автореферат диссертации по документальной информации, 05.25.05, диссертация на тему:Экспертная система поддержки принятия решений по обеспечению информационной безопасности организации

На правах рукописи КОРОЛЕВА Наталия Александровна

ЭКСПЕРТНАЯ СИСТЕМА ПОДДЕРЖКИ ПРИНЯТИЯ РЕШЕНИЙ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ

Специальность 05.25,05 — Информационные системы и процессы, правовые аспекты информатики (технические науки)

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Тамбов 2006

Работа выполнена на кафедре конструирования радиоэлектронных и микропроцессорных систем Тамбовского государственного технического университета

Научный руководитель: Официальные оппоненты;

Ведущая организация:

доктор технических наук, профессор Тютюнник Вячеслав Михайлович.

доктор технических наук, доцент Шамкнн Валерий Николаевич;

кандидат технических наук, доцент Земской Николай Александрович.

Воронежский государственный университет.

Зашита диссертации состоится 22 декабря 2006 г., в 17 часов на заседании диссертационного совета Д.212.260.05 при Тамбовском государственном техническом университете по адресу: 392000, г. Тамбов, ул. Советская, 106, Большой актовый зал.

Отзывы на автореферат в двух экземплярах, скрепленные гербовой печатью, просим направлять по адресу: 392000, г. Тамбов, ул. Советская, 106, ТГТУ, ученому секретарю Селивановой З.М. Е-таН: vmt@tmb.ru.

С диссертацией можно ознакомиться в библиотеке университета. Автореферат разослан 21 ноября 2006 г.

Ученый секретарь

диссертационного совета Д.212.260.05 кандидат технических наук, доцент

З.М.Селиванова

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Обеспечение информационной безопасности является важной задачей для любой организации, поскольку от сохранения конфиденциальности, целостности и доступности информационных ресурсов во многом зависят качество и оперативность принятия управленческих решений, эффективность их реализации. Государство, регламентируя отношения в информационной сфере, не способно справиться в полном объеме с задачами обеспечения безопасности всех субъектов информационных отношений, однозначно отвечая лишь за защиту сведений, составляющих государственную тайну. Поэтому в условиях различных форм собственности эти задачи в полном объеме должны решаться руководителями организаций.

Однако в настоящее время актуальными являются уже не столько вопросы защиты интеллектуальной собственности и информации, составляющей личную, коммерческую или служебную тайну, сколько такое конструирование структур и функций организаций, которое обеспечивало бы безопасность информационных систем, сопровождающих, а часто и обеспечивающих нормальное функционирование производственных (интеллектуальных, инновационных, опережающих и т.п.) технологий. Такая проблема может быть решена на базе экспертных систем поддержки принятия решений, которые реализуют специальные методики обследования организаций и выдачи рекомендаций по обеспечению их информационной безопасности.

Целью диссертационного исследования является разработка экспертной системы поддержки принятия решений, осуществляющей генерацию и выдачу рекомендаций по достижению необходимого уровня обеспечения информационной безопасности организации.

Для достижения поставленной цели в диссертационном исследовании определены следующие задачи:

1} исследовать динамику развития проблем информационной безопасности в отечественных и зарубежных организациях, методологические основы формирования системы обеспечения информационной безопасности организации, проанализировать и систематизировать методы и средства обеспечения информационной безопасности;

2) формализовать процесс обеспечения информационной безопасности организации, выделив объекты, угрозы им, мероприятия по обеспечению информационной безопасности объектов и нейтрализации угроз;

3) разработать методику обеспечения информационной безопасности организации, включающую: идентификацию и оценку ресурсов организации, входящих в ее информационную систему и важных с точки зрения обеспечения информационной безопасности организации; идентификацию и оценку потенциальных угроз информационной безопасности организации; опре-

деление соответствия существующего уровня обеспечения информационной безопасности в организации необходимому для ее нормального функционирования; генерирование рекомендаций по повышению уровня обеспечения информационной безопасности организации;

4} разработать концепцию обеспечения информационной безопасности организации;

5) разработать экспертную систему поддержки принятия решений по обеспечению информационной безопасности организации, которая (на основе проведенного обследования информационной системы организации) формирует рекомендации по повышению эффективности обеспечения ее информационной безопасности.

Объект исследования. Система обеспечения информационной безопасности организации.

Предмет исследования. Экспертная система поддержки принятия решений по обеспечению информационной безопасности организации.

Методы исследовании. В соответствии с характером решаемых проблем в работе использовались методы системного анализа, теории нечетких множеств, теории информационной безопасности, теории вероятностей и математической статистики, теории принятия решений, теории информации, математического моделирования, инженерии программного обеспечения.

Научная новизна. В диссертационной работе получены следующие новые научные результаты:

1. Проведена формализация процесса обеспечения информационной безопасности организации в терминах четких и нечетких множеств, выделены наиболее существенные признаки угроз информационной безопасности организации, позволяющие проводить их классификацию и формализованное описание.

2. Впервые разработана методика обеспечения информационной безопасности организации, основанная на концепции нечетких множеств и включающая системы показателей, в которых по косвенным факторам определяются важные с точки зрения информационной безопасности ресурсы организации и опасные угрозы.

3. Разработана концепция обеспечения информационной безопасности организации.

4. Разработана экспертная система поддержки принятия решений по обеспечению информационной безопасности, включающая фреймовую базу знаний, описывающую предметную область и правила извлечения знаний, формирующая рекомендации по повышению уровня обеспечения информационной безопасности организации.

Практическая значимость полученных результатов. Разработанная концепция и методика могут использоваться руководителями, сотрудниками службы информационной безопасности для создания системы обеспечения

информационной безопасности организации. Реализованная экспертная система может применяться для автоматизированной поддержки принятия решения в области обеспечения информационной безопасности.

Реализация работы. Основные положения диссертации использованы при подготовке учебных курсов «Информационная безопасность», «Защита коммерческой информации», «Управление безопасностью и безопасность бизнеса», «Информационные системы обеспечения информационной безопасности организации» в Тамбовском филиале МГУКИ. Методика использована при создании системы обеспечения информационной безопасности в ООО «Агро-Альянс» г.Тамбов, что отражено в справке о внедрении.

Основные положения, выносимые на защиту.

1. Формализованное описание процесса обеспечения информационной безопасности организации, использующее аппарат четких и нечетких множеств и состоящее в последовательной формализации угроз информационной безопасности, ресурсов организации, как объектов угроз, оценки уровня обеспечения информационной безопасности организации и генерации рекомендаций по достижению заданного уровня,

2. Методика обеспечения информационной безопасности организации, основанная на концепции нечетких множеств, позволяющая проводить идентификацию и оценку ресурсов организации, входящих в ее информационную систему и важных с точки зрения информационной безопасности, наиболее опасных угроз, анализ рисков и генерировать рекомендации по повышению уровня обеспечения информационной безопасности организации.

3. Экспертная система поддержки принятия решений, включающая фреймовую базу знаний, описывающую предметную область и правила извлечения знаний, которая формирует рекомендации по повышению уровня обеспечения информационной безопасности организации.

Апробация работы. Результаты проведенных исследований обсуждались на I-VI Всероссийских межвузовских конференциях «Формирование специалиста в условиях региона: Новые подходы» (Тамбов, 2000-2006 гг.), II Международной научно-практической конференции «Научные исследования и их практическое применение. Современное состояние и пути развития» (Одесса, 2006 г.), VII Международной научно-технической конференции «Новые информационные технологии и системы» (Пенза, 2006 г.), на семинарах кафедры информационных систем Тамбовского филиала МГУКИ.

Публикация. По теме диссертации опубликованы: монография, 5 научных статей и 9 тезисов докладов.

Объем и структура диссертационной работы. Диссертация содержит следующие структурные элементы: обозначения и сокращения, введение, четыре главы, список использованных источников из 138 наименований,

приложения. Основной текст изложен на 158 с. Работа содержит 30 рисунков и 28 таблиц.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы диссертации, сформулированы цели и задачи исследования, приведено краткое содержание каждого раздела, представлены основные научные результаты, выносимые на заши-ту, и описана их новизна.

В первой главе проведен анализ методологических основ формирования систем обеспечения информационной безопасности (ОИБ) организации, проанализированы и систематизированы методы, средства и используемые в мировой практике автоматизированные системы ОИБ организации. Общность структуры большинства организаций позволяет сформулировать некоторые единые принципы построения системы ОИБ. Процесс построения системы ОИБ носит комплексный характер, охватывает законодательный, административный, процедурный, программно-технический уровни. Многообразие информационных систем порождает необходимость создания различных методик ОИБ, учитывающих индивидуальные особенности каждой системы.

Во второй главе проведено формализованное описание процесса ОИБ организации и разработана методика ОИБ организации.

Угрозы информационной безопасности в организации разделены по трем признакам: источник угрозы, объект угрозы, методы и средства реализации угрозы. Каждый из выделенных признаков содержит свои характеристики, отражающие его особенности и влияющие на характер угрозы. Источник угрозы имеет две важные характеристики - тип и расположение; объект угрозы характеризуется типом и целью угрозы; методы и средства реализации угрозы обусловлены особенностями источника и объекта угрозы (рис.1).

[ У грот а

Источ им к

Тип

Расположение

Объект

Тип

Реал и з&иня

Методы Средства

Аспект ИБ

Рисунок I - Модель угрозы информационной безопасности

Множество источников угрозы представлено в виде матрицы размерностью 3x2:

Г Т1п *А 1Л

1 = Г'" 1т тош *Т

Г" тОи9 с /

или 1={I*}, где} - индекс типа источника угрозы,)={А, Т, С}, !л - множество антропогенных источников угрозы; !т - множество техногенных источников угрозы; /с—множество стихийных источников угрозы; к- индекс расположения источника угрозы, к={гп,о«0, — множество внутренних источников угрозы, /™" — множество внешних источников угрозы.

Множество объектов угроз представлено в виде матрицы размерностью пхЗ:

'О* О? о?} о* оч о2°

о =

о? о?

ОО!' Р? ОГ,

или 0={О™}, где / - индекс объекта угрозы; т - идентификатор цели нарушения аспекта информационной безопасности (ИБ), 0,К — объект с нарушенной конфиденциальностью, Ор — объект с нарушенной целостностью, <3° — объект с нарушенной доступностью; К - идентификатор нарушенной

конфиденциальности; Q — идентификатор нарушенной целостности; О — идентификатор нарушенной доступности.

