автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Формальные модели защищенности информационных технологий на основе общих критериев

На правах рукописи

СУХАНОВ Андрей Вячеславович

ФОРМАЛЬНЫЕ МОДЕЛИ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ НА ОСНОВЕ ОБЩИХ КРИТЕРИЕВ

Специальность 05.13.19. «Методы и системы защиты информации, информационная

безопасность»

Автореферат

диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург 2006

УДК 621.319/6.42

Работа выполнена на кафедре «Безопасные информационные технологии» Санкт-Петербургского государственного университета информационных технологий, механики и оптики

Научный руководитель: доктор технических наук, профессор

Осовецкий Леонид Георгиевич

Официальные оппоненты: доктор технических наук, профессор

Фетисов Владимир Андреевич

Ведущая организация: Управление Федеральной службы по техническому

и экспертному контролю (ФСТЭК) по Северо -Западному Федеральному округу

Защита состоится 23 мая 2006г. в 15 часов 50 мин на заседании диссертационного совета Д.212.227.05 при Санкт-Петербургском государственном университете информационных технологий, механики и оптики (СПбГУ ИТМО) по адресу: 197101, Санкт-Петербург, Кронверкский пр., д. 49.

С диссертацией можно ознакомиться в библиотеке университета.

Автореферат разослан « ¿¿0» апреля 2006 г.

Ученый секретарь диссертационного совета Д.212.227.05 кандидат технических наук,

кандидат технических наук, доцент Нестерук Геннадий Филиппович

доцент

Поляков В.И.

о. сое А

Общая характеристика работы

Актуальность темы

Стандарт ГОСТ Р ИСО/МЭК 15408 "Информационная технология Методы и средства обеспечения безопасности Критерии оценки безопасности информационных технологий" (краткое название - "Общие критерии", сокращенно - ОК) начал действовать в России с 1 января 2004 г

В силу особенностей построения ОК представляют собой базовый стандарт, содержащий методологию задания требований и оценки безопасности ИТ, а также систематизированный каталог требований безопасности (функциональных и доверия), что позволяет формировать на основе указанного каталога наборы требований (профили защиты, задания по безопасности и пакеты) для различных типов продуктов и систем информационных технологий (ИТ). Несмотря на то, что ОК направлены на оценку продуктов и систем ИТ и в документе содержится методология оценки, они включают не только методологию формирования требований для оценки, но и методологию формирования требований к разработчику по организации процесса разработки, по предоставлению материалов, необходимых для проведения оценки, а также возлагают другие обязанности разработчика в процессе проведения оценки.

Таким образом, применение методологии ОК способствует существенному повышению качества как оценки, так и разработки продуктов и систем ИТ, о чем свидетельствует как шестилетний опыт их использования в мире, так и небольшой опыт, полученный при апробации "Общих критериев" в России.

Внедрение ОК в России спланировано поэтапно Однако, поскольку внедрение нового ГОСТ является частью правительственной программы по вступлению России в ВТО (что предполагает, в частности, унификацию некоторых стандартов в области информационной безопасности), в недалеком будущем становится неизбежной масштабная деятельность по оцениванию и сертификации продуктов ИТ по стандарту ОК По этой причине уже сейчас существует необходимость подготовки значительного числа специалистов по ОК как для центров оценки и сертификации, так и для фирм-разработчиков, фирм-поставщиков и организаций-пользователей

Собственно методология ОК в стандарте не имеет явного описания, ее элементы рассредоточены по тексту, который, вместе с сопутствую1цей^но]2мативно^меХ1Ш1неской

РОС. НАЦИОНАЛЬНАЯ БИБЛИОТЕКА С.-Петербург ^

ОЭ 200

документацией, составляет около днух тысяч страниц При этом значит с тьная часть русскоязычной методической документации находи|ся в стадии разработки или причислена к know-how и потому является недоступной

Объемы работ по оценке и сертификации ИТ, выполняемые в настоящее время за рубежом и планируемые в России, с неизбежностью приводят к необходимости использования инструментальных программных средств поддержки деятельности по подготовке и проведению оценок Современные методы разработки подобных средств предполагают широкое применение формальных моделей предметной области по крайней мере, на стадиях специфицирования и высокоуровневого проектирования.

Решение перечисленных задач, как и многих других, связанных с внедрением ОК в России представляется трудновыполнимым без представления базовых концепций методологии ОК и их взаимосвязей в интегральной структурированной форме, то есть в виде формальных моделей Разработка системы таких моделей является совершенно необходимым условием, как для продвижения стандарта, так и для его эффективного применения.

Цели и задачи диссертации

Целью работы является поддержка продвижения, внедрения и эффективного применения "Общих Критериев" в России С этой целью в диссертационной работе решаются 5адачи построения системы формальных моделей методологии ОК, а также задачи разработки методов и средств их построения, реализации и применения в системе оценки и сертификации продуктов и систем ИТ Объект исследования

Объектом исследования в данной работе является единая методология задания требований и оценки безопасности ИТ как совокупность понятий, методов, средств, функций и процессов обеспечения и оценки безопасности продуктов и систем ИТ, изложенных в Общих Критериях и в сопровождающих их нормативно-методических документах системы оценки и сертификации.

Предметом исследования в работе являются структурные, функциональные и математические модели защищенности информационных технологий, описывающие как базовые концепции методологии ОК и их взаимосвязи, так и процессы деятельности разработчиков, оценщиков и владельцев ИТ, связанные с оценкой безопасности по ОК

Методы исследования

При решении поставленных задач использовались методы искусственного интеллекта, методы объектного функционального и информационного моделирования, математические методы оптимизации, математические методы микроэкономики.

Основные научные положения, выносимые на защиту

1. Система структурных моделей основных компонентов защищенности ИТ по методологии Общих Критериев, включающая:

• структурную модель угрозы;

■ структурную модель общего контекста безопасности;

■ интегральную структурную модель контекста угрозы.

2. Полная функциональная модель деятельности по оценке защищенности ИТ в соответствии с методологией ОК, детализированная до уровня элементов действий оценщика и разработчика.

3. Методика построения функциональной модели деятельности оценщика и разработчика по оценке защищенности ИТ, учитывающая специфику ОК как объекта моделирования и предметной области в целом.

Основные результаты работы

1. Построена система структурных моделей основных компонентов защищенности ИТ по методологии Общих Критериев, включающая:

■ структурную модель угрозы;

■ структурную модель общего контекста безопасности,

■ интегральную структурную модель контекста угрозы

2. Построена полная функциональная модель деятельности по оценке защищенности ИТ в соответствии с методологией ОК, детализированная до уровня элементов действий оценщика и разработчика.

3. Разработана методика построения функциональной модели деятельности оценщика и разработчика по оценке защищенности ИТ, учитывающая специфику ОК как объекта моделирования и предметной области в целом

4. Построена математическая модель, описывающая экономические аспекты выбора владельцем ИТ набора функций безопасности, который обеспечивает заданный >ровень защищенности по ОК.

5 Предложены методы применения системы структурных моделей основных

компонентов защищенности ИТ по методоло1 ии ОК для решения разнообразных практических задач, возникающих в системе оценки и сертификации ИТ

6 Разработан программно-инструментальный комплекс поддержки функциональной модели деятельности по оценке защищенности ИI

7. Разработана методика использования функциональной модели деятельноеги по оценке защищенности ИТ и программно-инструментального комплекса ее поддержки для решения практических задач подготовки, согласования и контроля конфигурации свидетельств оценки, а также для бизнес-планирования работ по оценке и согласования ОУД.

