МЕТОДИК УПРАВЛЕНИЯ БЕЗОПАСНОСЬЮ В КОРПОРАТИВНЫХ ИНФОРМАЦИОННО

ТЕЛЕКОММУНИКАЦИОННОЙ СЕТЯХ.

4.1. Описание программы определения оптимального состава средств защиты (КИТС) И (АИБС) «Net Safety».

4.2. Повышение уровня информационной безопасности корпоративной сети ОАО ВЗ «Электроприбор».

4.3. Повышение уровня безопасности автоматизированной биллинговой системы.

Выводы к главе 4.

Рекомендованный список диссертаций по специальности «Системы, сети и устройства телекоммуникаций», 05.12.13 шифр ВАК

Введение диссертации (часть автореферата) на тему «Модели и алгоритмы повышения уровня информационной безопасности корпоративных информационно-телекоммуникационных сетей»

Актуальность темы. Современные корпоративные информационно-телекоммуникационные сети (КИТС) представляют собой сложную распределенную систему, характеризующуюся наличием множества взаимодействующих ресурсов и одновременно протекающих системных и прикладных информационных и телекоммуникационных процессов. Учитывая тенденцию к созданию единого информационного пространства и, как следствие, подключения корпоративных сетей к глобальной сети Интернет, следует ожидать в будущем атак на такие системы с целью их разрушения или получения коммерческой выгоды.

Создание КИТС - сложная комплексная задача, требующая согласованного решения ряда вопросов:

- выбора рациональной структуры (определяется состав элементов и звеньев системы, их расположение, способы соединения);

- выбора типа линий и каналов связи между звеньями КИТС и оценки их пропускной способности; обеспечения способности доступа пользователей к общесетевым ресурсам;

- распределения аппаратных, информационных и программных ресурсов по звеньям КИТС, защиты информации (ЗИ), циркулирующей в сети и др.

Совершенствование современных КИТС должно производиться не только в области повышения степени автоматизации процессов управления и передачи информации, но и в сфере информационных потенциалов за превосходство над конкурентом в количестве, качестве и скорости получения, передачи, анализа и применения информации. Потери от нарушения целостности или конфиденциальности информации в КИТС могут носить поистине катастрофический характер [2,4].

Применение новых информационных и телекоммуникационных технологий немыслимо без повышенного внимания к вопросам информационной безопасности (ИБ). Информация должна быть доступна только тем, кому она предназначена, и скрыта от сторонних наблюдателей. Разрушение информационного ресурса, его временная недоступность или несанкционированное использование могут нанести предприятию значительный материальный ущерб. Без должной степени ЗИ внедрение информационных технологий может оказаться экономически невыгодным в результате значительного ущерба из-за потерь конфиденциальных данных, хранящихся и обрабатываемых в компьютерных сетях.

Учитывая тенденцию к созданию единого информационного пространства и, как следствие, подключения КИТС к глобальной сети Интернет, следует ожидать в будущем атак на такие системы с целью их разрушения или получения коммерческой выгоды;

Содержание проблемы ЗИ в КИТС, как типовой автоматизированной (информационной) системе, специалистами интерпретируются следующим образом. По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается ее уязвимость. Основными факторами, способствующими повышению этой уязвимости, являются:

1. Резкое увеличение объемов информации, накапливаемой, хранимой и обрабатываемой в КИТС.

2. Сосредоточение в единой БД информации различного назначения и различных принадлежностей.

3. Резкое расширение круга пользователей, имеющих непосредственный доступ к ресурсам КИТС и находящимся в ней данных.

4. Усложнение режимов функционирования КИТС - широкое внедрение многопрограммного режима, а также режимов разделения времени и реального времени.

В этих условиях возникает уязвимость двух видов:

- возможность уничтожения или искажения информации (т.е. нарушение ее физической целостности);

- возможность несанкционированного использования информации (т.е. опасность утечки информации ограниченного пользования).

Основными потенциально возможными каналами утечки информации являются:

1. Прямое хищение носителей и документов.

2. Запоминание или копирование информации.

3. Несанкционированное подключение к аппаратуре и линиям связи или незаконное использование аппаратуры системы (чаще всего терминалов пользователей).

4. Несанкционированный доступ к информации за счет специального программного обеспечения.

Широкомасштабная стандартизация и унификация средств вычислительной техники, программного обеспечения, протоколов информационного взаимодействия в значительной степени расширяют возможности несанкционированного воздействия на информацию в современных КИТС Подобное положение дел резко обостряет проблему ЗИ в современных корпоративных сетях.