Полагая, что любой источник угрозы направлен на любой ресурс организации с целью нарушения любого аспекта ИБ, задается бинарное отношение />[=(/*,<?") реальных пар «источник угрозы — объект угрозы», где

Р\ « / х0-«/;,0(")|/; е /.ОГеО}.

Любой источник угрозы, направленный на конкретный объект и имею* щий определенную цель нарушения аспекта ИБ, использует для реализации методы и связанные с ними средства, что описывается бинарным отношением /э2 =(ге,/,)» ге е 2, е I > где 2 — множество методов реализации угрозы;

— множество средств реализации угрозы. Таким образом, можно записать, что если на множестве 1x0 задано бинарное отношение р! = и на множестве 2хЬ задано бинарное отношение р2 ={:г,1 ). то возможно отображение / задающее соответствие

(/*,£>*)—и имеющее следующие особенности: значения функции зависят от переменных /* и О"; условия бнекции не выполняются, т.к. не

выполняются условия инъекции (область определения задается парами (/',£>") на множестве 1хО, а значения функции из множества 2хЬ для различных элементов могут совпадать). Отображение/является сюрьективным, а задание множества пар выполняется экспертными процедурами.

Таким образом, формализованное описание угроз ИБ организации примет вид:

где /* - идентификатор источника угрозы, характеризующийся типом и расположением; О™ - идентификатор объекта угрозы, характеризующийся типом ресурса организации и целью нарушения аспекта ИБ; ге - идентификатор е-го метода реализации угрозы; Ья - идентификатор «-го подмножества средств реализации угрозы.

Множество ресурсов организации представляется Н*={Ян, Яр, где Яц

- множество человеческих ресурсов, - множество физических ресурсов, Ду— множество информационных ресурсов. В свою очередь, каждый из типов ресурса является множеством, содержащим элементы: где ] -идентификатор типа ресурса, / — номер у — го типа ресурса. Полагая, что множество угроз ИБ направлены на все ресурсы организации, т.е. 3 т,е ¡1x1/ и имеет место (1), то бинарное отношение Т/определяется однозначно по объекту угрозы, т.е. э О".

Для множества угроз ИБ организации существует множество мероприятий по их нейтрализации: У={у,}. Бинарное отношение реальных пар «угроза

— методы нейтрализации» имеет вид: ихУ~{(и,;\)}. Кроме этого, ОИБ организации предполагает защиту всех ресурсов, т.е. с каждым ресурсом организации связано множество мероприятий по ОИБ, что отражается бинарным отношением Т} еНх\У={(г,,;\\>1}, где Я — множество ресурсов организации; IV — множество мероприятий по ОИБ, направленных на защиту ресурсов.

Процесс оценки уровня ОИБ организации представляется композицией бинарных отношений т1°т1, где Тз=((гл;у,}. Если

Гр;и,)й(Г;1;м>>), то можно утверждать, что уровень

ОИБ достаточен для защиты ресурса, полагая, что множество мероприятий по ОИБ, направленных на ресурсы, больше множества мероприятий по нейтрализации угроз либо совпадает с ним, т.е. Если гг»г, >г,,

(О

(u.iv^afrJ,;uj>(rJt;w,), т.е. v, > w,, то можно утверждать, что уровень

ОИБ недостаточен для защиты ресурса, и существуют уязвимости, через которые может быть реализована угроза. Тогда необходимо доопределить множество wi до , таким образом, чтобы, по крайней мере, выполнялось тождество v^ — .

Выбор мероприятий по ОИБ определяется нечетким соответствием множеств U и W: r={U,W,F}, где F — функция принадлежности UxW, которое задается в виде графа с множеством вершин U^jW, каждая дуга которого обозначает функцию принадлежности ^F(ujfWj) или с помощью матрицы инциденций R-г, строки которой помечены элементами w,. а столбцы — и„ на пересечении строк и столбцов расположен элемент kh — fiF(u,,Wj), где ftF - функция принадлежности элементов нечеткому графику.

Пусть, например, Г={Ц, fV,F), f, = T,6."

(к, /{(и,, ))), ik6 /((и,, Н',;))}. Матрица инциденций и граф нечеткого соответствия позволяют выбрать для данного примера мероприятия по ОИБ путем селекции максимальных значений ^ по каждому столбцу (рис.2).

U| Ui Uj щ

к, к2 О к; О О к3 к,

ООО 1'4

kt о о о

Рисунок 2 - Графическое и матричное задание нечеткого соответствия r={U,W,F)

Для генерации вариантов мероприятий по ОИБ задача оптимизации (в зависимости от требований пользователя) формулируется в двух вариантах.

Первый вариант. Известны стоимости ресурсов организации, угроз, методов и средств защиты ресурсов от угроз: c(r)1),c(ui},c(wj- Следует определить при заданных значениях рисков с учетом проведенной селекции минимальные затраты на ОИБ. При этом введены ограничения: стоимость ресурса больше либо равна стоимости угрозы, направленной на него, в противном случае, средства, затраченные на реализацию угрозы, экономически не оправданы. По той же причине стоимость ресурса больше либо равна стоимости мероприятий по его защите. Тогда имеем (2). Второй вариант.

Известны стоимости ресурсов организации, угроз, методов и средств защиты ресурсов от угроз: с(гм). с(и/), ). Необходимо определить минимальное значение рисков при заданном значении затрат на ОИБ. При тех же ограничениях имеем (3).

I»

Сопв

ы

Выбор оптимального варианта из сгенерированного множества идентичен типовой задаче принятия решения группой экспертов с использованием теории нечетких множеств.

Разработанная методика обеспечения информационной безопасности организации включает несколько этапов. Первый этап — создание модели объекта ОИБ, которая формируется путем внесения в систему полной информации обо всех ресурсах организации, входящих в информационную систему организации. Второй этап - оценка важности ресурсов с точки зрения ИБ, определение соответствия между существующим и необходимым уровнями ОИБ в организации. Третий этап - выявление уязвимостей и оценка рисков. Выполнение действий по данным этапам формирует на выходе полную модель объекта ОИБ с учетом реального выполнения требований. Построенная модель анализируется и генерируется отчет, который содержит значения риска для каждого ресурса. Пользователь задает критерии оптимизации, по которым генерируются оптимальные варианты мероприятий по ОИБ.

Для оценки угрозы задается лингвистическая переменная (ЛП) П0=«Опасность угрозы», которая принимает нечеткие значения Т= {Т1 .ТгДз,Т4,Т5}, где Т| = «Незначимая», Тг=«3нанимая», Т5=« Опасная», Т4=«Очень опасная», Т5 = «Критическая». Для оценки ресурсов задается ЛП Лл=«Важность ресурса с точки зрения ИБ организации», которая принимает нечеткие значения 0={01,02,03,04}, где = «Незначимый»; 02=«3начимый»; ««Важный»; 04=«0чень важный». Для определения носителей множеств и пк, содержащих терм-значения соответственно Т и О, применяется балльный метод экспертной оценки. В качестве факторов, обусловливающих опасность угрозы и важность ресурсов, используются параметры, которые характеризуют источник и цель угрозы, степень опасности угрозы, оценку ресурса, связь: «Ресурс-Угроза».

Принадлежность ¡-ой угрозы одному из терм-значений ТрТ» и принадлежность ¡-го ресурса одному из терм-значений 0(-04 определяются макси-

С<Я1В

(3)

мальным значением функций принадлежности соответственно (ц) и /4п (/;), где ь = \£, а = Г~4- В отношении информационных ресурсов и процессов установлены по четыре категории'конфиденциальности и доступности. Такое категорирование информационных ресурсов позволяет обоснованно сформировать требования к защищенности физических ресурсов организации. , ' '

Риск характеризует ущерб, который может наступить в результате реализации угроз, и зависит от показателей ценности ресурсов, вероятности реализации угроз и уязвимостей в ОИБ. Процедура оценки рисков основана на использовании качественных величин оценок угроз, ресурсов и уязвимостей (табл. 1). Уязвимость ресурса дифференцирована на низкую (Н), среднюю (С) и высокую (В), а величина риска в показателях и шкалах данной методики принадлежит интервалу от 0 до 9.

Таблица 1 - Значения рисков для различных угроз, __ресурсов и уязвимостей_

Оценка угршы Оценка ресурса

Незначимый Значимый Важный Очень аажньгй

В С Н В С Н В С И В С Н

Незначимая 0 1 2 1 2 3 2 3 4 3 4 5

Зничнздн 1 2 3 2 3 4 3 4 5 4 5 6

Опасная 1 3 4 3 4 5 4 5 6 5 6 7

Очень опасная 3 4 5 4 5 б 5 6 7 6 7 К

Критическая 4 5 6 $ 6 7 6 7 К 7 8 ч

Оцененные риски анализируются. В рамках разработанной методики, генерация мероприятий по ОИБ определяется вариантом принятой задачи оптимизации. По полученным данным генерируется несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням, и выбираются контрмеры, исходя из принципа необходимости и достаточности.

В третьей главе разработана экспертная система поддержки принятия решений (ЭСППР) по ОИБ.

Общая структура ЭСППР организации (рис.3) включает: 1) базу знаний; 2) базу данных; 3) машину логического вывода; 4) интерфейс пользователя; 5) модуль объяснений; 6) модуль приобретения знаний; 7) интерфейс эксперта. База данных содержит перечень категорий информационных ресурсов и их описания, каталог возможных физических ресурсов организации, каталог угроз ИБ, перечень классов требований к показателям защищенности, каталоги тестов для расчета уязвимостей и др. База знаний состоит из

набора фреймов и правил-продукций (рис.4), которые в совокупности описывают объекты, события, взаимосвязи между ними.

Рисунок 3 — Структура ЭСППР ло ОИЕ организации

Определение внутреннего состояния системы дается с помощью модели классов (рис.5), на которой суперклассы Каталог угроз, Каталог ресурсов и Каталог мероприятий по ОИБ являются абстрактными, т.к. не имеют экземпляров и содержат в себе другие абстрактные классы, которые являются агрегатами по значению. Отношения агрегации между классами и их потомками одинаковые и отражают тот факт, что потомки являются частями родительских классов. Кроме того, между указанными классами установлены отношения ассоциации «многие ко многим», которые показывают, что каждый класс влияет на другой класс и связан с ним.