Научная новизна

Научная новизна результатов работы обусловлена следующими факторами.

1. Определение содержания понятия "методология Общих Критериев" и его трактовка в качестве объекта исследования.

2. Использование в применении к методологии ОК методов структурного, функционального и информационного моделирования.

3. Коррекция стандартов разработки структурных и функциональных моделей с учетом специфики методологии ОК как объекта моделирования.

Практическая ценность результатов

Построенные в работе формальные модели защищенности ИТ являются необходимой базой разработки функциональных и проектных спецификаций для программного обеспечения поддержки процесса оценки ИТ по ОК.

С помощью разработанной в диссертации методики и программно-инструментального комплекса поддержки функциональная модель деятельности по оценке защищенности ИТ может использоваться для решения широкого спектра практических задач, возникающих при подготовке и проведении оценки, примеры такого использования непосредственно приводятся в работе. В совокупности функциональная модель и программно-инструментальный комплекс представляют собой также учебно-справочную систему по ОК

Материалы диссертации могут быть использованы при разработке методических материалов для учебного процесса в вузах, осуществляющих подготовку специалистов по информационной безопасности, а также в системе повышения квалификации сотрудников испытательных лабораторий, центров сертификации, фирм-разработчиков и организаций-пользователей ИТ

Область применения результатов

Помимо приведенных выше областей практической деятельности, построенные в работе формальные модели защищенное!и ИТ могут использоваться при разработке семейств профилей !ащи1ы и заданий но безопасности Важную, как в теоретическом, так и в практическом отношении, область притожений полученных результатов составляет решение задач согласования международных, национальных и корпорашвных стандартов в области информационной безопасности, в частности - при интеграции государственных стандартов РФ в систему оценки и сертификации по OK

Апробация работы

Основные положения и результаты диссертационной работы докладывались и обсуждались на III межвузовской конференции молодых ученных (апрель 2006г., г. Санкт-Петербург), на XXXV научной и учебно-методической конференции СПбГУ ИТМО (январь-февраль 2006, г. Санкт-Петербург), на IV ежегодной всероссийской конференции "Обеспечение информационной безопасности. Региональные аспекты." (сентябрь 2005, г. Сочи) и на 9-ой научно-технической конференции Майоровские чтения "Теория и технология программирования и защиты информации. Применение вычислительной техники" (май 2005г, г Санкт-Петербург)

Внедрение результатов

Результаты работы реализованы в учебном процессе кафедры БИТ СПбГУ ИТМО по специальностям 075300, 075400, и отчетных материалах по НИР и ОКР. (ЗАО «Эврика», НОУДО «Учебный центр «Эврика», Санкт-Петербург)

Публикации по теме диссертации

Основные положения работы изложены в 5 сборниках научных трудов конференций.

Структура и объем диссертации

Диссертация состоит из введения, трех глав, заключения и списка литературы. Материал изложен на 133 страницах машинописного текста, содержит 25 рисунков и 10 таблиц, список литературы состоит из 51 наименования

Содержание работы

Во введении обоснована актуальность исследования по теме диссертации, сформулирована цель и научная задача работы, приведены основные результаты, выносимые на защиту, и краткое содержание диссертации по разделам.

В первой главе представлена постановка задачи моделирования методологии Общих Критериев.

В первом разделе первой главы проанализировано содержание, назначение и взаимосвязь основных документов, используемых при оценке информационных техно тогий по Общим Критериям, и рассмотрены варианты их использования в системе оценки и сертификации. Здесь же дано определение содержания понятия "методология ОК" и приведен его генезис В диссертационной работе под методологией Общих Критериев понимается совокупность понятий, методов, средств, функций и процессов задания требований, обеспечения и оценки безопасности продуктов и систем ИТ, объединенных рамками единого подхода, который основан на систематизированных каталогах требований безопасности и требований доверия и изложен в ОК, в "Общей методологии оценивания" (ОМО) и в других нормативно-методических документах, посвященных оцениванию изделий ИТ по ОК Далее в разделе обоснована возможность применения к методологии ОК методов научного анализа и в первую очередь - методов построения формальных моделей В конце раздела предложен состав и определено назначение системы формальных моделей методологии ОК, развиваемой далее в работе.

В соответствии с современными взглядами на формальное моделирование, полнота понимания и описания любой предметной области или системы может быть достигнута только путем построения множества ее разноплановых проекций Для методологии ОК в настоящей работе представлены три таких проекции - система структурных (объектных) моделей защищенности ИТ, функциональная модель деятельности по оценке защищенности ИТ и математическая модель экономических аспектов защищенности ИТ В системе структурных моделей представлены базовые концепции методологии ОК. Функциональные модели представляют основные действия оценщика и разработчика, предусматриваемые методологией ОК Математическая модель содержит описание процесса выбора владельцем ИТ экономически обоснованного набора функций безопасности в соответствии с системой показателей защищенности по ОК.

Во втором разделе дан краткий обзор актуальных практических задач, решаемых заинтересованными сторонами в системе оценки и сертификации, и обоснована необходимость формального моделирования методологии ОК для их успешного решения

В третьем разделе обоснована необходимость и актуальность построения структурных моделей методологии ОК в целом и ее компонентов и дан обзор существующих работ по этой тематике Здесь же поставлена задача построения структурных моделей защищенности ИТ как важнейшего аспекта методологии ОК, а также сформулированы основные проблемы

порожденные спецификой предметной области, которые возникают в процессе построения этих моделей Далее сформулирован набор требований к методике структурного моделирования, проведен сравнительный анализ методик и решена задача выбора основных компонентов методики - метода и языка В результате в качестве методики структурного моделирования выбирается ОМС иМЬ 1 4/20.

В четвертом разделе рассмотрен спектр практических задач, возникающих в деятельности заявителя, оценщика и разработчика ИТ, для решения которых могут и должны применяться функциональные модели методологии ОК, и обоснован выбор методики ЯАОТ и метода ПРО в качестве инструментов функционального моделирования. Далее очерчены основные проблемы, возникающие в процессе построения функциональных моделей и обусловленные спецификой предметной области. В конце раздела дан обзор отечественных и зарубежных источников, посвященных задачам функционального моделирования методологии ОК, и проведен их сравнительный анализ, на основе которого сформирована область моделирования и определены необходимые основные свойства результирующей функциональной модели.