Существующие в настоящее время работы обладают рядом существенных недостатков, к которым относятся следующие: не разработана единая методология обеспечения защищенности информации в современных КИТС на этапах проектирования, эксплуатации и реконструкции; недостаточно полно формализованы модели и методы построения системы ЗИ в КИТС.

Таким образом, актуальность работы связана с необходимостью: повышения эффективности и устойчивости функционирования, современных КИТС в условиях жесткого информационного противодействия; разработки и совершенствования математического аппарата анализа КИТС с целью обеспечения защищенности информации, циркулирующей и обрабатываемой в них.

Реализация методов для обеспечения эффективного функционирования системы защиты в конкретных корпоративных сетях требует разработки жестких мер защиты для предотвращения случайных и умышленных нарушений их функционирования. Для противодействия компьютерным преступлениям или хотя бы уменьшения ущерба от них необходимо грамотно выбирать меры и средства обеспечения ЗИ от умышленного разрушения, кражи, порчи и несанкционированного доступа. Считается, что наибольшее «зло» КИТС наносят «внутренние» злоумышленники, т.е. те, кто так или инае связан непосредственно с КИТС предприятия. Именно проблема защиты от внутренних злоумышленников является сейчас наиболее актуальной и менее исследованной. В частности, не имеется ясного представления о методах работы внутренних нарушителей.

Объект исследования. Объектом исследования являются корпоративные информационно-телекомуникационные сети.

Предмет исследования. Предметом исследования являются методы, алгоритмы и процедуры обеспечения управления иформационной безопасностью и защиты информации корпоративных информционно-телекоммуникационных сетей в условиях атак на информационные ресурсы и процессы.

Научная проблема. Суть научной проблемы заключается в том, что, с одной стороны, необходимо полностью обеспечить требования безопасного функционирования КИТС в условиях атак злоумышленников на информационные ресурсы и процессы, с другой стороны, наблюдается недостаточность научно-методического аппарата, позволяющего это сделать с достаточной полнотой.

Поэтому необходимо разработать математический аппарат анализа современных КИТС с целью управления их информационной безопасностью в условиях атак злоумышленников, включая оптимизацию состава комплекса средств защиты информации, а это, в сою очередь, включает: общий подход к построению информационно-вычислительного процесса и комплексных систем защиты информации в современных КИТС; модели, методы и алгоритмы оптимизации системы защиты информации в современных КИТС, включая оценки возможности достижения злоумышленниками своих целей, успешного функционирования системы защиты, стоимости потерь при достижении злоумышленником всех целей.

Целью работы является разработка моделей и алгоритмов управления информационной безопасностью и защиты информации и КИТС от преднамеренного несанкционированного вмешательства в процесс функционирования КИТС или несанкционированного доступа к циркулирующей в ней информации.

Для достижения цели необходимо решить следующие задачи:

1. Проанализировать современное состояние проблемы управления информационной безопасностью и защиты информации в КИТС, в первую очередь в условиях атак злоумышленников на информационные ресурсы и процессы, выявить общие пути ее решения.

2. Разработать алгоритмическую и методологическую основу построения системы управления информационной безопасностью и защиты информации и методику оценки ее эффективности.

3. Провести экспериментальное исследование модели системы защиты информации с помощью программной реализации ее основных механизмов.

Научная новнзна работы заключается в том, что:

1. Разработана математическая модель действий нарушителя по реализации им своих целей в защищаемой КИТС, позволяющая оценивать качество функционирования системы защиты информации в условиях информационной атаки.

2. Предложена методика управления информационной безопасностью КИТС в условиях атак злоумышленников, включающая комплекс математических и алгоритмических моделей оптимизации состава механизмов защиты информации.

3. Разработан комплекс программ, позволяющий моделировать действия злоумышленника и исследовать различные варианты построения системы защиты в КИТС.

Методы исследования основаны на элементах дискретной математики, теории вероятности, теории системного анализа и методах лабораторного эксперимента.

Достоверность научных положений, выводов и практических результатов и рекомендаций подтверждена корректным обоснованием и анализом концептуальных и математических моделей рассматриваемых способов управления информационной безопасностью и защитой информации в КИТ-С; наглядной технической интерпретацией моделей; данными экспериментальных исследований.