На диаграмме модели отражено отношение обобщения: классы Модель объекта ОИБ и Модель угроз являются подвидами соответственно классов Каталог ресурсов и Каталог угроз и наследуют атрибуты и методы родительских классов. Между ними установлена ассоциативная связь «один к одному», показывающая, что для одной модели объекта ОИБ может быть построена одна модель угроз. Отношения зависимостей («call» - вызов) этих классов с классом Каталог показателей, оценок представляют собой

зависимость реализации, при которой клиенты (классы Модель объекта ОИБ и Модель угроз) используют услуги поставщика (класс Каталог показателей, оценок) для реализации своего поведения. Класс Уязвимости связан отношением зависимости («bind» - связь) с классом Модель объекта ОИБ и отношением зависимости «call» с классом Каталог тестов. Класс Модель рисков связан отношением зависимости использования («use») с классами Уязвимости, Модель угроз и Модель объекта ОИБ, являясь клиентом этих классов и используя информацию, предоставляемую поставщиками. Класс Рекомендации связан отношением зависимости с классами Каталог мероприятий по ОИБ и Модель рисков, в первом случае зависимость реализации - вызов, во втором случае зависимость абстракции — вывод.

КтНГ ^диния риДт (KiwFr)

lib Цч* ttKt 1

Ccictoi фнйВ-Артф

СВТСрДО Ok*s ii БД

(ЗТСр.СН- С«т<«| ивфорнвчтшчЛссрвф

CUTCptClla С«т«*о1 «ермрмэдмкн

ОТДОО* СстсшА upaep обимп «пичнп*

О

МАК* «twin ОКБ lRnwn>

Кчт ЭпЧПИ ttomcvm

ГО»1 .Wft.lDr

Ни* Р«зис» {ни} ferns Fmnc

УфЧ*| lWtlta Upottt»!

Очеши I^J, Пртндт?

Knicfvm тфра tofJDf. щ

fab) M«tY*_MV npUHJKj

Лк* 11..Ц ПрьтоН

KmMfipM|NnitTkri [ OK ih >ip*lw (fthrtlki)

1 hu* >nrni

HCH ВДшДОкГмт*« \ L wnKRdi

НСД JWfVW ОС 0n*H*4

mm Нвинюмнгопффер* f^J hmwMij 4Т1Л1ТШ

»вшПЪмГк

Ни llHWipt ТЪоцнтр»

ВЛ HtmTkJnu

llvpw Ntatlbr.iumf

06>dl (Oil

Цел

Oucva ,

X (ТЫ 1 н™*мегерщ

¡r_____J. urtt^HwmM"»!»«^

[о*»1»*кмй

Е (ЖРЯИ^М

' Ц] Очаыниы*

1 |UUKIW%)

^Katoqiid

| У|»т (nlucl

УШтир flfMem»

Гкначтаи ;A|.«AJ. . м<Ц

Dvw'lculj СДОЛГДф

ИН.ЩЛДО!

Aw "A"IKTI ¿"к и Т to* .нипЬя Сл

ЦкМКПЗ SHWTOI ЧЯВТСЧ

Нчккррщ fexratwi*

Вфшт {withe}

Опта пиши рк*|М1 i 4*rkVatr>)

1Ьм tmr«Mt ItkMHiHM

ItfMafMat)

lunu^i.UVj ¡пел;

ХлкюГ li^KW [QtcMta)

J* jMiab«] fcnt^wKJ) B«faftirTH

lie ocyewtiMfT шхряяу {J «ОыМПГл^ wm (ичмгютст®}

2 if обрв&тчмет цффшяв (цинга дом апфчд ргкал, *рПИС§ИН|ф||Д.|

J lltuuttawv доыт ЛЬ'иМИПЧЙГ (одиштамк.

QtipfiKHWf i|HflM4 j j'MirllM)

Uvi

Que*] Mounter

Htmput Qimhu&Q

Вцмт QuStw.V

QuouatV

(гшткиТиО

1 i lull

ltJfl

I TrtG

Рисунок 4 - Часть фреймовой модели базы знаний для ЭСППР по ОИБ организации

Рисунок 5 — Модель классов ЭСППР по ОИБ организации

Модель прецедентов позволяет описывать функциональные требования системы с точки зрения внешних агентов - актеров, которые взаимодействуют с системой. Поведение прецедентов описывается с помощью динамических представлений, в частности представления взаимодействий. Поток событий для прецедента является моделью видов деятельности. В графической форме представляется в виде диаграммы видов деятельности, которая отражает этапы вычислений: создание нового процесса, идентификация оценки ресурсов, генерация и отображение модели объекта ОИБ, оценка уровня ОИБ, генерация и отображение модели угроз, оценка рисков, модель рисков, определение критериев оптимальности для генерации рекомендаций, генерация рекомендаций по ОИБ. Модель описывает, какие этапы выполняются последовательно, а какие параллельно.

Если модель прецедентов отражает систему с позиции субъекта, то модель видов деятельности отражает внутрисистемную точку зрения. Для прецедента «Создание нового процесса» (рис.б) эта модель отражает поведение системы в рамках данного прецедента и описывает этапы вычислений, па-

раллельные и последовательные процессы. Далее каждая деятельность реализуется в одной или нескольких операциях, входящих в один или несколько классов.

Рисунок 6 — Модель видов деятельности для прецедента «Создание нового процесса»

Таким образом, концепция обеспечения информационной безопасности организации заключается в реализации постоянного функционирования ЭСППР по ОИБ, которая построена по результатам формализации процесса ОИБ, работает на основе методики ОИБ, включающей идентификацию ресурсов, угроз и оценку рисков, и выдает рекомендации по ОИБ.

В четвертой главе описаны результаты внедрения концепции ОИБ в ООО «Агро-Альянс» (г. Тамбов). Реализация элементов концепции показала, что в организации имеется конфиденциальная информация, отнесенная к коммерческой тайне, персональным данным, с ограниченным доступом, ознакомление конкурентов с которой может нанести серьезный материальный и моральный ущерб организации. Функционирование организации осуществляется под управлением автоматизированной распределенной информационной системы учета товародвижения, сбой которой повлечет приоста-

новку работы всей организации. Проведенное обследование объекта выявило критичные ресурсы организации, уязвимости в защите этих ресурсов. В результате реализации методики, ЭСППР выдала 128 рекомендаций по 21 функциональному классу, внедрение которых позволит минимизировать риск с 9 до 0. Эти рекомендации использованы для создания системы ОИБ в ООО «Arpo-Альянс», причем, при неизменных ресурсах и угрозах, использование лишь 35 рекомендаций привело к снижению уровня риска ущерба (в целом по организации) до 7.

В заключении приведены результаты и выводы, полученные автором в ходе исследования.

ОСНОВНЫЕ ВЫВОДЫ И РЕЗУЛЬТАТЫ

1. Выявлены общие принципы классификации защищаемых в организациях информационных ресурсов, позволяющие ранжировать их по различным уровням конфиденциальности, целостности, доступности, в соответствии с которыми обоснованно принимаются решения по формированию требований к показателям защищенности физических ресурсов. Проанализированы и обобщены классификации угроз информационной безопасности и выявлены наиболее существенные признаки, позволяющие описывать любую угрозу информационной безопасности организации,

2. Проведено формализованное описание процесса обеспечения информационной безопасности организации (с использованием аппарата четких и нечетких множеств), состоящее в последовательной формализации угроз информационной безопасности, ресурсов организации, как объектов угроз, оценки уровня обеспечения информационной безопасности организации и генерации рекомендаций по достижению необходимого уровня обеспечения информационной безопасности организации.

3. Разработана методика обеспечения информационной безопасности организации, основанная на концепции нечетких множеств и включающая системы показателей, в которых по косвенным факторам определяются важные с точки зрения информационной безопасности ресурсы организации и опасные угрозы, на основе чего проводится анализ рисков и генерация рекомендаций.

4. Разработана экспертная система поддержки принятия решений по обеспечению информационной безопасности организации, включающая базу знаний, базу данных, машину логического вывода, интерфейс пользователя, модуль объяснений, модуль приобретения знаний, интерфейс эксперта. Особенности поведения этой системы отражены в моделях классов, прецедентов и видов деятельности. База знаний содержит фреймовую сеть и правила-продукции, на основе которых с помощью машины логического вывода формируются рекомендации по достижению необходимого уровня обеспечения информационной безопасности организации.

5. Предложена концепция обеспечения информационной безопасности организации, заключающаяся в реализации постоянного функционирования экспертной системы, которая построена по результатам формализации процесса обеспечения информационной безопасности, работает на основе методики, включающей идентификацию ресурсов, угроз и оценку рисков, и выдает рекомендации по обеспечению информационной безопасности.

6. Предложенная концепция использована для создания системы обеспечения информационной безопасности ООО «Агро-Альянс» (г. Тамбов), функционирование которой уменьшило риск ущерба с 9 до 7 единиц условной шкалы.

По теме диссертации опубликованы следующие работы:

1. Королева, H.A. Экспертная система поддержки принятия решений но обеспечению информационной безопасности организации: моногр. / H.A. Королева, В,М.Тюттонник. — Тамбов; М.; СПб.; Баку; Вена: Нобелистика, 2006.-200 с.

2. Королева, H.A. Разработка требований к системе обеспечения информационной безопасности предприятия / Н.А.Королева // Информационные системы и процессы: сб. науч. тр. / под ред. проф. В.М.Тютюнника. - Тамбов; М.; СПб.; Баку; Вена: Нобелистика, 2003. - С.34-37.

3. Королева, H.A. Обеспечение информационной безопасности методами криптографии / Н.А.Королева // Формирование специалиста в условиях региона: новые подходы: материалы III Всерос. межвузов, науч. конф., 11-12 апр. 2003 г.-Тамбов; М.: Нобелистика, 2003.-С.138-139.

4. Королева, Н.А Обзор методов компьютерного несанкционированного доступа к информации / Н.А.Королева, Н.А.Попова // Формирование специалиста в условиях региона: новые подходы: материалы IV Всерос. межвузов. науч. конф., 12-13 апр. 2004 г. — Тамбов; М.; СПб.; Баку; Вена: Нобелистика, 2004. — С.109-113.

5. Королева, H.A. Законодательные аспекты защиты информации / Н.А.Королева, И.С.Корскова // Там же. - С. 103-106.

6. Королева, H.A. Обзор технических средств, применяющихся при несанкционированном доступе к информации / Н.А.Королева, И.В.Тявкин // Там же.-С. 117-120.

7. Королева, H.A. Комплексный подход к построению безопасной информационной системы организации/Н.А.Королева//Там же. -С.113-117.

8. Королева, H.A. Носители защищаемой информации / Н.А.Королева, В.Н.Точка, И.В.Тявкин // Информационные системы и процессы: сб. науч. тр. Вып.З / под ред. проф. В.М.Тютюнника. - Тамбов; М.; СПб.; Баку; Вена: Нобелистика, 2005. -С.14-20.