В пятом разделе обоснована актуальность исследования экономических аспектов безопасности ИТ в рамках методологии ОК с использованием сформированных в ОК и в ОМО функциональных требований безопасности ИТ в качестве критериев (показателей) защищенности. Здесь же дана содержательная постановка задачи управления уровнем защищенности ИС с учетом предпочтений потребителя или владельца ИС в аспекте безопасности, рыночной стоимости реализации того или иного компонента защиты, а также бюджетных ограничений на стоимость защиты в целом. В конце раздела отмечена аналогия поставленной задачи с задачей потребительского выбора в микроэкономике

Во второй главе представлены формальные модели защищенности в методологии Общих Критериев, как решение поставленной в первой главе задачи

В первом разделе второй главы задача структурного моделирования защищенности ИТ раскрыта как задача построения системы структурных моделей основных компонентов методологии ОК, приведен возможный спектр моделей, входящих в систему, обоснован минимальный набор из трех моделей (структурная модель общего контекста безопасности, структурная модель угрозы, структурная модель контекста угрозы) и сформулирован порядок их построения, согласования, уточнения и пополнения Далее по приведенному в ОК описанию общего контекста безопасности (ОКБ) ИТ построена его структурная модель и

описаны методы ее уточнения и пополнения Результирующая диаграмма классов структурной модели ОКБ представлена на рис 1 (атрибуты классов скрыты)

Рис. 1. Диаграмма классов структурной модели ОКБ В построенной модели ОКБ структурные связи между классами представлены ассоциациями, которые являются слишком обобщенными и потому - малоинформативными отношениями (В стандарте иМЬ ассоциация - любое семантическое отношение между классами, определяющее связь между типизированными сущностями) Для построения реально применимой модели в работе предлагается провести детализацию классов путем выделения их составляющих и характеристик, что позволит также конкретизировать и отношения

Для этого необходимо, в первую очередь, уточнить (представить в виде агрегации составляющих класс Угроза, который является ключевым в методологии ОК В итоговой

модели этот класс (посредством своих составляющих) должен являться связующим между базовыми (Владелец Актив, А1ент угрозы) и производными (Уязвимость, Контрмера, Риск) классами) Например, риски определяются в результате анализа угроз и сопоставления их активам, а применяемые контрмеры выбираются по результатам анализа рисков и уязвимостей Для представления уточненных классов необходимо использовать отдельные дополнительные диаграммы Благодаря детализации классов отношения уточняются до уровня агрегаций (композиций) или, по крайней мере, зависимостей.

аИЪгс*

Рис.2. Структурная модель угрозы Далее в разделе проанализировано содержание понятия угрозы, предполагаемое методологией ОК, и по результатам анализа построена структурная модель угрозы (рис. 2).

В соответствии с этой моделью угроза есть совокупность (агрегат-композит) следующих компонентов:

• метка угрозы - уникальный идентификатор, однозначно соответствующий угрозе,

• спецификация актива - ссылка на угрожаемый актив;

• спецификация агента.

■ имя агента - ссылка на атрибут агента угрозы (роль в среде ИС в случае

нарушителя или характеристику в случае фактора угрозы), если атрибут агента угрозы пуст, именем агента является имя конкретизации агента угрозы

■ компетентность - техническая компетентность нарушителя (например - эксперт, профессионал, непрофессионал);

■ возможности - возможности агента; существенно зависят от конкретизации и ее атрибутов (роли в ИТ среде или характера),

■ ресурсы - ресурсы, доступные агенту для нарушения безопасности (например -инструментальные средства нарушителя),

■ мотивация - причина (мотивация - в случае нарушителя, причина - в случае фактора угрозы);

• спецификация нападения (предполагаемого нападения на угрожаемый актив)'

■ спецификация НБ - спецификация нарушения безопасности по отношению к угрожаемому активу в виде ссылки на конкретизацию класса Нарушение безопасности (т е. на базовый тип НБ, например - компрометация);

■ характеристика НБ (например - "необнаруженная компрометация активов ИТ, преднамеренная или нет");

■ спецификация метода - ссылка на метод нападения;

■ спецификация уязвимости - описание уязвимости или ссылка на уязвимость (результат анализа уязвимостей); опционально, если уязвимость - потенциальная;

• квалификация угрозы (опционально, формируется в результате оценки рисков):

■ оценка активизации - оценка возможности активизации угрозы (возможности перерастания угрозы в фактическое нападение - атаку);

■ оценка успеха - оценка возможности успеха атаки (возможности успешного проведения нападения - атаки),

■ оценка ущерба - оценка размера любого возможного ущерба угрожаемым активам.

В конце раздела проведен анализ контекста, в котором понятие угрозы используется в

методологии ОК, и построена его интегральная структурная модель. Верхний уровень этой модели представлен на рис.3 Тот факт, что один класс модели ссылается на другой, на диаграмме отображается отношением зависимости (использования). Для обозначения альтернатив в зависимостях используется стандартный стереотип {XOR} языка UML (тип стереотипа - constraint).

№гпе ! bfc.il с нЦсЧ 1лрк.а1 Мо^с) Уег«: мл ) <

Аи(Ьог Л 1с»ам1сг 1_л иЬтт V

У грожае мый_ мела

.силэггя на

^сы

( пеюфпанва.актмва

Агент угрозы Ищ/уаяпык

Спымфжяцп.агекп

ссыластсж >

ссыпете я на

Агвит_угроп Фаюор_угрюы

Хцшглфисги». СЬйг

№кс«нж .ункрба

Нарушит е_6еюнас*осты

Колтрометацыя Аитве.имфшешмлынпк

(ХОв) -----н

_

Колтрашта ц чя

ссшветс»_кл

V

Мгтол.нюдемт

К»аляф ташя_угрв1Ы

$——V

Окцаяспаюаи!

СПЩ|ф|ИИЦИ_уЯ»»ИИ01 !'■

ссышлса_ш

Рис. 3. Интегральная структурная модель контекста угрозы

Полная интегральная модель контекста угрозы с детализацией изображенных на рис. 3 компонентов содержит 32 класса и 45 связей, которые сведены в 5 диаграмм. Структурная модель угрозы, структурная модель общего контекста безопасности ИТ и интегральная структурная модель контекста угрозы в совокупности составляют систему структурных моделей основных компонентов защищенности ИТ по методологии ОК - первое положение, выносимое на защиту.

Во втором разделе построен контекст решения задачи функционального моделирования и сформулированы основные свойства модели цель и точка зрения моделирования, содержание (определение) модели и границы моделирования

Контекстная диаграмма функциональной модели приведена на рис 4, одна из диаграмм второго уровня детализации приведена на рис 5

Рис. 4. Контекстная диаграмма модели деятельности по оценке защищенности ИТ

Далее в разделе представлена полная функциональная модель деятельности по оценке защищенности ИТ в соответствии с методологией ОК - второе положение, выносимое на защиту. Приведено описание функциональной модели как иерархии ОРЕ) диаграмм, описывающих потоки данных между процессами, а также краткое описание методики ее построения. Более детально методика изложена во втором разделе третьей главы

NODE TITLE Проведение оценки [NUMBER

A2 I I ,-

Рис. 5. Диаграмма второго уровня детализации процесса проведения оценки

К моменту представления данной работы модель содержит 57 функциональных диаграмм, в которых представлена детализация деятельности по подготовке и завершению оценивания до процессов второго уровня и детализация деятельности по проведению оценивания до третьего уровня, а отдельных подпроцессов - до пятого-шестого уровня. Иерархия функциональности включает в себя 182 процесса На пятом-шестом уровне детализации процесс функциональной диаграммы соответствует элементу действий оценщика (пример приведен на рис.6), то есть - минимальной функциональной единице, предусмотренной методологией ОК.