Практическая ценность работы заключается в том, что:

- разработанные и предложенные модели и алгоритмы могут быть использованы при разработке, эксплуатации и реконструкции современных КИТС;

- алгоритмы доведены до рабочих программ и позволяют решать достаточно широкий круг научно-технических задач. Разработана математическая модель действий злоумышленника по реализации им своих целей в системе вычислительных средств защищаемой КИТС, позволяющая оценивать качество функционирования системы защиты информации.

Реализация результатов работы. Результаты, полученные в ходе работы над диссертацией, были использованы в корпоративной сети ОАО ВЗ «Электроприбор» г.Владимир при повышение уровня информационной безопасности сети; во Владимирском филиале «ЦентрТелеком» при формировании защитных механизмов действующей АБС; на кафедре «Информатика и защита информации» ВлГУ при проведении г\б НИР по теме «Методы, способы и модели безопасного управления в распределенных информационных и телекоммуникационных системах», а также в учебном процессе специальности 090104 - «Комплексная защита объектов информатизации» в дисциплинах «Комплексная система защиты информации на предприятии», «Защита информационных процессов в компьютерных системах».

Апробация работы. Основные результаты, полученные в ходе работы над диссертацией, были представлены на: Международной научно-практической конференции «Информационные технологии в учебном процессе и управлении», г. Шуя, ШГПУ, 2007 г.; Всероссийской научно-технической конференции студентов и аспирантов « Современные информационные технологии в учебном процессе», Москва-Покров, МГПУ им. М.А.Шолохова, 2007 г.; Межрегиональном семинаре «Комплексная защита объектов информатизации», Владимир, 2005 г.; научных конференциях преподавателей и сотрудников ВлГУ, 2006, 2007 гг.

Публикации. По теме диссертации опубликовано 9 научных статей и тезисов докладов, из них одна статья опубликована в журнале «Программные продукты и системы » из перечня, рекомендованного ВАК РФ для публикации результатов диссертационных работ.

Структурно диссертация состоит из введения, четырех глав, заключения, списка использованной литературы из наименований и приложения.

Похожие диссертационные работы по специальности «Системы, сети и устройства телекоммуникаций», 05.12.13 шифр ВАК

Заключение диссертации по теме «Системы, сети и устройства телекоммуникаций», Аль-Хаммуд Ибрахим

Выводы к главе 4

Результаты экспериментальной проверки разработанных моделей и алгоритмов оптимизации состава средств защиты и управления безопасностью на основе анализа рисков показали их работоспособность и практическую значимость для выработки рекомендаций и предложений по созданию новых и усовершенствованию существующих систем защиты информации в корпоративных информационно-телекоммуникационных сетях.

ЗАКЛЮЧЕНИЕ

Выполнено научное исследование, связанное с разработкой новых моделей и алгоритмов защиты информации в корпоративных информационно-телекоммуникационных сетях. Получены следующие результаты.

1. Атаку злоумышленника в корпоративной информационно-телекоммуникационной сети предложено рассматривать как последовательность угроз информации, причем в предлагаемой модели за время атаки может быть реализовано несколько однотипных угроз. На основе данного подхода предложен алгоритм определения вероятности реализации злоумышленником своей цели за время атаки.

2. Показано, что управлять уровнем безопасности КИТС в условиях атак целесообразно на основе процедур оценки рисков безопасности. Уточнены и детализированы основные этапы, показатели и шкалы исходных и промежуточных данных процедуры оценки рисков применительно к КИТС.

3. Предложен обобщенный алгоритм управления рисками в КИТС, отличительной особенностью которого является учет параметров возможной атаки злоумышленника, что позволяет более точно оценивать качество защитных механизмов в КИТС, учитывать экономическую эффективность выбираемых защитных механизмов. На основе данного алгоритма разработана методика сравнительной оценки различных вариантов построения системы защиты информации КИТС.

4. Разработан комплекс программ, позволяющий моделировать действия злоумышленника и исследовать различные варианты построения системы защиты в АИБС. Моделирование разработанных алгоритмов показало их работоспособность, что позволяет использовать данные модели при проектировании и модернизации КИТС, добиваться существенного повышения уровня информационной безопасности.

5. Результаты экспериментальной проверки разработанных моделей и алгоритмов оптимизации состава средств защиты показали их работоспособность и практическую значимость для выработки рекомендаций и предложений по созданию новых и усовершенствованию существующих систем защиты информации в КИТС.

Список литературы диссертационного исследования кандидат технических наук Аль-Хаммуд Ибрахим, 2007 год

1. Астахов А. Актуальные вопросы выявления сетевых атак (продолжение) Текст. / А. Астахов // Сетевые решения. - 2002. - № 6. - С. 23 - 39.