9. Королева, H.A. Модель системы обеспечения информационной безопасности организации / Н.А.Королева // Формирование специалиста в уело-

виях региона: новые подходы: материалы VI Всерос. межвузов, науч. конф., 11-12 аир. 2006 г. — Тамбов; М.; СПб; Баку; Вена: Изд-во «Нобелистика», 2006. - С,1I7-I19.

10. Королева, H.A. Понятие информационной безопасности организации и ее составляющие / Н.А.Королева // Там же, - С. 120-123.

11. Королева, H.A. Автоматизированные информационные системы обеспечения информационной безопасности / Н.А.Королева // Научные исследования и их практическое применение. Современное состояние и пути развития. Т.2. Технические науки: сб. науч. тр. по материалам науч.-практ. конф. - Одесса: Черноморье, 2006. - С.16-20.

12. Королева, H.A. Угрозы информационной безопасности организации / Н.А.Королева // Новые информационные технологии и системы: тр. VII Междунар. науч.-техн. конф., 29-30 нояб. 2006 г. - Пенза: ПГУ, 2006. -С. 100-104.

13. Королева, H.A. Классификация защищаемой информации в организации / Н.А.Королева // Вестник развития науки и образования. — 2006. - №6. - С.88-92.

14. Королева, H.A. Общая структура экспертной системы поддержки принятия решений по обеспечению информационной безопасности организации / Н.А.Королева, В.М.Тютюнник И Информационные системы и процессы: сб. науч. тр. Вып.5 / под ред. проф. В.М.Тютюнника. - Тамбов; М.; СПб.; Баку; Вена: Нобелистика, 2006. - С.5-12.

15. Королева, H.A. Модель прецедентов и видов деятельности для экспертной системы поддержки принятия решений по обеспечению информационной безопасности организации / Н.А.Королева, В.М.Тютюнник // Там же. -С.12-20.

Подписано в печать 18.11.2006. Формат 60x84/16. Объем 1,0 печ.л. Тираж 100 экз. Заказ № 188, Бесплатно

Типография издательства «Нобе л истина» МИНЦ, 392680, г. Тамбов, ул. Монтажников, 3, Тел.: 4752-564024.

ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ.

ВВЕДЕНИЕ.

1 СОВРЕМЕННОЕ СОСТОЯНИЕ, ПРОБЛЕМЫ И ПЕРСПЕКТИВЫ РАЗВИТИЯ СИСТЕМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ.

1.1 Понятие и составляющие информационной безопасности организации

1.2 Защищаемые элементы в информационном пространстве организации

1.2.1 Классификация защищаемой информации в организации.

1.2.2 Носители защищаемой информации.

1.2.3 Каналы утечки информации.

1.2.4 Роль информационных субъектов в системе обеспечения информационной безопасности.

1.2.5 Средства обработки информации.

1.3 Угрозы информационной безопасности организации.

1.3.1 Понятие угрозы информационной безопасности организации, способы классификации угроз.

1.3.2 Модель нарушителя.

1.3.3 Анализ угроз информационной безопасности организации и оценка рисков.

1.4 Обеспечение информационной безопасности организации.

1.5 Автоматизированные информационные системы обеспечения информационной безопасности.

Выводы по главе 1.

2 КОНЦЕПЦИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ.

2.1 Формализованное описание процесса обеспечения информационной безопасности организации.

2.2 Методика обеспечения информационной безопасности организации

2.2.1 Идентификация и оценка угроз информационной безопасности организации.

2.2.2 Методика идентификации и оценки важности ресурсов организации с точки зрения ИБ.

2.2.3 Методика оценки рисков и уровня обеспечения информационной безопасности организации.

2.2.4 Генерация вариантов мероприятий по обеспечению информационной безопасности организации.

Выводы по 2 главе.

3 АРХИТЕКТУРА ЭКСПЕРТНОЙ СИСТЕМЫ ПОДДЕРЖКИ ПРИНЯТИЯ РЕШЕНИЙ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ.

3.1 Обоснование требований к системе.

3.2 Общая структура экспертной системы поддержки принятия решений по обеспечению информационной безопасности организации.

3.3 Модели экспертной системы.

Выводы по главе 3.

4 ЭКСПЕРИМЕНТАЛЬНАЯ ПРОВЕРКА КОНЦЕПЦИИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ.

Выводы по 4 главе.

Актуальность темы. Обеспечение информационной безопасности является важной задачей для любой ор1анизации, поскольку от сохранения конфиденциальности, целостности и доступности информационных ресурсов во многом зависят качество и оперативность принятия технических решений, эффективность их реализации.

Государство, регламентируя отношения в информационной сфере не способно справиться в полном объеме с задачей обеспечения безопасности всех субъектов информационных отношений, однозначно отвечая лишь за защиту сведений, составляющих государственную тайну. Поэтому в условиях различных форм собственности задача обеспечения информационной безопасности полностью ложится на плечи предпринимателей, руководителей организаций, различных коммерческих структур. По подсчетам американских специалистов, утрата 20% информации ведет к разорению организации в течение месяца в 60 случаях из 100. Информация является основой для приняв ля решений человеком и от ее достоверности, полноты, системной организованности зависит риск принятия неэффективных и опасных решений. Непреднамеренное или преднамеренное искажение информации, несанкционированный доступ к защищаемой информации может представлять значительную угрозу.

Однако в настоящее время актуальными являются уже не столько вопросы защиты интеллектуальной собственности и информации, составляющей личную, коммерческую или служебную тайну, сколько такое конструирование структур и функций организаций, которое обеспечивало бы безопасность информационных технологий, сопровождающих, а часто и обеспечивающих нормальное функционирование производственных (интеллектуальных, инновационных, опережающих и т.п.) технологий. Это связано с тем, что практически все системы жизнеобеспечения общества и государства базируются на использовании информационных систем (банковские расчеты, электронный документооборот, электронная коммерция и др.) вывод из строя любою существенного элемента этой системы может привести к невосполнимому ущербу и катастрофическим последствиям.

К настоящему времени в мире сложилась четкая система концептуальных взглядов на обеспечение информационной безопасности государства в целом и хозяйствующих субъектов в отдельности, однако специфические особенности информационных систем в различных организациях не позволяют создавать единых универсальных методов обеспечения их информационной безопасности.

Решение задач обеспечения информационной безопасности организации может быть получено на базе использования экспертных систем поддержки принятия решений, применение которых эффективно по ряду причин: во-первых, появляется возможность решения плохо формализуемых задач с привлечением нового, специально разработанного для этих целей математического аппарата (семантических сетей, фреймов, нечеткой логики); во-вторых, экспертные системы ориентированы на эксплуатацию широким кругом специалистов, общение с которыми происходит с использованием понятной им техники рассуждений и терминологии; в-третьих, применение экспертных систем позволяет значительно повысить эффективность и оперативность решений за счет аккумуляции знаний экспертов высшей квалификации.

Цель диссертационной работы - разработка экспертной системы поддержки принятия решений, осуществляющей генерацию и выдачу рекомендаций по достижению необходимого уровня обеспечения информационной безопасности организации.

Для достижения поставленной цели в диссертационном исследовании определены следующие задачи:

1) исследовать динамику развития проблем информационной безопасности в отечественных и зарубежных организациях, методологические основы формирования системы обеспечения информационной безопасности организации, проанализировать и систематизировать методы и средства обеспечения информационной безопасности;

2) формализовать процесс обеспечения информационной безопасности организации, выделив объекты, угрозы им, мероприятия по обеспечению информационной безопасности объектов и нейтрализации угроз;

3) разработать методику обеспечения информационной безопасности организации, включающую: идентификацию и оценку ресурсов организации, входящих в ее информационную систему и важных с точки зрения обеспечения информационной безопасности организации; идентификацию и оценку потенциальных угроз информационной безопасности организации; определение соответствия существующего уровня обеспечения информационной безопасности в организации необходимому для ее нормального функционирования; генерирование рекомендаций по повышению уровня обеспечения информационной безопасности организации;

4) разработать концепцию обеспечения информационной безопасности организации;

5) разработать экспертную систему поддержки принятия решений по обеспечению информационной безопасности организации, которая (на основе проведенного обследования информационной системы организации) формирует рекомендации по повышению эффективности обеспечения ее информационной безопасности.

Объект исследования. Система обеспечения информационной безопасности организации.

Предмет исследования. Экспертная система поддержки принятия решений по обеспечению информационной безопасности организации.

Методы исследования. В соответствии с характером решаемых проблем в работе использовались методы системного анализа, теории нечетких множеств, теории информационной безопасности, теории вероятностей и математической статистики, теории принятия решений, теории информации, математического моделирования, инженерии программного обеспечения.

Научная новизна. В диссертационной работе получены следующие новые научные результаты:

1. Проведена формализация процесса обеспечения информационной безопасности организации в терминах четких и нечетких множеств, выделены наиболее существенные признаки угроз информационной безопасности организации, позволяющие проводить их классификацию и формализованное описание.

2. Впервые разработана методика обеспечения информационной безопасности организации, основанная на концепции нечетких множеств и включающая системы показателей, в которых по косвенным факторам определяются важные с точки зрения информационной безопасности ресурсы организации и опасные угрозы.

3. Разработана концепция обеспечения информационной безопасности организации.

4. Разработана экспертная система поддержки принятия решений по обеспечению информационной безопасности, включающая фреймовую базу знаний, описывающую предметную область и правила извлечения знаний, формирующая рекомендации но повышению уровня обеспечения информационной безопасности организации.

Практическая значимоеib полученных результатов. Разработанная концепция и методика могут использоваться руководителями, сотрудниками службы информационной безопасности для создания системы обеспечения информационной безопасности организации. Реализованная экспертная система может применяться для автоматизированной поддержки принятия решения в области обеспечения информационной безопасности.

Реализация работы. Основные положения диссертации использованы при подготовке учебных курсов «Информационная безопасность», «Защита коммерческой информации», «Управление безопасностью и безопасность бизнеса», «Информационные системы обеспечения информационной безопасности организации» в Тамбовском филиале МГУКИ. Методика использована при создании системы обеспечения информационной безопасности в ООО «Агро-Альянс» (г. Тамбов), что отражено в справке о внедрении.

Основные положения, выносимые на защиту.

1. Формализованное описание процесса обеспечения информационной безопасности организации, использующее аппарат четких и нечетких множеств и состоящее в последовательной формализации угроз информационной безопасности, ресурсов организации, как объектов угроз, оценки уровня обеспечения информационной безопасности организации и генерации рекомендаций по достижению заданного уровня.