В результате функционального анализа выделено более 400 ресурсов, большинство из которых являются отдельными документами стандарта ОК или разделами (подразделами) этих документов В ходе детализации процессов ресурсы также детализируются путем ветвления На пятом-шестом уровне детализации процессов ресурс соответствует элементу представления (содержания) свидетельств оценки, то есть - минимальной информационной единице, предусмотренной методологией ОК

Рис 6 Диаграмма детализации процесса проведения оценки до уровня элемента действий оценщика

В третьем разделе представлена математическая модель, описывающая поведение владельца ИС при изменении цен на услуги обеспечения безопасности, т е. цен на реализацию ФБО, и при изменении бюджета безопасности, находящегося в распоряжении владельца. Как отмечалось в главе 1, при использовании методологии ОК одной из ключевых задач является формирование набора функций безопасности объекта оценки (ФБО). Выбор конкретного набора ФБО, с учетом предусмотренных в ОК зависимостей, однозначно определяет степень защищенности ИТ по каждому из 66 показателей, принятых в методологии ОК (см раздел 5 главы 1) Таким образом, выбор набора ФБО в первом приближении равнозначен выбору набора степеней защищенности ИТ по всем показателям методологии ОК Предложенный в этом разделе подход позволяет описать выбор владельца ИС, основываясь на экономических мотивах Модель описывает поведение владельца ИС при изменении цен на услуги обеспечения безопасности, г е. цен на реализацию ФБО, и при изменении бюджета безопасности, находящегося в распоряжении владельца Исследуется также эффект замещения (замены) одного набора ФБО другим

Пусть имеется я ранжированных (измеряемых) показателей защищенности системы или продукта ИТ (далее - система) Степень защищенности системы по i - му показателю обозначим через х,. а набор степеней защищенности по всем показателям - вектором

, Хп ) Будем считать, что владелец защищаемой системы выбирает набор

степеней защищенности X, используя собственную систему предпочтений, которая описывается скалярной непрерывно дифференцируемой функцией полезности и(Х). Обозначим через р, затраты на достижение единицы защищенности по i - му показателю (элементарные затраты); набор элементарных затрат по всем показателям характеризуется

вектором Р = (рх, р2 ,--.р„ ) - В экономических моделях аналогом элементарных затрат

являются рыночные цены Возможности выбора для владельца ИС ограничены бюджетом защищенности, т е величиной допустимых совокупных расходов на обеспечение информационной защищенности ИС. которую обозначим через / Таким образом, выбор владельца может быть описан оптимизационной задачей

и(Х) max при РХ - I, (1)

п

где использовано обозначение

PX=y р, х,. i=i

Решение этой задачи - выбираемый владельцем оптимальный набор степеней защищенности (для краткости - оптимальная защищенность) - зависит от всех элементарных затрат (цен) Р и бюджета I. Эта зависимость выражается функцией защищенности D,{P,I)

D(P,I) = (Di(P,I),D2(P,I),...Dn(PJ)) = argmaxu(X) при РХ = I

Каждая из скалярных функций D,{P,I) - оптимальная защищенность ИС по I-му показателю, зависящая от бюджета и всех элементарных затрат (цен).

Условием экономического равновесия владельца ИС является пропорциональность частных производных функции полезности и, (т е предельных полезностей в терминах микроэкономики) элементарным затратам (ценам) для всех показателей защищенности'

ди

U, = — = Ар1 , I -1 ,...п (2)

дх,

В экономическом аспекте равенство (2) означает, что оптимальным распределением бюджета защищенности на достижение определенных степеней защищенности по

нескольким показателям является такое распределение, при котором реализация этих степеней защищенности по разным ценам приносит равную предельную полезность В результате владелец ИС находится в состоянии равновесия, то есть ничто не побуждает его к изменению распределения бюджета защищенности В математическом аспекте равенство (2) следует из необходимых условий экстремума в задаче (1), а Я есть множитель Лагранжа для этой задачи, порождаемый ограничением РХ = /

Основной вопрос, рассматриваемый в дальнейшем, связан с реакцией владельца ИС на изменение величины элементарных затрат по одному показателю (т е одной из цен) при постоянстве всех прочих элементарных затрат (цен) и бюджета.

По аналогии с микроэкономическими моделями, косвенной полезностью набора ФБО назовем полезность набора О.т е полезность решения задачи (1) Она отражает полезность сочетания бюджета и элементарных затрат (цен) для владельца и определяется функцией

косвенной полезности У(Р,1): У(Р,1) = ГПЯХ \и(Х) | РХ = 1} или

У{Р,1) = иф{Р,1)) (3)

В то время как функция полезности и(Х) непосредственно характеризует систему предпочтений владельца ИС, функция косвенной полезности У(Р,1) связана с его предпочтениями через оптимизирующий процесс выбора владельца

Если считать цены фиксированными, то косвенную полезность можно трактовать как максимальную полезность бюджета защищенности или как уровень удовлетворения владельца защищенностью ИС. При этом косвенная полезность измеряется в той же шкале, что и "прямая полезность" и(Х) набора степеней защищенности X. Функция косвенной полезности позволяет сопоставить между собой различные комбинации цен и бюджета (Р,1) и выяснить, какие из них более, а какие - менее благоприятны для владельца данной системы в плане защищенности ИС.

Влияние изменения бюджета и цен на уровень удовлетворения владельца можно определить, почленно дифференцируя равенство (3), почленно дифференцируя бюджетное

л

ограничение ^^— /, которое выполняется при любых / и Р, и учитывая равенство 1=1

(2) В результате для косвенной полезности получается уравнение

dV n dV

= -D. — , (4)

dPj 1 di

Под замещением, или заменой, подразумевается такое изменение степеней защищенности ИС но различным показателям (или, что то же самое, изменение набора ФБО). при котором общая полезность набора степеней защищенности не изменяется. Для формального описания замещения рассмотрим оптимизационную задачу, сопряженную по отношению к задаче (1) нахождение набора степеней защищенности, требующего наименьшего бюджета (имеющего наименьшую стоимость) и доставляющего владельцу заданный уровень полезности U:

РХ -» min при и(Х) = U (5)

Решение этой задачи - набор степеней защищенности, рассматриваемый в зависимости от набора цен Я и от заданного уровня полезности U - будем называть

функцией замещения Q(P,U). Q(P,U) = (0, (Р, U), Q2 (Р, U),...,Qn (Р, U)) .

Пусть теперь владелец, имеющий бюджет I, при ценах Р выбрал набор D(P, I) и получил полезность U=V(P, I). Ясно, что он не мог бы достичь той же полезности меньшими затратами, так что набор D(P, I) есть в то же время решение задачи замещения при данных ценах и уровне полезности. Поэтому имеет место тождество

D(P,I) = Q(P,V(P,I)). (6)

В результате почленного дифференцирования тождества (6) по Pj (цена достижения единицы защищенности по у'-му показателю защищенности) и по / и дальнейших преобразований, в работе получено уравнение выбора.