2. Астахов А. Актуальные вопросы выявления сетевых атак Текст. / А. Астахов // Сетевые решения. 2002. - № 5. - С. 82 - 93.

3. Астахов А. Анализ защищенности корпоративных автоматизированных систем Текст. / А. Астахов // Сетевые решения. 2006. - № 8.

4. Астахов А. Как построить и сертифицировать систему управления информационной безопасностью? Электронный ресурс. / А. Астахов // InfoSecurity. Режим доступа: http://www.infosecurity.ru/cgi-bin/cart/arts.pl?a=061215&id= 140251.

5. Астахов А. Общее описание процедуры аттестации автоматизированных систем по требованиям информационной безопасности Текст. / А. Астахов // Сетевые решения. 2000. - № 11(90).

6. Абрамов С.И. Оценка риска инвестирования.//Экономика строительства. — 1996. — № 12. —с. 3—10.

7. Аль-Хаммуд И. Базовые принципы построения автоматизированной бил-линговой системы // Программные продукты и системы. №3, 2007.- С 9798.

8. Аль-Хаммуд И. Комплексная антивирусная защита локальной сети.// Комплексная защита объектов информатизации: материалы научно-технического семинара. ВлГУ, Владимир.2005. - С. 39-41.

9. Аль-Хаммуд И. Метод антивирусной защиты.// Комплексная защита объектов информатизации: материалы научно-технического семинара. -ВлГУ, Владимир.- 2005. С. 41-45.

10. Аль-Хаммуд И. Принципы построения автоматизированной биллинговой системы, как модели «информационной полиции».// Телекоммуникационные и информационные системы: труды международной конференции. -СПб. 2007.-С 311-316.

11. Аль-Хаммуд И., Монахов М.Ю. Серверные операционные системы для АБС.// Информационные технологии в образовательном процессе и управлении: сборник статей преподавателей и студентов. Шуя.- Издательство «ВЕСЬ». 2007. С. 27-29.

12. А. Кононов Страхование нового века. Как повысить безопасность информационной инфраструктуры. ~ М. Connect, 12, 2001.

13. Аттестационные испытания АС по требованиям безопасности информации. Типовая методика испытаний объектов информатики по требованиям безопасности информации (Аттестация АС).- Гостехкомиссия России, 1995.

14. Бродман Б. ПО сетевого управления, основанное на системной политике Текст. / Б. Бродман // Системы и Сети Связи, 2002 № 6.

15. Болотников Я. Вариант работы без сбоев//Риск. — 1998. — № 5—6. — с. 67—70.

16. Вихорев С.Н Кобцев Р.А, Как определить источники угроз? Текст. / С.Н Вихорев, Р.А Кобцев // Открытые системы. 2002 - №7.

17. Внутренние ИТ-угрозы в России. Исследование компании Info Watch Электронный ресурс. / InfoWatch Режим доступа: http://www.infowatch.ru/downloads/reports/threats2006.pdf.

18. Вихорев С.В., Кобцев Р.Ю., Как узнать откуда напасть или откуда исходит угроза безопасности информации // Конфидент, №2, 2001.

19. Вайн Ю., Палуойя Р. Специализированная локальная сеть передачи данных распределённой системы управления. В кн.: Локальные вычислительные сети (Тезисы докладов Всесоюзной конференции). Рига, ИЭВТ, с. 274-278.

20. Гостехкомиссия РФ. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. -М.: 1992.

21. Гостехкомиссия РФ. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. -М.: 1992.

22. Гостехкомиссия РФ. Руководящий документ. Концепция защиты СВТ и АС от НСД к информации. -М.: 1992.

23. Гостехкомиссия РФ. Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники.-М.: 1992.

24. Гостехкомиссия РФ. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. -М.: 1992.

25. ГОСТ Р 50922 96. Защита информации. Основные понятия и определения.

26. Гостехкоиссия РФ. Руководящий документ. Нормы защиты информации, обрабатываемой средствами вычислительной техники и в автоматизированных системах от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН). М.: 1998 г.

27. Гайкович В.Ю., Ершов Д.В. Основы безопасности информационных технологий. М.: МИФИ, 1995.

28. Галатенко А. Активный аудит. Jetlnfo, №8, 1999.

29. Галатенко А.В. О применении методов теории вероятностей для решения задач информационной безопасности. Вопросы кибернетики. М.: 1999, РАН, НИИСИ.