2. Методика обеспечения информационной безопасности организации, основанная на концепции нечетких множеств, позволяющая проводить идентификацию и оценку ресурсов организации, входящих в ее информационную систему и важных с точки зрения информационной безопасности, наиболее опасных угроз, анализ рисков и генерировать рекомендации по повышению уровня обеспечения информационной безопасности организации.

3. Экспертная система поддержки принятия решений, включаюигдя фреймовую базу знаний, описывающую предметную область и правила извлечения знаний, которая формирует рекомендации но повышению уровня обеспечения информационной безопасности организации.

Апробация работы. Результаты проведенных исследований обсуждались на I-VI Всероссийских межвузовских конференциях «Формирование специалиста в условиях региона: Новые подходы» (Тамбов, 2000-2006 гг.), II

Международной научно-практической конференции «Научные исследования и их практическое применение. Современное состояние и пути развития» (Одесса, 2006 г.), VII Международной научно-технической конференции «Новые информационные технологии и системы» (Пенза, 2006 г.), на семинарах кафедры информационных систем Тамбовского филиала МГУКИ.

Публикации. По теме диссертации опубликованы: монография, научные статьи и тезисы докладов в научно-техническом сборнике «Информационные системы и процессы» №1, №3, №5, в журнале «Вестник развития науки и образования», в сборнике трудов II Международной научно-практической конференции «Научные исследования и их практическое применение. Современное состояние и пути развития» (Одесса 2006 г.), в сборнике трудов VII Международной научно-технической конференции «Новые информационные технологии и системы» (Пенза 2006г.), в сборниках трудов I-VI Всероссийской межвузовской конференции «Формирование специалиста в условиях региона: Новые подходы» (Тамбов, 2000-2006 г.г.). Всего по теме диссертации пять научных статей и девять тезисов докладов.

Объем и структура диссертационной работы. Диссертация содержит следующие структурные элементы: обозначения и сокращения, введение, четыре главы, список использованных источников из 138 наименований, приложения. Основной текст изложен на 158 с. Работа содержит 30 рисунков и 28 таблиц.

Основные выводы и результаты

1. Выявлены общие принципы классификации защищаемых в организациях информационных ресурсов, позволяющие ранжировать их но различном уровням конфиденциальности, целостности, доступности, в соответствии с которыми обоснованно принимаются решения по формированию требований к показателям защищенности физических ресурсов. Проанализированы и обобщены классификации угроз информационной безопасности и выявлены наиболее существенные признаки, позволяющие описывать любую угрозу информационной безопасности opi анизации. л

2. Проведено формализованное описание процесса обеспечения информационной безопасности организации (с использованием аппарата четких и нечетких множеств), состоящее в последовательной формализации угроз информационной безопасности, ресурсов организации, как объектов угроз, оценки уровня обеспечения информационной безопасности организации и генерации рекомендаций по достижению необходимого уровня обеспечения информационной безопасности организации. 5

3. Разработана методика обеспечения информационной безопасности организации, основанная на концепции нечетких множеств и включающая системы показателей, в которых по косвенным факторам определяются важные с точки зрения информационной безопасности ресурсы организации и опасные угрозы, на основе чего проводится анализ рисков и генерация рекомендаций.

4. Разработана экспертная система поддержки принятия решений по обеспечению информационной безопасности организации, включающая базу знаний, базу данных, машину логического вывода, интерфейс пользователя, модуль объяснений, модуль приобретения знаний, интерфейс эксперта. Особенности поведения этой системы отражены в моделях классов, прецедентов и видов деятельности. База знаний содержит фреймовую сеть и правилапродукции, на основе которых с помощью машины логического вывода фор мируются рекомендации по достижению необходимого уровня обеспечения информационной безопасности организации.

5. Предложена концепция обеспечения информационной безопасности организации, заключающаяся в реализации постоянного функционирования экспертной системы, которая построена по результатам формализации процесса обеспечения информационной безопасности, работает на основе методики, включающей идентификацию ресурсов, угроз и оценку рисков, и выд^т рекомендации по обеспечению информационной безопасности

6. Предложенная концепция использована для создания системы обеспечения информационной безопасности ООО «Агро-Альянс» (г. Тамбов), функционирование которой уменьшило риск ущерба с 9 до 7 единиц условной шкалы.

ЗАКЛЮЧЕНИЕ

1. В настоящее время национальные интересы, угрозы им и обеспечение защиты от этих угроз в большей степени выражаются через информацию и информационную сферу. Таким образом, проблема национальной безопасности имеет ярко выраженный информационный характер. Укрепление информационной безопасности названо в Концепции национальной безопасности Российской Федерации в числе важнейших задач.

В условиях различных форм собственности задача ОИБ перераспределяется на граждан и на общественные структуры, и руководителям организаций приходится самостоятельно решать эти задачи. Для этого необходимо предусмотреть мероприятия по предотвращению угроз ИБ организации, недопущению хищения, разглашения, утраты, утечки, искажения, блокирован-я, уничтожения информации. Общность структуры и функций большинства организаций позволяет сформулировать некоторые единые принципы построения СОИБ. Достижение нужною уровня ИБ организации основывается на принципе: эффективность структуры обеспечивается четко прописанными взаимосвязями (точками соприкосновения) между узкоспециализированными подразделениями, направленными на ОИБ.

2. Процесс ОИБ носит комплексный характер, то есть охватывает законодательный, административный, процедурный, программно-технический уровни, учитывающие классификацию защищаемой информации совместно с носителями, потенциальные каналы утечки важной информации, правильный учет и охрану материалов и готовых изделий (особенно опытных образцов); порядок делопроизводства с документами, содержащими важную информаt цию (правила циркуляции, учета, хранения, уничтожения и др.); контроль средств копирования и размножения документов; защиту важной информации в средствах связи и вычислительной техники; охрану территории организации, ее основных зданий и сооружений; контроль над посещением посторонних лиц; права и обязанности сотрудников организации.

ОИБ предполагает проведение комплекса организационных и технических мероприятий, направленных на обнаружение, отражение и ликвидацию различных видов угроз. Под угроюй ИБ понимается потенциально существующая опасность нарушения ИБ. Чаще всего угроза является следствием наличия уязвимых мест в объекте защиты. Угрозы, как и всё в ИБ, зависят от интересов субъектов информационных отношений и от того, какой ущерб является для них неприемлемым.

В результате проведенного анализа, а также, руководствуясь определениями понятий «информационная безопасность», «угроза безопасности информации», нами выявлены наиболее существенные критерии классификации угроз, позволяющие полно описывать любую возможную угрозу. На самом верхнем уровне детализации угроза информационной безопасности в организации представляет собой совокупность следующих характеристик: источник угрозы, расположение источника угрозы относительно объекта угрозы, объект угрозы, аспект информационной безопасности объекта угрозы, методы* и средства реализации.

3. Многообразие ИС порождает необходимость создания различных методик ОИБ, учитывающих индивидуальные особенности каждой ИС. Практическая цель ОИБ состоит в разработке концепции ОИБ, которая позволяет проводить анализ и оценку уровня ОИБ в организации и выдавать рекомендации ио повышению его эффективности. Задача формализации процесса 0?1Б организации сводится к последовательной формализации угроз ИБ, ресурсов организации, оценки уровня ОИБ, генерации вариантов мероприятий по ОИБ и выборе оптимального варианта ОИБ.

4. Разработанная методика оценки уровня ОИБ организации, основанная на концепции нечетких множеств, включает этапы: идентификации и оценки ресурсов, идентификации и оценки угроз ИБ, анализа и оценки рисков.

Угроза ИБ организации представляется в виде класса, содержащего имя, характеристику и объекты, которые в свою очередь обладают определяющими угрозу свойствами. Имя класса угроз содержит информацию, необходимую для определения данного класса угроз, и имеет уникальный идентификатор. Характеристика класса содержит общее описание угроз и обобщает участие объектов в нем. Такая структура позволяет описывать множество угроз и добавлять новые.

Оценка опасности угрозы ИБ представляется сложной задачей ввиду многокритериальное™ и неопределенности исходной информации, поэтому процедура оценки опасности угроз построена с использованием концепции нечетких множеств. Для оценки угроз ИБ использовано правило Заде задания лингвистических переменных. Для определения носителя множества Оц, Содержащего терм-значения Т, в рамках решаемой задачи проведен балльный метод экспертной оценки. В качестве факторов, обусловливающих опасность угрозы, использованы параметры, из которых первые пять - БГБ5 характеризуют источник и цель угрозы, остальные Бб-Бп - степень опасности угрозы.

5. Информационные ресурсы при проведении обследования организации с целью ОИБ категорируются по степени важности, определяются отв -т-ственные лица, степень ответственности, в отношении которых осуществляется ОИБ. В отношении информационных ресурсов и процессов установлены следующие категории: К1 - очень важная по конфиденциальности; К2 - важная по конфиденциальности; КЗ - шачимая но конфиденциальности; К4 - незначимая по конфиденциальности; Ц1 - очень важная по целостности; Ц2 -важная по целостности; ЦЗ - значимая по целостности; Ц4 - незначимая по ije

137 № лостности; Д1 - очень важная по доступности; Д2 - важная по доступности; ДЗ - значимая по доступности; Д4 - незначимая по доступности.

Информационные ресурсы и процессы организации, как объекты защиты, оцениваются во взаимодействии с физическими и человеческими ресурсами. Идентификация и оценка ресурсов организации проводится с целью определения полного перечня ресурсов, важных с точки зрения ОИБ организации. Ресурсы организации представлены в виде классов, семейств, компонентов, содержащих определяющие их свойства. Имя класса ресурса содержит информацию, необходимую для его идентификации и имеет уникальный идентификатор. Характеристика класса содержит общее описание ресурсов и обобщает участие компонентов в нем. Подобное описание ресурсов организации позволяет точно произвести идентификацию ресурсов организации, а также добавлять новые. Идентификация ресурсов проводится с целью создания модели объекта ОИБ организации и последующей оценки важности их с точки зрения ИБ организации. Для оценки важности ресурсов задается ЛП Од=«Важность ресурса с точки зрения ИБ организации», которая принимает нечеткие значения Db D2, D3, D4.