BD, dQ. ÖD. ^

—^ = ^--L-£> , (7)

dPJ dpJ dl J

которое описывает изменение выбора владельца при изменении цен Первое слагаемое в правой части интерпретируется как эффект замены, второе (вместе со знаком "минус") - как эффект бюджета

В третьей главе рассмотрены вопросы применения представленных во второй главе формальных моделей для решения задач возникающих в ходе оценки и сертификации ИТ

В первом разделе третьей главы описано применение построенной системы структурных моделей основных компонентов защищенности ИТ по методологии OK для

решения разнообразных практических задач, возникающих в системе оценки и сертификации ИТ, в частности

■ для проверки полноты и непротиворечивости представления угроз в профилях защиты и заданиях по безопасности;

■ для унификации представления компонентов ОКБ в различных документах системы сертификации по ОК

Во втором разделе рассмотрена специфика объекта моделирования и предметной области в целом и описаны обусловленные этой спецификой коррективы, которые необходимо внести в методологию 8А1)Т при построении функциональной модели деятельности по оценке защищенности ИТ. Поскольку коррективы являются весьма существенными, полученная в результате методика построения функциональной модели деятельности по оценке защищенности ИТ выносится на защиту как новый и оригинальный результат. В разделе представлены основные составляющие этой методики как в аспекте детализации процессов:

■ общие методы детализации процессов функциональной модели с учетом специфики объекта моделирования и принятые правила именования процессов для классов и семейств доверия;

■ метод моделирования действий на стороне разработчика;

■ применение таблиц разбиения семейств на компоненты и элементы для моделирования объектных иерархий наследования, отражающих усиление компонентов доверия;

■ правила именования и специфицирования процессов для компонентов и элементов доверия;

так и в аспекте детализации ресурсов-

■ обратное направление детализации ресурсов по принципу "снизу вверх" для учета объектной иерархичности ресурсов;

■ применение таблиц разбиения свидетельств оценки семейства по компонентам и элементам при детализации входных ресурсов для элементов компонентов доверия;

■ специфический и ориентированный на ОМО алгоритм детализации выходных и внутренних ресурсов.

В третьем разделе дано описание программно - инструментального комплекса

поддержки функциональной модели деятельности по оценке защищенности ИТ и продемонстрированы возможности его использования как для автоматизации широкого спектра действий по оцениванию, так и в качестве учебно-справочной системы

Функциональная модель деятельности по оценке защищенности ИТ реализована в виде совокупности таблиц реляционной БД, представленных во внутреннем формате средства процессного моделирования All Fusion Process Modeler, более известного как BPwin Наряду с этим средством, программно - инструментальный комплекс поддержки модели включает в себя Internet браузер и компоненты MS Office, которые служат для работы с представлениями модели в пользовательских форматах. Дополнительно могут использоваться и другие средства, входящие в линейку продуктов All Fusion, такие как Data Modeler и Component Modeler. Их включение в программно - инструментальный комплекс поддержки модели целесообразно в том случае, когда модель используется для разработки ПО поддержки оценки Кроме того, для работы с представлениями модели могут дополнительно использоваться MS Excel и MS Project Важно отметить, что комплекс позволяет автоматизировать весь процесс поддержки документации процесса оценки, в первую очередь, за счет того, что исходные документы - ОК и ОМО изначально представлены в структурированной электронной форме

Таким образом, в распоряжении пользователя (оценщика, разработчика, заявителя) имеется визуальное структурированное представление процессов и действий по оцениванию ИТ, предусмотренных методологией ОК, а также основных документов, используемых в процессе оценки (ПЗ, ЗБ, СП, ТОО), их разделов и подразделов С одной стороны, это представление обеспечивает максимальную компактность и наглядность, а с другой - имеет формализованную форму, гарантирующую достаточную точность и актуальность.

Во второй части раздела приведена методика использования функциональной модели и программно - инструментального комплекса ее поддержки для решения задач подготовки, согласования и контроля конфигурации свидетельств оценки, а также - для бизнес -планирования работ по оценке и согласования ОУД Подобного рода совместные действия заявителя и оценщика в методологии ОК не регламентированы, однако именно они во многом предопределяют конечный результат процесса оценки и сертификации Это в равной мере относится и к другим не регламентированным этапам процесса оценивания, например -к проектированию и согласованию технических результатов оценки

При проведении работ по оценке и сертификации продуктов и систем ИТ одной из

основных организационных задач является согласование между заявителем, оценшиком и разработчиком состава работ, трудозаграт, сроков и стоимостей, то есть - согласование бизнес плана. Эти параметры, в свою очередь, решающим образом зависят от согласованного ОУД. И хотя в конечном итоге принятие решения о выборе определенного ОУД остается за заявителем, в задачу оценщика входит разъяснение заявителю финансовых и организационных последствий этого решения, в частности - квалифицированное обоснование стоимости Из опыта зарубежных сертификаций известно, например, что оценивание продукта или системы корпоративного масштаба по ОУД4 (в настоящее время этот уровень считается оптимальным для корпоративных ИТ) длится не менее года и стоит не менее $500,000. Повышение ОУД ведет к резкому увеличению как сроков, так и стоимости оценки. Эти соображения иногда заставляют заявителя снижать запланированный (например - из соображений конкурентоспособности) ОУД, и делать это лучше до начала процесса оценки, в особенности, если заявитель не является разработчиком.

Исходным действием для составления бизнес плана является получение перечня работ по оценке для согласованного ОУД, их краткого содержания и планируемого результата каждой работы. Такой перечень может быть достаточно просто извлечен из функциональной модели стандартными средствами генерации отчетов, встроенными в ВР\уш. Сравнение двух перечней работ по оценке анализа уязвимостей (семейство АУА_УЬА) для ОУД2,3 и для ОУД4 можно провести по таблицам 1, 2.

Таблица 1. Перечень работ по оценке анализа уязвимостей для ОУД2, ОУДЗ.

Вид работ Ссылка на стандарт Трудозатраты (чел.-мес.) Стоимость (У- е.)

Анализ явных уязвимостей разработчиком АУАУЬА 1.*0

Подтверждение требований к свидетельствам АУАУЬА. 1 1Е 0 25 750

Тестирование проникновения по явным уязвимостям АУАУЬА 1 2Е 1 3000

Итого 1.25 3750

Таблица 2 Перечень работ по оценке анализа уязвимостей для ОУД4.

Вид работ Ссылка на стандарт Трудозатраты (чел.-мес.) Стоимость (У-е.)

Анализ уязвимостей разработчиком АУА_\ЪА.2.*0

Подтверждение требований к свидетельствам АУА_УЬА.2 1Е 0.25 750

Тестирование проникновения по идентифицированным уязвимостям АУА_УЬА.2.2Е 1 50 4500

Независимый анализ уязвимостей АУА_УЬА.2.3Е 1.50 5500

Независимое тестирование проникновения АУА_УЬА.2.4Е 2 6000

Оценка стойкости для низкого потенциала нападения АУА_УЬА.2.5Е 0.50 1500

Итого 5.75 18250

Совершенно аналогичным образом можно получить перечень работ по оценке для любого компонента, семейства и класса ОК, а также полный перечень работ для всего процесса оценивания. По результатам сравнения перечней работ разработчик и заявитель принимают мотивированное решение по выбору согласованного ОУД и совместно с оценщиком составляют бизнес-план процесса оценивания.

В заключении резюмированы основные результаты работы, а также возможности их развития и применения.

Список публикаций по теме диссертации

1 Осовецкий Л.Г, Суханов А В , Мануйлов Н А Общие Критерии: Реальность и мифы Научно - технические аспекты - 9-ая научно-техническая конференция МАЙОРОВСКИЕ ЧТЕНИЯ "Теория и технология программирования и защиты

¿OOGA

*1 0 1 2 0

информации Применение вычислительной техники". - 18 мая 2005, г. Санкт- Петербург -Сборник научных трудов, сс 3-5.