30. Грэхем, P. FAQ по системам обнаружения атак. Версия 0.8.3. 21 марта 2000 г. Перевод с англ. Лукацкого А.В.

31. Гусенко М.Ю. Метод анализ идиом в исполняемом коде с целью деком-пиляции. Тезисы межрегиональной конференции «Информационная безопасность регионов России», 1999.

32. Гусенко М.Ю. Метод поэтапной декомпиляции исполняемой программы. Тезисы межрегиональной конференции «Информационная безопасность регионов России». 1999.

33. Глазунов В.Н. Финансовый анализ и оценка риска реальных инвестиций. — М.: Финстатпром, 1997 — 135 с.

34. Гостехкомиссия России. Руководящий документ. Автоматизированные системы, защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. , 1997.

35. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты Текст. / В.В.Домарев. // К.: ООО «ТИД «ДС», 2001.-688 с.

36. Дедков А.Ф., Щерс A.JL. Языковые средства организации распределённых процессов в локальных сетях. В кн.: Локальные вычислительные сети (Тезисы докладов Всесоюзной конференции). Рига, ИЭВТД984, с. 146-148.

37. Дийкстра Э. Взаимодействие последовательных процессов. // В кн.: Языки программирования. М.: Мир, 1972. - С. 9 - 86.

38. Дэвис Д. и др. Вычислительные сети и сетевые протоколы. М.: Мир,1984, 536с.

39. Доктрина информационной безопасности Российской Федерации Электронный ресурс. / Law and Internet Режим доступа: http://russianlaw.net/law/acts/z9.htm.

40. Есиков О.В., Кислицин А.С. Общий подход к оценке угроз информации в АСУ. Тезисы доклада на конференции "Телекоммуникационные и вычислительные системы " международный форум информатизации (МФИ-2000), Москва, 2000.

41. Есиков О.В., Акиншин Р.Н., Кислицын А.С. Оптимизация состава комплекса средств защиты информации в современных системах передачи и обработки информации.// Радиотехника, №12, 2001.

42. Есиков О.В., Акиншин Р.Н. Математические модели оптимизации состава системы защиты информации в системах ее передачи и обработки, Ж. Электродинамика и техника СВЧ и КВЧ, 2001.

43. Зайцев О.Е. Угрозы для корпоративной сети и рекомендации по разработке корпоративной политики информационной безопасности Текст. / О.Е. Зайцев // КомпьютерПресс. 2006 - № 9.

44. Илларионов Ю.А., Монахов М.Ю. Безопасное управление ресурсами в распределенных информационных и телекоммуникационных систе-мах./Монография. Владимир, ВлГУ, 2004, 212с.

45. Кадер М.Ю. Основные принципы централизованного управления безопасностью Текст. / М.Ю. Кадер // Защита информации. Инсайд. 2005 -№6.

46. Катышев С.К. Об одной концепции управления распределенным ресурсами Текст. / С.К. Катышев // Открытые системы. 1998 - №3.

47. Куракина Ю.Г. Оценка фактора риска в инвестиционных расчетах/бухгалтерский учет. — 1995. — № 6. — с. 22—28.

48. Киселев В.Д., Есиков О.В., Акиншин Р.Н. Математическая модель оптимизации состава комплекса средств защиты в современных системах передачи и обработки информации, Известия ТулГУ, том 3, выпуск 1 "Вычислительная техника", 2001.

49. Лукасевич И.Л. Методы анализа рисковых инвестиционных проек-тов//Финансы. — 1998. — № 9. — с. 56—62.

50. Лукацкий А.Е. Угрозы корпоративным сетям Текст. / А.Е. Лукацкий // КомпьютерПресс. 2005 - № 4.

51. Модели и механизмы управления безопасностью Текст. / Бурков В.Н. и др. // М.: Синтег-2001.610 сертификации продукции и услуг. -- закон РФ, N 5151-1,10.06.93.620 сертификации средств защиты информации. Постановление правительства РФ, N 608,26.06.95.

52. Поворотов В.А. Цена потерь. Методика планирования бюджета на защиту информации Текст. / В.А. Поворотов // БДИ. 2004 - №3(54).

53. Положение по аттестации объектов информатизации по требованиям безопасности информации. ~ Гостехкомиссия России, 1994.

54. Положение об аккредитации органов по аттестованию объектов информатики, испытательных центров и органов по сертификации продукции по требованиям безопасности информации. ~ Гостехкомиссия России, 1994.

55. Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации. ~ Гостехкомиссия России, 1994.