Для определения носителя множества содержащего терм-значения D проводится балльный метод экспертной оценки. Комплексная оценка покагы-вает критичность i-ro ресурса во всей системе ОИБ организации, а также общий уровень защищенности ресурса. Оценки ресурсов обусловливаются спецификой организации. Данная методика оценки ресурса в системе ОИБ позволяет добавлять и оценивать любой ресурс. Таким образом, идентификация и оценка ресурсов, основанная на балльном методе экспертной оценки, характеризует уровень важности ресурса с точки зрения ИБ организации.

Помимо комплексной оценки ресурса, отражающей критичность ресурса во всей СОИБ и уязвимость ресурса, данные в ячейках являются параметрами, на основании которых строятся правила сопоставления каждому ресурсу множества связанных с ним угроз и вариантов мероприятий по нейтрализации от этих угроз. Сопоставив данные таблиц для каждого ресурса, определяется множество связанных с ним угроз.

6. Риск характеризует ущерб, который может наступить в результате реализации угрозы или нескольких угроз и зависит от показателей ценности ресурсов; вероятности реализации угроз; степени легкости, с которой уязвимости могут быть использованы при возникновении угроз; методов и средств обеспечения ИБ. Процесс управления рисками направлен на достижение величины риска в допустимых пределах.

Разработанная методика оценки рисков основана на использовании качественных величин оценок угроз и оценок ресурсов. Величина риска в пока1 зателях и шкалах данной методики принадлежит интервалу от 0 до 9. Генерация мероприятий по ОИБ определяется вариантом принятой задачи оптимизации. В первом варианте рассчитанные риски по каждому ресурсу сравниваются с заданной пользователем допустимой величиной риска по шкале от 0 до 9. Если величины оказались больше заданной, то необходимо предпринять действия по уменьшению, уклонению от риска или переадресации риска.

Во втором варианте, при заданном Соиб=1» рассчитанные риски минимизируются, для чего вычисляются весовые коэффициенты по каждому ресурсу. В данном случае минимизация рисков будет зависеть от оценки ресурса, т.е. чем она выше, тем меньше должен быть риск. Подобные решения принимаются экспертным путем.

7. По каждому ресурсу проводится обследование и выявляется степень соответствия требованиям безопасности. Доверие к безопасности всех компонентов в организации обеспечивается, как реализацией в них необходимых функциональных возможностей, так и осуществлением комплекса мер по ОИБ, проведением независимых оценок их безопасности и контролем уровня ОИБ при эксплуатации. Требования к ИБ устанавливаются исходя из имеющихся и прогнозируемых угроз ИБ, проводимой политики безопасности, а также с учетом условий их применения. При формировании требований используются компоненты из соответствующих стандартов, что дает возможность сравнения результатов независимых оценок ИБ организации. Предложенная методика оценки уровня ИБ организации основана на учете различных факторов, влияющих на безопасность ресурсов, уровни угроз ИБ и уязвимо-стей. Такой подход позволяет абстрагироваться от малосущественных технических деталей, учесть не только программно-технические, но и иные аспекты. По косвенным факторам предложены вопросы, которые оцениваются определенным количеством баллов. Итоговая оценка определяется на основании разработанных формализованных правил. Достоинством данного подхода является возможность учета множества косвенных факторов.

8. В разработанной модели ОИБ выделены три параметра: направления ОИБ; уровни ОИБ; этапы ОИБ. Направления формируются исхода из конкретных особенностей ИС как объекта ОИБ. Каждое из направлений ОИБ t включает несколько уровней ОИБ: законодательный, административный, процедурный и программно-технический; направления и уровни ОИБ рассматриваются неразрывно друг с другом.

В технологии создания СОИБ выделены следующие этапы: определение объектов подлежащих ОИБ; выявление полного множества потенциально возможных угроз и каналов утечки информации; проведение оценки рисков при имеющемся множестве угроз и уязвимостях в защитных механизмах; определение требований к СОИБ организации; осуществление выбора средств ОИБ и их характеристик; внедрение и организация использования выбранных мер, способов и средств ОИБ; осуществление контроля целостности и управление СОИБ.

9. Разработаны функциональные пользовательские требования, представляющие собой описание на естественном языке функций, которые доли m выполнять ЭСППР по ОИБ, и включающие описание того, как система реагирует на входные данные, как ведет себя в определенных ситуациях. ЭСППР предназначена для решения задач принятия решений о выборе наиболее эффективных мероприятий по ОИБ организации. Решения принимаются в условиях размытости исходной информации, а также нечеткости экспертных знаний, определяющих правила принятия решений. Подход к решению данной задачи, основанный на теории нечетких множеств позволил формализовать эти нечеткости в базе знаний и применить адекватный аппарат нечеткого вывода на такого рода знаниях. ЭСП1 IP по ОИБ организации состоит следующих из компонент: 1) базы знаний, предназначенной для хранения экспертных знаний о предметной области; 2) базы данных, предназначенной для временного хранения фактов или гипотез, являющихся промежуточными решениями или результатом общения системы с внешней средой; 3) машины логического вывода - механизма рассуждений, оперирующего знаниями и данными с целью получения новых данных из знаний и других данных, имеющихся в рабочей памяти; 4) интерфейса пользователя, предназначенного для ведения диалога с пользователем, в ходе которого ЭСППР запрашивает у пользователя необходимые факты для процесса рассуждения; 5) модуля объяснений, необходимого для того, чтобы дать возможность пользователю контролировать ход рассуждений экспертной системы; 6) модуля приобретения знаний, служащего для корректировки и пополнения базы знаний.

10. Проведена разработка и интеграция различных видов диаграмм, отражающих определенные особенности в поведении системы, на языке UML. Использовано три типа UML-моделей: модель состояний, модель поведения, модель изменения состояний. Модель состояний представляет статический взгляд на систему и является моделью требований к данным, которая отражает структуру данных; отношения в них и строится с использованием диаграмм классов. Модель поведения является моделью функциональных требований, которая отражает операции, алгоритмы над данными и строится с использованием диаграмм последовательностей, кооперации, видов деятельности. Модель изменения состояний является моделью эволюции объектов со временем, представляет возможные изменения состояния объекта и строится с использованием диаграммы состояний. *

11. Проведено обследование ИС ООО «Агро-Альянс» г. Тамбова с целью оценки ее уровня ОИБ с использованием разработанной методики, которое показало, что в организации имеется конфиденциальная информация, отнесенная к коммерческой тайне, персональным данным, с ограниченным доступом, ознакомление конкурентов с которой может нанести серьезный материальный и моральный ущерб организации. Кроме того, функционирование организации осуществляется под управлением АРИСУТ, сбой которой повлечет приостановку всей работы ор(анизации. В результате проведенного обследования объекта выявлены критичные ресурсы организации, уязвимости в защите этих ресурсов, построена модель ИС организации, разработаны рекомендации по достижению необходимого уровня ОИБ. Согласно разработанной методике, в ООО «Агро-Альянс» получены оценки ресурсов организации у с точки зрения ИБ и выявлены критичные элементы системы, на основании которых заявлены следующие требования к ОИБ организации: в отношении класса защищенности АС от НСД к информации необходимый уровень - 1 В, в отношении классов защищенности СВТ от НСД к информации, необходимый уровень - 3 класс, в отношении требований к безопасности информационных технологий - базовый. Проведенное тестирование выявило следующие соотл ветствия требований безопасности заявленным: общая защищенность ИС ООО «Агро-Альянс» 0,42 - низкая, общая уязвимость - высокая 0,58, что позволило сформировать рекомендации по повышению уровня ОИБ.

1. Концепция национальной безопасности (новая редакция) // Рос.газ. -2000.- 18 янв.

2. Доктрина информационной безопасности Российской Федерации //t1. Рос.газ. 2000. - 10 сент.

3. Андреев, Н.Н. О некоторых направлениях исследований в области безопасности информации / Н.Н.Андреев // Сборник материалов международной конференции «Безопасность информации». М.: Автоном. не-коммер. организация Рос. инженерной акад., 1997. -С.94-97.

4. Безопасность России: системный подход: постановка проблемы // Безопасность.-1993.-№5.-С. 15-16.

5. Безопасность России: правовые, соц.-экон. и науч.-техн. аспекты: основополагающие гос. док. -М.: МГФ «Знание», 1998. 4.1. -512 с.

6. Белов, П.Г. О семантике, объектах и методах обеспечения национальной безопасности России / П.Г.Белов // Безопасность. 1998. - №5-6. - С.40-47.

7. Гареев, М.А. Национальная безопасность России как теория и практип / М.А.Гареев // Безопасность. 1993. - №8. - С.75-80.

8. Гацко, М.Ф. Угрозы интересам национальной безопасности России и проблемы их предотвращения: дис. .канд. философ.наук / М.Ф.Гацко. -М., 1996.-207 с.

9. Закон Российской Федерации «О безопасности» // Рос.газ. 1992. - 6 мая. ,

10. Зегжда, Д.П. Основы безопасности информационных систем/ Д.П.Зег-жда, А.М.Ивашко. М.: Горячая линия - Телеком, 2000. - 452с.

11. Манилов, B.JI. Угрозы национальной безопасности / В.Л.Манилов // Воен. мысль. 1996. - № 1. - С.7-17.

12. Манилов, В.Л. Национальная безопасность: ценности, интересы, цели / В.Л.Манилов // Воен. мысль. 1995. - №6. - С.29-40.

13. Маркоменко, В.И. Роль и место ФАПСИ в системе информационной безопасности России / В.И.Маркоменко // Сборник материалов международной конференции «Безопасность информации». М.: Автоном. некоммер. организация Рос. инженерной акад., 1997. -С.45-50.

14. Ницевич, В.Ф. Информационное обеспечение национальной безопасности России: дисс. .канд.философ.наук / В.Ф.Ницевич. -М., 1996. 197 с.

15. Носков, Ю.Г. Опасность и безопасность с позиции деятельностного подрхода / Ю.Г.Носков // Безопасность. 1998. - № 1 -2. - С. 170-179.

16. Короткое, Э.Ю. Разработка интеллектуальной системы анализа и повышения защищенности корпоративной сети от несанкционированного доступа: дисс. .канд. тех. наук / Э.Ю. Коротков.-СПб., 2001. 116 с.

17. Петров, В.П. Система обеспечения национальной безопасности России: проблемы формирования и совершенствования: (философ.-политолог. анализ): дисс.канд. философ, наук / В.П.Петров. М., 1997.-220с. 4

18. Проблемы информационно-психологической безопасности: сб. ст. и материалов конф. РАН. М.: Институт психологии, 1996. - 65с.

19. Прохожев, А.А. Национальная безопасность: основы теории, сущность, проблемы: учеб. пособие / А.Л.Прохожев. М.: РАГС, 1995. - 530с.