2. Николаев А Ю., Любимов A.B., Суханов А В. Автоматизация оценки объектов информатизации в соответствии с требованиями руководящих документов "Безопасность информационных технологий" Гостехкомиссии России. - IV ежегодная всероссийская конференция "Обеспечение информационной безопасности Региональные аспекты " — ] 3 -17 сентября 2005, г. Сочи. - Сборник научных трудов, сс. 27- 31.

3 Калашник Е.О., Осовецкий Л.Г., Суханов A.B. Комплекс логического контроля использования Общих Критериев. - Межвузовский конкурс-конференция студентов, аспирантов и молодых ученных Северо-Запада "Технологии Microsoft в теории и практике программирования". - 14 - 15 марта 2006, г. Санкт - Петербург . - Сборник научных трудов, сс.41 - 42 .

4. Любимов A.B., Суханов A.B. Модели угрозы в методологии Общих Критериев. -XXXV научная и учебно-методическая конференция СПбГУ ИТМО "Достижения ученых, аспирантов и студентов университета в науке и образовании". - 31 января - 3 февраля 2006, г. Санкт - Петербург. - Сборник научных трудов.

5. Калашник Е.О., Суханов A.B. Логический контроль использования Общих Критериев. - III Межвузовская конференция молодых ученных. - 10 - 13 апреля 2006, г. Санкт - Петербург - Сборник научных трудов.

Тиражирование и брошюровка выполнены в Центре "Университетские Телекоммуникации". Санкт-Петербур!, Кронверкский пр., 49 Тел. (812) 233-46-69. Лицензия ПДЛ №69-182 от 26.11.96 Тираж 100 экз.

ВВЕДЕНИЕ

• 1. ПОСТАНОВКА ЗАДАЧИ МОДЕЛИРОВАНИЯ

МЕТОДОЛОГИИ ОБЩИХ КРИТЕРИЕВ.

I I Методология Общих Критериев как объект 17 ^ моделирования.

1.2. Актуальность формального моделирования 18 методологии ОК.

1.3. Задача структурного моделирования методологии

1.4. Задача функционального моделирования 26 методологии ОК.

1.5. Задача математического моделирования 30 V* методологии ОК.

Актуальность темы

Стандарт ГОСТ Р ИСО/МЭК 15408 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий" (краткое название - "Общие критерии", сокращенно - ОК) начал действовать в России с 1 января 2004 г.

В силу особенностей построения ОК представляют собой базовый стандарт, содержащий методологию задания требований и оценки безопасности ИТ, а также систематизированный каталог требований безопасности. В качестве функциональных стандартов, в которых формулируются требования к безопасности определенных типов продуктов и систем ИТ, предусматривается использование профилей защиты, создаваемых по методологии ОК и на основе каталога требований. В ПЗ могут быть включены и любые другие требования, которые являются необходимыми для обеспечения безопасности конкретного типа продуктов или систем ИТ.

Изложенная в ОК методология формирования требований и универсальный каталог требований безопасности (функциональных и доверия) позволяют формировать на основе указанного каталога наборы требований (профили защиты, задания по безопасности и пакеты) для различных типов продуктов и систем информационных технологий (ИТ). Продукты и системы ИТ вместе с документацией определены в ОК как объекты оценки (00). Несмотря на то, что ОК направлены на оценку продуктов и систем ИТ и в документе содержится методология оценки, они включают не только методологию формирования требований для оценки, но и методологию формирования требований к разработчику по организации процесса разработки, по предоставлению материалов, необходимых для проведения оценки, а также возлагают другие обязанности разработчика в процессе проведения оценки [33].

Таким образом, применение методологии ОК способствует существенному повышению качества как оценки, так и разработки продуктов и систем ИТ, о чем свидетельствует как шестилетний опыт их использования в мире, так и небольшой опыт, полученный при апробации "Общих критериев" в России.

Внедрение OK в России спланировано поэтапно. До 2007 г. организации, в информационных системах которых циркулирует конфиденциальная информация, могут самостоятельно выбирать по каким стандартам (старым или новым) проводить аттестацию. Однако, поскольку внедрение нового ГОСТ является частью правительственной программы по вступлению России в ВТО (что предполагает, в частности, унификацию некоторых стандартов в области информационной безопасности), в недалеком будущем становится неизбежной масштабная деятельность по оцениванию и сертификации продуктов ИТ по стандарту ОК [12]. По этой причине уже сейчас существует необходимость подготовки значительного числа специалистов по ОК как для центров оценки и сертификации, так и для фирм-разработчиков, фирм-поставщиков и организаций-пользователей.

Собственно методология ОК в стандарте не имеет явного описания, ее элементы рассредоточены по тексту, который, вместе с сопутствующей нормативно-методической документацией, составляет около двух тысяч страниц. При этом значительная часть русскоязычной методической документации находится в стадии разработки [9] или причислена к know-how и потому является недоступной.

Объемы работ по оценке и сертификации ИТ, выполняемые в настоящее время за рубежом и планируемые в России, с неизбежностью приводят к необходимости использования инструментальных программных средств поддержки деятельности по подготовке и проведению оценок. Современные методы разработки подобных средств предполагают широкое применение формальных моделей предметной области, по крайней мере, на стадиях специфицирования и высокоуровневого проектирования.

Решение перечисленных задач, как и многих других, связанных с внедрением ОК в России представляется трудновыполнимым без представления базовых концепций методологии ОК и их взаимосвязей в интегральной структурированной форме, то есть в виде формальных моделей. Разработка системы таких моделей является совершенно необходимым условием, как для продвижения стандарта, так и для его эффективного применения.

Цели и задачи диссертации

Целью работы является поддержка продвижения, внедрения и эффективного применения "Общих Критериев" в России. С этой целью в диссертационной работе решаются задачи построения системы формальных моделей методологии ОК, а также задачи разработки методов и средств их построения, реализации и применения в системе оценки и сертификации продуктов и систем ИТ.

Объект исследования

Объектом исследования в данной работе является единая методология задания требований и оценки безопасности ИТ как совокупность понятий, методов, средств, функций и процессов обеспечения и оценки безопасности продуктов и систем ИТ, изложенных в Общих Критериях и в сопровождающих их нормативно-методических документах системы оценки и сертификации.

Предметом исследования в работе являются структурные, функциональные и математические модели защищенности информационных технологий, описывающие базовые концепции методологии ОК и их взаимосвязи, а также процессы деятельности разработчиков, оценщиков и владельцев ИТ, связанные с оценкой безопасности по ОК.

Методы исследования

При решении поставленных задач использовались методы искусственного интеллекта, методы объектного, функционального и информационного моделирования, математические методы оптимизации, математические методы микроэкономики.

Основные научные положения, выносимые на защиту

1. Система структурных моделей основных компонентов защищенности ИТ по методологии Общих Критериев, включающая: структурную модель угрозы; структурную модель общего контекста безопасности; интегральную структурную модель контекста угрозы.

2. Полная функциональная модель деятельности по оценке защищенности ИТ в соответствии с методологией ОК, детализированная до уровня элементов действий оценщика и разработчика.

3. Методика построения функциональной модели деятельности оценщика и разработчика по оценке защищенности ИТ, учитывающая специфику ОК как объекта моделирования и предметной области в целом.

Основные результаты работы

1. Построена система структурных моделей основных компонентов защищенности ИТ по методологии Общих Критериев, включающая: структурную модель угрозы; структурную модель общего контекста безопасности; интегральную структурную модель контекста угрозы.