56. Перечень средств защиты информации, подлежащих сертификации в Системе сертификации Гостехкомиссии России. ~ Гостехкомиссия России, 1995.

57. Положение о государственном лицензировании деятельности в области защиты информации. ~ Гостехкомиссия России, ФАПСИ, 1997.

58. Рекомендации по составлению должностных инструкций Электронный ресурс. / Владивостокский государственный университет экономики и сервиса. Режим доступа: http://www.vvsu.ru/pmo/ukaz.html.

59. Руководящий документ Гостехкомиссии России. Концепция защиты средств вычислительной техники от НСД к информации Электронный ресурс. / Официальные документы Гостехкомиссии России. Режим доступа: http://www.gtk.lissi.ru/doc.phtml?DocumentID=l.

60. Руководящий документ Гостехкомиссии России. Защита от НСД к информации. Термины и определения Электронный ресурс. / Официальные документы Гостехкомиссии России. Режим доступа: http://www.gtk.lissi.ru/doc.phtml?DocumentID=8.

61. Савельев М.В. Система управления безопасностью: простые рецепты Текст. / М.В. Савельев // Экспресс-электроника. 2005. - №7.

62. Сударев И.В. Основные принципы создания системы минимизации информационных рисков на крупном предприятии Электронный ресурс. / И.В. Сударев // Бюро научно-технической информации Режим доступа: http://www.bnti.ru/scripts/showart.asp?aid=90.

63. Система сертификации средств криптографической защиты информации (Система сертификации СКзИ)., 1993.

64. С.А. Петренко , С.В. Симонов ~ Анализ и управление информационными рисками. ~ АйТи, 2003 (в печати).

65. С. Симонов — Анализ рисков, управление рисками. ~ Jet Info, 1, 1999.

66. С. В. Вихорев , Р. Ю. Кобцев ~ Как узнать — откуда напасть или откуда исходит угроза безопасности информации. ~ Конфидент, 2, 2002.

67. С.В. Симонов -- Анализ рисков, управление рисками Jet Info, 1, 1999.

68. С.В. Симонов ~ Методология анализа рисков в информационных системах -- Конфидент, 1, 2001.

69. С.В. Симонов ~ Анализ рисков в информационных системах. Практические аспекты. ~ Конфидент, 2, 2001.

70. Севастьянов П., Севастьянов Д. Извлечение максимума//Риск. — 1998. — №5—6. — с. 71—75.

71. Симонов С. Анализ рисков, управление рисками // Информационный бюллетень Jet Info № 1(68). 1999. с. 1-28.

72. Терентьев A.M. Задачи полноценного аудита корпоративных сетей Текст. / A.M. Терентьев // Сб.трудов под ред. М.Д.Ильменского. М: ЦЭМИ РАН, 2001.

73. Anne Marie Willhite ~ Systems Engineering at MITRE Risk Management -Rl, MP96B0000120, September 1998.

74. Code of practice for Information security management. ~ British Standard, BS7799, 1995.

75. Code of Professional Ethics for Information Systems Control Professionals. ~ IS АСА Guidelines, 1998.

76. CobiT: Control Objectives. IS АСА, 2nd Edition, 1998.

77. Guide for developing security plans for information technology systems. — NIST Special Publication, 800-18,1998.

78. Information Technology Security Training Requirements: A role and Performance-Based Model. NIST Special Publication, 800-18, 1998.

79. Guide to BS 7799 risk assessment and risk management. DISC, PD 3002, 1998.102.1nformation security management. Part 2. Specification for information security management systems. British Standard, BS7799, 1998.

80. ISO/IEC 17799, Information technology Code of practice for information security management, 2000.

81. ISO 15408: Common Criteria for Information Technology Security Evaluation Электронный ресурс. / ISO Standards Development. Режим доступа: http://standards.iso.org/ittf/PubliclyAvailableStandards/c040612ISOIECl 5408-l2005(E).zip.

82. ISO 17799: Code of Practice for Information Security Management Текст. : (Сборник стандартов по управлению информационной безопасностью: BS ISO/IEC 17799:2005 RU, BS ISO/IEC 27001:2005 RU, BS 7799-3:2006 RU на русском языке). М.: GlobalTrust, 2006.

83. Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) security risk evaluation - www.cert.org/octave.

84. Risk Management Guide for information Technology Systems, NIST, Special Publication 800-30.

85. Risk Management Guide for Information Technology Systems ~ NIST, Special Publication 800-30.

Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.