20. Райх, В.В. Информационное оружие новое средство обеспечения национальных интересов/В.В.Райх, В.А.Тихонов, В.В.Прудник, А.М.П *д-кауро; под ред.проф. В.М.Тютюнника;. - Тамбов: Изд-во МИНЦ, 2001. -88с.

21. Сухов, А.Н. О теоретических аспектах национальной безопасности / A.I I. Сухов // Безопасность. 1996. - № 7-12. - С.312-35.

22. Юсупов, P.M. Информационная безопасность основа национальной безопасности / Р.М.Юсупов // Сборник материалов международной конференции «Безопасность информации». - М.: Автоном. некоммер. организация Рос. инженерной акад., 1997.-С.110-115.

23. Закон РФ «Об участии в международном информационном обмене» Электронный ресурс. Электрон, дан. - Режим доступа: http://www.elrussia.ru/166762. - Загл. с экрана.

24. Конституция Российской Федерации. М., 1993. - 93с.

25. Копылов, В.А. Информационное право: учебник / В.А.Копылон. М.: Юристъ, 2003.-512с.

26. Галатенко, В.А. Информационная безопасность обзор основных положений / В.А.Галатенко // Информационный бюллетень Jet INFO. - 1996. -№1,2,3.

27. Смирнов, Е.Е. Вопросы информационной безопасности / Е.Е.Смирнов,

28. A.П.Павлов // Информ. ресурсы России. 2001. - №5. - С.29-31.

29. Соколовский, И.В. Современные проблемы защиты информации при работе с Интернет как средой передачи данных / И.В.Соколовский // НТИ. Сер.1. Организация и методика информационной работы 2004.-№2.

30. Стрельцов, А.А. Содержание понятия «обеспечение информационной безопасности» / А.А.Стрельцов // Информац. о-во. *

31. Белов, П.Г. Теоретические основы системной инженерии безопасности / П.Г. Белов М.: ГНТП «Безопасность»; МИБ СТС, 1996.-424 с.

32. Гайкович, В. Безопасность электронных банковских систем /

33. B.Гайкович, А.Першин. М.: Компания «Единая Европа», 1994. - 331 с.

34. Мельников, В. Защита информации в компьютерных системах / В.Мельников. М.: Финансы и статистика, 1997. - 364 с.

35. Петров, А.В. Информационные технологии в принятии управленческих решений органами государственной власти / А.В.Петров // Информатизация и связь. — 1998. № 1.

36. Крысин, А.В. Безопасность предпринимательской деятельности / А.В. Крысин. М.: Финансы и кредит, 1996 - 256 с.

37. Безопасность России: правовые, соц.-экон. и науч.-техн. аспекты: ин•лформационная безопасность. М.: МГФ «Знание», ГЭИТИ, 2005. -510с.

38. Колотилов, Ю.В. Обеспечение безопасности ресурсов информационно-поисковых систем нормативно-технических документов строительного производства / Ю.В.Колотилов, Б.Т.Кабулов, В.ГЛим и др. // Информ. ресурсы России. 2005. - №4. - С.29-31.

39. Конеев, И.Р. Информационная безопасность предприятия / И.Р.Коне!,в, А.В.Беляев. СПб.: БХВ-Петербург, 2003. - 752 с.

40. Будущее информационной безопасности: интегрированная система охраны периметра // Конфидент. 2001. - №3. - с.86-90.

41. Серебрянников, В.В. Социальная безопасность, как исследовательская проблема / В.В.Серебрянников, Р.Г.Яновский // Вестник РАН. 1996. -Т.66, № 4.

42. Груздь, С. События. Факты. Комментарии в мире систем информационной безопасности/ С. Груздь // Системы безопасности связи и телекоммуникаций. -2000. №36. - С. 20-21.

43. Хади, Р.А. Разработка архитектуры программной системы конфиденциального доступа к информационным ресурсам электронно-вычислительных сетей: дис.канд. техн. наук / Р.А.Хади. -М. -2003. 140 с.

44. Юсупов, P.M. Безопасность компьютерной инфосферы систем критических приложений / Р.МЛОсупов, Б.Н.Пальчук // Вооружение. Политики. Конверсия.-М.- 1993,-№2.

45. Яшин, Ю.А. Защита информации приоритетная задача обеспечения национальной безопасности России / Ю.А.Яшин // Системы безопасности связи и телекоммуникаций. - М.: Гротек. - 1996. - № 6.

46. Моисеев, P.II. Некоторые особенности конфиденциального делопроизводства / Р.Н.Моисеев // Секрет, дело. 2005. - № 10. - С.31 -34.

47. Федеральный закон «Об информации, информатизации и защите информации» // Собрание законодательства Российской Федерации. 1995. -№8. -С.1213-1225.

48. Смирнов, Е.Е. Информационно-коммерческая безопасность предприятия / Е.Е. Смирнов, А.П. Павлов // Информ. ресурсы России. 2001. -№7. - С.22-26.г

49. Лобанов, С.Г. Информационная безопасность как диалектика закрытости и открытости / С.Г. Лобанов // Информ. ресурсы России. 2002. -№7. - С.25-28.

50. Мельников, П.П. Защита информации в автоматизированных системах финансовых и коммерческих организаций / П.П. Мельников. М.: ФА, 1998.-76 с.ь

51. Федеральный закон «О коммерческой тайне» Электронный ресурс. -Электрон, дан. Режим доступа: http://www.rg.ru/2004/08/05/taina-doc.html. - Загл. с экрана.

52. Закон «О государственной гайне» Электронный ресурс. Электрон, дан. - Режим доступа: http://www.fsb.ru/under/secret.html. - Загл. с экрана.

53. Арсентьев, М.В. Система информационной безопасности фирм США / М.В.Арсентьев // Информ. ресурсы России. 2004. - №2. - С.30-31. г

54. Говорухин, О.Э. Практика защиты конфиденциальной информации -торговых секретов компаний США / О.Э.Говорухин, А.С.Демушкин // Секрет, дело. 2005.- №8. - С. 25-34.

55. Арсентьев, М.В. Состояние информационной безопасности России / М.В.Арсентьев, В.И.Байков // Информ. ресурсы России. 2003. - №2. -С. 19-21.

56. ГОСТ Р 6.30-2003. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов. Введ.2003-03-03. - М: ИПК Изд-во стандартов, 2003. - 18 с.

57. Ищейнов, В.Я. Некоторые правовые аспекты коммерческой тайны / В.Я. Ищейнов // Секрет, дело. 2005. - № 1. - С.55-57.

58. Указ Президента РФ от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера». Электронный ресурс. -Электрон, дан. - Режим доступа: http.7/www. radioscanner.ru /law/zak027.html. - Загл. с экрана.

59. Шиверский, А.А. Защита информации: проблемы теории и практики / А.А.Шиверский. М.: Юрисг, 1996. - 112 с.

60. Зегжда, П.Д. Теория и практика обеспечения информационной безопасности / П.Д.Зегжда. М.: Яхтсмен, 1996. - 192 с.

61. Герасименко, В.А. Защита информации в автоматизированных cncie-мах обработки данных: в 2 кн.: Кн. 1 / В.А.Герасименко. М.: Энерго-атомиздат, 1994. - 400 с.

62. Герасименко, В.А. Защита информации в автоматизированных системах обработки данных: в 2 кн.: Кн. 2 /В.А. Герасименко. М.: Энерго-атомиздат, 1994. - 176 с.

63. Герасименко, В.А. Основы защиты информации: учеб. для высш. учгб. заведений / В.А.Герасименко, А.А.Малюк. М.: МИФИ, 1997. - 538с.

64. Столяров, Ю.Н. Материальный носитель информации как составная часть документа / Ю.Н.Столяров // Делопроизводство. 2003. - №3. -С.33-35.

65. Катыс, П.Г. Новые технолог ии в системах защиты конфиденциальной информации / П.Г.Катыс, Г.П.Катыс // Информ. технологии. 2002. -№1. -С.30-35.

66. Руководящий документ Гостехкомиссии России «Защита информации. Специальные защитные знаки. Классификация и общие требования». -М.: ГТК РФ, 1997.-7 с.

67. Источники и каналы утечки информации в телекоммуникационных системах: учеб. пособие для системы высш. проф. образования МВДА

68. России / В.Г.Кулаков, А.Б.Андреев, А.В.Заряев и др. Воронеж: Воронеж. ин-т МВД России, 2003. - 305 с.

69. Каторин, Ю.Ю. Большая энциклопедия промышленного шпионажа / Ю.Ю.Каторин. СПб.: Полш он, 2000.

70. Карушин, П.П. Компьютерные преступления и информационная безопасность / П.П.Карушин, В.А.Минаев. М.: 11овый юрист, 1998. - 256 с.

71. Масловский, В.М. Метод гарантированной защиты информации ?от утечки по каналам ПЭМИН: дис.канд. техн. наук / В.М.Масловский. -СПб., 2003 134 с.

72. Соколов, А.В. Шпионские штучки. Новое и лучшее / А.В.Соколов. -СПб.: Полигон, 2000. 256 с.

73. Соколов, А.В. Защита от компьютерного терроризма: справ, пособие /

74. A.В.Соколов, О.Степанюк. СПб.: БХВ-Петербург: Арлит. 2002' -С.496.

75. Хореев, А.А. Классификация технических каналов утечки акустической (речевой) информации / А.А.Хореев // Защита информации. Инсайд. 2005. - №2 (март-апр.).

76. Ярочкин, В.И. Технические каналы утечки информации / В.И.Ярочкин.-М.: ИПКИР., 1994.-102 с.7 «

77. Щербаков, В.Б. Повышение эффективности противодействия утечке информации в деятельности спецслужб: дис.канд. техн. наук /

78. B.Б.Щербаков. Воронеж. - 2003. - 140 с.

79. Третьякова, I I.C. Разработка системы управления экономической безопасностью предприятия.: дис.канд. экон. наук / Н.С.Третьякова. -СПб., 2003 196 с.

80. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. М.: ГТК РФ, 1997. -18 с.

81. Средства вычислительной техники защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. М.: ГТК РФ, 1992. - 24 с.

82. Терещенко, М.П. Контроль информационных потоков предприятия: системный подход / М.П.Терещенко // Технологии и средства связи. -2004. №5.

83. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. IvI.: ГТК РФ, 1992.-12 с.

84. Дуров, В.П. Методическое обеспечение принятия оперативных управленческих решений по защите информации на объектах информатизации.: дис.канд. техн. наук / В.П.Дуров. Воронеж, 2003, 170 с.