2. Построена полная функциональная модель деятельности по оценке защищенности ИТ в соответствии с методологией ОК, детализированная до уровня элементов действий оценщика и разработчика.

3. Разработана методика построения функциональной модели деятельности оценщика и разработчика по оценке защищенности ИТ, учитывающая специфику ОК как объекта моделирования и предметной области в целом.

4. Построена математическая модель, описывающая экономические аспекты выбора владельцем ИТ набора функций безопасности, который обеспечивает заданный уровень защищенности по ОК.

5. Предложены методы применения системы структурных моделей основных компонентов защищенности ИТ по методологии ОК для решения разнообразных практических задач, возникающих в системе оценки и сертификации ИТ.

6. Разработан программно-инструментальный комплекс поддержки функциональной модели деятельности по оценке защищенности ИТ.

7. Разработана методика использования функциональной модели деятельности по оценке защищенности ИТ и программно-инструментального комплекса ее поддержки для решения практических задач подготовки, согласования и контроля конфигурации свидетельств оценки, а также для бизнес-планирования работ по оценке и согласования ОУД.

Научная новизна

Научная новизна результатов работы обусловлена следующими факторами.

1. Определение содержания понятия "методология Общих Критериев" и его трактовка в качестве объекта исследования.

2. Использование в применении к методологии ОК методов структурного, функционального и информационного моделирования.

3. Коррекция стандартов разработки структурных и функциональных моделей с учетом специфики методологии ОК как объекта моделирования.

Практическая ценность результатов

Построенные в работе формальные модели защищенности ИТ являются необходимой базой разработки функциональных и проектных спецификаций для программного обеспечения поддержки процесса оценки ИТ по ОК.

С помощью разработанной в диссертации методики и программно-инструментального комплекса поддержки функциональная модель деятельности по оценке защищенности ИТ может использоваться для решения широкого спектра практических задач, возникающих при подготовке и проведении оценки, примеры такого использования непосредственно приводятся в работе. В совокупности функциональная модель и программно-инструментальный комплекс представляют собой также учебно-справочную систему по ОК.

Материалы диссертации могут быть использованы при разработке методических материалов для учебного процесса в вузах, осуществляющих подготовку специалистов по информационной безопасности, а также в системе повышения квалификации сотрудников испытательных лабораторий, центров сертификации, фирм-разработчиков и организаций-пользователей.

Область применения результатов

Помимо приведенных выше областей практической деятельности, построенные в работе формальные модели защищенности ИТ могут использоваться при разработке семейств профилей защиты и заданий по безопасности конкретных ИТ. Важную, как в теоретическом, так и в практическом отношении, область приложений полученных результатов составляет решение задач согласования международных, национальных и корпоративных стандартов в области информационной безопасности, в частности - интеграция государственных стандартов РФ в систему оценки и сертификации по ОК.

Апробация работы

Основные положения и результаты диссертационной работы докладывались и обсуждались на III межвузовской конференции молодых ученных ( 10 - 13 апреля 2006г., г. Санкт-Петербург), на XXXV научной и учебно-методической конференции Санкт-Петербургского Государственного университета информационных технологий, механики и оптики (СПбГУ ИТМО), 31 января - 3 февраля 2006, г. С-Петербург, на IV ежегодной всероссийской конференции "Обеспечение информационной безопасности. Региональные аспекты." - 13 - 17 сентября 2005, г. Сочи и на 9-ой научно-технической конференции Майоровские чтения "Теория и технология программирования и защиты информации. Применение вычислительной техники" ( 18 мая 2005г., г. Санкт-Петербург).

Внедрение результатов

Результаты работы реализованы в учебном процессе кафедры БИТ СПбГУ ИТМО по специальностям 075300, 075400, и отчетных материалах по НИР и ОКР. (ЗАО «Эврика», Санкт-Петербург).

Структура и объем диссертации

Диссертация состоит из введения, трех глав, заключения и списка литературы. Материал изложен на 133 страницах машинописного текста, содержит 25 рисунков и 10 таблиц, список литературы состоит из 51 наименования.

Заключение

Проведенный в работе анализ корпуса нормативно-методических документов по Общим Критериям и опыта сертификации в работе позволил определить содержание понятия "методология ОК" и обосновать возможность применения к ней методов научного анализа, в первую очередь - методов построения формальных моделей. Применение этих методов, скорректированных с учетом специфики методологии ОК как объекта моделирования, позволило получить следующие основные результаты.

1. Построена система структурных моделей основных компонентов защищенности ИТ по методологии Общих Критериев, включающая: структурную модель угрозы; структурную модель общего контекста безопасности; интегральную структурную модель контекста угрозы.

2. Построена полная функциональная модель деятельности по оценке защищенности ИТ в соответствии с методологией ОК, детализированная до уровня элементов действий оценщика и разработчика.

3. Разработана методика построения функциональной модели деятельности оценщика и разработчика по оценке защищенности ИТ, учитывающая специфику ОК как объекта моделирования и предметной области в целом.

4. Построена математическая модель, описывающая экономические аспекты выбора владельцем ИТ набора функций безопасности, который обеспечивает заданный уровень защищенности по ОК.

5. Предложены методы применения системы структурных моделей основных компонентов защищенности ИТ по методологии ОК для решения разнообразных практических задач, возникающих в системе оценки и сертификации ИТ.

6. Разработан программно-инструментальный комплекс поддержки функциональной модели деятельности по оценке защищенности ИТ.

7. Разработана методика использования функциональной модели деятельности по оценке защищенности ИТ и программно-инструментального комплекса ее поддержки для решения практических задач подготовки, согласования и контроля конфигурации свидетельств оценки, а также для бизнес-планирования работ по оценке и согласования ОУД.

В работе показано, что перечисленные модели и методы являются важным инструментом реализации ее основной цели - поддержки продвижения, внедрения и эффективного применения "Общих Критериев" в России.

В частности, построенные в работе формальные модели могут служить необходимой базой разработки функциональных и проектных спецификаций для программного обеспечения поддержки процесса оценки ИТ по ОК. С помощью разработанной в диссертации методики и программно-инструментального комплекса поддержки функциональная модель может использоваться для решения широкого спектра практических задач, возникающих при подготовке и проведении оценки. В совокупности эта модель и комплекс представляют собой также универсальную учебно-справочную систему по ОК, которая может быть использована в вузах, а также в системе повышения квалификации сотрудников испытательных лабораторий, центров сертификации, фирм-разработчиков и организаций-пользователей.

Помимо этого построенные в работе формальные модели защищенности ИТ могут использоваться при разработке семейств профилей защиты и заданий по безопасности конкретных ИТ. Важную, как в теоретическом, так и в практическом отношении, область приложений полученных результатов составляет решение задач согласования международных, национальных и корпоративных стандартов в области информационной безопасности, в частности - интеграция государственных стандартов РФ в систему оценки и сертификации по ОК.

1. Анищенко B.B. Оценка информационной безопасности. - PC Magazine, №2, 2000.

2. Афанасьев В.Н. Общие критерии безопасности информационных систем. -Международная студенческая школа-семинар "Новые информационные технологии", г. Судак, 14-21 мая, 2003, Тезисы докладов XI в 2-х томах М.: МГИЭМ, 2003 - 641с.

3. Бетелин В.В., Галатенко В.А., Кобзарь М.Т., Сидак A.A., Трифаленков И.А. Профили защиты на основе «Общих критериев». Аналитический обзор. Jet Info, Информационный бюллетень, №3(118), 2003.

4. Буч Г., Рамбо Д., Джекобсон А. Язык UML. Руководство пользователя: Пер. с англ. — М., ДМК, 2000.

5. Виноградов А.Н., Осипов Г.С., Жилякова Л.Ю. Динамические интеллектуальные системы. 4.2. Моделирование целенаправленного поведения. Известия АН. Теория и системы управления. М: Наука, 2003, №1. стр.87-94

6. Основы информационной безопасности. Интернет-университет информационных технологий - ИНТУИТ.ру, 2003.

7. Гальперин В.М, Игнатьев С.М; Моргунов В.И. Микроэкономика: В 2-х т. -СПб.: Экономическая школа, 1994. Т. 1.

8. Домарев В. В. Словарь терминов по информационной безопасности. Киев,2002, http://www.domarev.kiev.ua/book-02/gloss.htm

9. Калайда И. А., Трубачев А.П. Современное состояние и направления совершенствования нормативной базы в области IT-безопасности. -Information Security/Информационная безопасность, №3, 2004.

10. А.Н. Калянов, A.B. Козлинский, В.Н. Лебедев. Сравнительный анализ структурных методологий.- Системы управления базами данных, #05-06, 1997.

11. Каменнова М., Громов А., Ферапонтов М., Шматалюк А. Моделирование бизнеса. Методология ARIS. -М.: Весть-МетаТехнология, 2001.

12. Кобзарь М., Сидак А. Стандартизация безопасности ИТ. Мир Связи. №3,2003.

13. Кобзарь М., Сидак А. Методология оценки безопасности информационных технологий по общим критериям. Jetinfo, № 6 (133), 2004.

14. Липаев В.В. Технологические процессы и стандарты обеспечения функциональной безопасности в жизненном цикле программных средств. -Jetinfo, № 3 (130), 2004.

15. Медведовский И. Д., Семьянов П. В., Платонов В. В. Атака через INTERNET. СПб., "Мир и семья-95", 1997 - 296с., илл.

16. ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. -Госстандарт России, Москва, 2002.

17. ГОСТ Р ИСО/МЭК 15408-2-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт России, Москва, 2002.

18. ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. -Госстандарт России, Москва, 2002.

19. РД Безопасность информационных технологий. Общая методология оценки безопасности информационных технологий (проект). ФСТЭК России, 2005.

20. Охрименко С. А., Черней Г. А. Угрозы безопасности автоматизированных информационных систем — Лаборатория информационной безопасности, 1996, http://www.security.ase.md/publ/ru/pubru05.html

21. Просяников Р.Е., Савельев М.С. Станут ли общими "Общие критерии". -BYTE, № 8,2004.

22. РД Руководство по разработке профилей защиты и заданий по безопасности. Гостехкомиссия России, 2003.

23. РД Безопасность информационных технологий. Межсетевые экраны корпоративного уровня. Профиль защиты (первая редакция). Центр безопасности информации, 2002.

24. РД Безопасность информационных технологий. Межсетевые экраны провайдерского уровня. Профиль защиты (первая редакция). Центр безопасности информации, 2002.

25. РД Безопасность информационных технологий. Операционные системы. Базовый профиль защиты (проект). Центр безопасности информации, 2002.

26. РД Безопасность информационных технологий. Система управления базой данных. Профиль защиты (первая редакция). Центр безопасности информации, 2002.

27. Рэдклифф Д. Одна мера безопасности на всех. Computerworld, №12,2000.

28. Судов Е. В., Левин А. И., Давыдов А. Н., Барабанов В. В. Концепция развития CALS-технологий в промышленности России. М.: НИЦ CALS-технологий "Прикладная логистика", 2002.

29. Хикс Дж. Р., Аллен Р.Г.Д. Пересмотр теории ценности. Теория потребительского поведения и спроса. СПб.: Экономическая школа, 1993, сс. 117-141.

30. Шеер Август-Вильгельм. Бизнес-процессы. Основные понятия. Теория. Методы. Весть Метатехнология, 1999.

31. Шеин А. В. Об использовании "Общих критериев". Инфофорум, 02.04.2004.

32. Common Criteria for Information Technology Security Evaluation. Version 2.2. Revision 256. Part 1: Introduction and general model. January 2004.

33. Common Criteria for Information Technology Security Evaluation. Version 2.2. Revision 256. Part 2: Security functional requirements. January 2004.

34. Common Criteria for Information Technology Security Evaluation. Version 2.2. Revision 256. Part 3: Security Assurance Requirements. January 2004.

35. Common Methodology for Information Technology Security Evaluation. Evaluation Methodology. January 2004. Version 2.2. Revision 256. CCIMB-2004-01-004.

36. Eriksson H. E., Penker M. Business Modeling with UML: Business Patterns at Work. OMG Press, 2000.

37. Federal Information Processing Standards Publication 183. Announcing the Standard for "Integration Definition for Function Modeling (IDEF0)". 1993 December 21.

38. РД IDEF0 2000. Методология функционального моделирования IDEFO. Руководящий документ. Издание официальное. Госстандарт России. Москва, 2000.

39. Federal Information Processing Standards Publication 184. Announcing the Standard for "Integration Definition for Information Modeling (IDEF1X)". 1993 December 21.

40. Information Integration for Concurrent Engineering (IICE). IDEF5 Method Report. Knowledge Based Systems, Inc., 1408 University Drive East College Station, Texas, USA. - September 21,1994.

41. Shirey R. Internet Security Glossary. Internet Engineering Task Force, 17 October 1999. http://www.ietf.org/internet-drafts/draft-shirev-securitv-glossarv-02.txt

42. ISO/IEC 17799:2005. Information technology Security techniques - Code of practice for information security management (2nd edition). - ISO/IEC, 2005.

43. J. Juijens. Towards development of secure systems using UMLsec. In H. Hubmann, editor, Fundamental Approaches to Software Engineering (FASE/ETAPS, International Conference), volume 2029 of LNCS, pp. 187-200. Springer-Verlag, 2001.

44. J. Jiiijens, UMLsec: Extending UML for Secure Systems Development, UML 2002, Dresden, Sept. 30 . Oct. 4, 2002, LNCS, © Springer-Verlag.

45. J. Juijens, E. B. Fernandez, R. B. France, and B. Rumpe editors. Critical systems development with UML (CSDUML 2004). TU München Technical Report, 2004. UML 2004 satellite workshop proceedings.

46. Prieto-Diaz, R. The Common Criteria Evaluation Process. Process Explanation, Shortcomings, and Research Opportunities. Commonwealth Information Security Center Technical Report CISC-TR-2002-03, December 2002 - CISC, James Madison University, USA.

47. Stojanovic L., Schneider J., Maedche A., Libischer S., Studer R., Lumpp Th., Abecker A., Breiter G., Dinger J. The role of ontologies in autonomic computing systems. IBM Systems Journal, vol 43, no 3, 2004.

48. Towns M. L. Common Criteria Paradigm (CC) Annual Computer Security Applications Conference, Sheraton New Orleans, Louisiana, USA, December 11 -15,2000.

49. Unified Modeling Language Specification. Version 1.4.2. Formal/04-07-02, OMG, July 2004.o