85. Куканова, Н. Описание классификации yipo3 DSECCT Электронный ресурс. / П.Куканова Электрон, дан - Режим jiocTvnahttp://www.dsec.ru /products/grif/. - Загл с экрана.

86. Аскеров, Т.М. Защита информации и информационная безопасность: учеб. пособие / под общ. ред. К.И. Курбакова. М.: Рос. экон. акад., 2001 -387 с.

87. Минаев, В.А. Анализ угроз безопасности информации в информационно-телекоммуникационных системах Электронный ресурс. / В.А.Минаев, И.В.Потанин, С.В.Скрыль- Электрон, дан- Режим доступа http://www.sec.ru. Загл с экрана.

88. Мецатуян, М.В. Некоторые аспекты информационной безопасности / М.В.Мецатуян, В.Я.Ищейнов // Делопроизводство 2004 - №1.- С.57-59.

89. Пирумов, B.C. Информационная безопасность и геополитика // В.С.Пи-румов // Вестник Рос. Лкад. естеств. наук. 2003. - №3. - С.3-6.

90. Анин, Б.Ю. Защита компьютерной информации / Б.Ю.Анин. СПб.: БХВ-Санкт-Петербург, 2000.-384 с.

91. Ларсен Кландер Hacker Proof: Полное руководство по безопасности компьютера / Ларсен Кландер. Минск.: Белорус. Дом печати», 2002. -688 с.

92. Грушо, А.А. Теоретические основы защиты информации / А.А.Грушо, Е.Е.Тимонина. М.: Яхтсмен, 1996 - 192 с.

93. Петренко, С.А. Методика реорганизации корпоративной системы информационной безопасности / С.А.Петренко // Информ. о-во. 2002. -№ 1. - С. 29-33.

94. Методика разработки системы оценки угроз и управления рисками. Угрозы. Риски. Уязвимость. Что это такое? // Транспортная безопасность и технологии. 2006. - № 1.

95. Симонов, С.В. Анализ рисков, управление рисками / С.В. Симонов // Jetlnfo. 1999. -№ 1.-С. 1-28.

96. Симонов, С.В. Анализ рисков в информационных системах. Практические аспекты / С.В.Симонов // Защита информации. Конфидент. 2001. - №2.(март-апр.) - С.48-53.

97. Guide to BS 7799 risk assessment and risk management. DISC PD 3002, 1998.

98. Code of practice for Information security management. British Standard BS7799, 1995.

99. Черешкин, Д.С. Принципы таксономии угроз безопасности информационных систем / Д.С.Черешкин, А.А.Кононов, Д.В.Тищенко // Вестник РФФИ. 1999. - №3. - С. 68-72.

100. ISO/1EC 2WD 15443-1 «Информационная технология Методы и средства обеспечения безопасности - Структура гарантии безопасности ИТ-Часть 1: Обзор и структура», ISO/IEC JTC 1/SC27 №2739, 02.2001.

101. ISO/IEC 2WD 15443-2 «Информационная технология Методы и средства обеспечения безопасности - Структура гарантии безопасности ИТ-Часть 2: Методы гарантий», ISO/IEC JTC 1/SC27 №2740, 02.2001.

102. ISO/IEC 2WD 15443-3 «Информационная технология Методы и средства обеспечения безопасности - Структура гарантии безопасности ИТ-Часть 3: Анализ методов гарантий», ISO/IEC JTC 1/SC27 №2741, 02.2001г.

103. ISO/IEC TR 13335-1,2,3,4,5 «Информационная технология Методы и средства обеспечения безопасности - Руководство для управления безопасностью ИТ».

104. ISO/IEC 15408-3:1999 «Информационная технология Методы и средства обеспечения безопасности - Критерии оценки безопасности ИТ -Часть 3Гарантийные требования безопасности».

105. ISO/IEC PDTR 15446 «Информационная технология Методы и средства обеспечения безопасности - Руководство по разработке профилей защиты и заданий по безопасности», ISO/IEC JTC I/SC27 №2603dra, 04.2001.

106. ISO 9001:1994 «Системы качества Модель для гарантии качества в проектировании, разработке, изготовлении, установки и обслуживании».

107. ISO 9000-3:1997 «Управление качеством и гарантии качества. Технический отчет Часть 3: Руководство по применению ISO 9001 для разработки, поставки и поддержке программного обеспечения».

108. X/Open Baseline Security Services Specification (XBSS). C529, X/Open company, 1996 Электронный ресурс. Электрон, дан. - Режим доступа: http://www.opengroup.org/public/tech/security/bsec96/download.htm.f1. Загл.с экрана.

109. Information Technology Security (ITS) Minimum Baseline Protective Requirements. Электронный ресурс. Электрон, дан. - Режим доступа: http://esdis.dsfo.nasa.gov/SECURITY/REQ/BASEREQ/basereqlist.html. -Загл. с экрана.

110. Bundesamt fur Sicherheit in der Informationstechnik. IT Baseline Protectionp

111. Manual, 1998, Электронный ресурс. Электрон, дан. - Режим доступа: http://www.bsi.bund.de/gshb/english/etc/econten.htm. - Загл. с экрана.

112. Guide to BS7799 auditing. DISC PD 3004,1998

113. Are you ready for a BS7799 audit? DISC PD 3003, 1998.

114. Information security management. Part 2. Specification for information security management systems. British Standard BS7799, Part 2, 1998.

115. Костров, Д. Анализ рисков и управление ими Электронный pecypcj / Д.Костров // Byte-Россия. 2003. - №10. - Электрон, дан. - Режим доступа: http://www.bytemag.ru/. - Загл с экрана.

116. Automated Information Systems Security Policy Manual, NTIS, CIS HB 1400-14 Электронный pec>pc. Электрон, дан. - Режим доступа: http://fedworld.gov. - Загл с экрана.

117. Астахов, А. Аудит безопасности информационных систем Электронный ресурс. / А.Астахов // CISA 2002. - Электрон, дан. - Режим доступа: http://www.isaca.ru/security /Pubs/pub 1 A AM SecEval.htm. - Загл. с экрана.

118. Голов, А. Практические советы по анализу рисков в корпоративной сети. Электронный ресурс. / А.Голов // ConnectlMnp связи. 2006.- -Электрон, дан. - Режим доступа: http://connect.ru/article.asp?id=6537. -Загл. с экрана.

119. Методы и средства анализа рисков и управление ими в ИС Электронный ресурс. // Byte. 2005. - №.12. - Электрон, дан. - Режим доступа: http://www.bvtemag.ru/?ID=221504&RID=23847. - Загл. с экрана.

120. Кофман, А. Введение в теорию нечетких множеств в управление предприятиями / А.Кофман, Х.Хил Алуха. Минск.: Вышейш. шк., 1992.

121. Рыжов, А.П. Элементы теории нечетких множеств и измерения нечеткости / А.П.Рыжов. М.: Диалог-МГУ, 1998.

122. Блюмин, С.Л. Введение в математические методы принятия решений / С.Л.Блюмин, И.А.Шуйкова. Липецк.: Липецкий гос. пед. ин-т, 1999. -100 с.

123. Розен, В.В. Цель оптимальность - решение (математические модели принятия оптимальных решений) / В.В.Розен. - М.: Радио и связь, 1982 -168 с.

124. Саати, Т. Принятие решений. Метод анализа иерархий / Т.Саати. М.: Радио и связь, 1993. - 320 с.

125. ГОСТ Р ИСО/МЭК 15408-1. 2002. Информационная техноло1ия. Методы и средства обеспечения безопасности. Критерии оценки безогшсности информационных технологий. 4.1. Введение и общая модель. -М.: ИПК Изд-во стандартов, 2002. 56 с.

126. ГОСТ Р ИСО/МЭК 15408-2-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. 4.2. Функциональные требования безопасности. М.: ИПК Изд-во стандартов, 2002. - 282 с.

127. ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Ч.З. Требования доверия к безопасности. М.: ИПК Изд-во стандартов, 2002. - 26 с.

128. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий М., 2002.

129. Козырев, А.Н. Оценка интеллектуальной собственности и НМА /АН. Козырев, В.А.Макаров. М.: Интерреклама, 2003. - 350с.

130. Risk Management Guid for Information Technology Systems NIST, Special Publication 800-30.

131. ГОСТ 24.201-79 Требования к содержанию документа «Техническое задание». Изд. офиц. - Введ. 1980-01-01. - Электронный ресурс. -Электрон, дан. - Режим доступа: http://www.nist.ru/hr/doc/gost/24-201 -79.htm. - Загл.с экр.

132. ГОСТ 24.202-80 Требования к содержанию документа Технико-экономическое обоснование создания АСУ. Изд. офиц. - Введ. 198101-01. - Электронный ресурс. - Электрон, дан. - Режим доступа: http://www.nist.ru/hr/doc/gost/24-202-80.htm. - Загл. с экр.

133. ГОСТ Р 50922-96 Защита информации. Основные термины и определения. Изд. офиц. - Введ. 1997-01-01. - Электронный ресурс. - Электрон. дан. - Режим доступа: http://www.nist.ru/hr/doc/gost/50922-96.htm. -Загл. с экр.

134. ГОСТ 24.204-80 Требования к содержанию документа «Описание постановки задачи. Изд. офиц. - Введ. 1981-01-01. - Электронный ресурс. - Электрон. дан. - Режим доступа: http://www.nist.ru/hr/doc/gost/24-204-80.htm. - Загл. с экр.

135. ГОСТ 34.201-89 Виды, комплектность и обозначение документов ьри создании автоматизированных систем. Изд.офиц. - Введ. 1990-01-01. -Электронный ресурс. - Электрон, дан. - Режим доступа: http://www.nist.ru/hr/doc/gost/34-201-89.htm. - Загл. с экр.

136. ГОСТ 34.601-90 Автоматизированные системы. Стадии создания. -Изд.офиц. Введ. 1991-01-01. - Электронный ресурс. - Электрон, дан. - Режим доступа: http://www.nist.ru/hr/doc/gost/34-601 -90.htm. - Загл - с экр.

137. Мацяшек Лешек, А. Анализ требований и проектирования систем. Разработка информационных систем с использованием UML.: пер. с англ. / А.Мацяшек Лешек. М.: Вильяме, 2002. - 432 с.

138. Буч, Г. UML. Классика CS. / Г.Буч, А.Якобсон, Дж.Рамбо. 2-е изд -СПб.: Питер, 2006.-736 с.