автореферат диссертации по документальной информации, 05.25.05, диссертация на тему:Информационная система обработки персональных данных регионального отделения пенсионного фонда с оценкой эффективности функционирования

ВВЕДЕНИЕ.

ГЛАВА 1 ПОНЯТИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ ОБРАБОТКА В ИНФОРМАЦИОННЫХ СИСТЕМАХ.

1.1 Классификация информационных ресурсов, содержащих персональные данные.

1.2 Обзор основных моделей безопасности.

1.3 Существующие технические решения в области обработки персональных данных.

Выводы по главе.

ГЛАВА 2. РАЗРАБОТКА ОБОБЩЁННОЙ МОДЕЛИ ОБРАБОТКИ ИНФОРМАЦИИ ПЕРСОНАЛЬНОГО ХАРАКТЕРА В СИСТЕМАХ УПРАВЛЕНИЯ БАЗАМИ ДАННЫХ.

2.1 Определение поля угроз и средств их реализации для информации, содержащей персональные данные.

2.2 Расширение классических моделей безопасности для обработки персональных данных.

2.3 Организационно-правовые основы обработки персональных данных.

Выводы по главе.

ГЛАВА 3. РАЗРАБОТКА И АНАЛИЗ ЭФФЕКТИВНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОТДЕЛЕНИЯ ПЕНСИОННОГО ФОНДА.

3.1 Требования к разрабатываемому программному обеспечению.

3.2 Классификация разработанной информационной системы в стандартах информационной безопасности.

3. 3 Описание программных модулей и результатов стендовых испытаний информационной системы.

3.4 Модель оценки ущерба персональным данным.

Выводы по главе.

Конец XX века перевёл понятие «информационное общество» со страниц монографий [1],[2] и учебников в повседневную реальность. Экономический потенциал общества и, следовательно, его благосостояние определяется уже не только и не столько богатством природных, материальных ресурсов и традиционной промышленной базой, сколько наличием развитой системы информационной индустрии. Вместе с тем наблюдается бурный рост хранилищ такого специфического вида информации, как персональные данные о гражданах. Информация накапливается как в структурированных источниках, таких как системы управления базами и банками данных, реестры, картотеки, так и в неструктурированных массивах гипертекстовых страниц Web-серверов сети Интернет, лог-файлах провайдеров и т.д.

Наряду с другими видами конфиденциальной информации, такими как государственная, коммерческая и служебная тайна персональные данные о гражданах становятся одним из объектов требующих специфических механизмов обработки.

В Доктрине информационной безопасности Российской Федерации [3] одной из существенных угроз национальным интересам страны в информационной сфере названа угроза «противодействуя], в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений».

Россия, как и другие страны «Большой восьмерки» в Окинавской Хартии Глобального информационного общества, одной из задач ставит «развитие эффективного и значимого механизма защиты личной жизни потребителя, а так же защиты личной жизни при обработке личных данных, обеспечивая при этом свободный поток информации» [4].

В тоже время, в современной научной литературе не существует законченных рекомендаций по созданию и функционированию эффективных моделей для систем обработки персональных данных в распределённых сетях и базах данных, отсутствуют чёткие правовые и готовые технические решения данной проблемы.

С другой стороны, в нашей стране в настоящее время идёт процесс активного внедрения информационных безбумажных технологий в деятельность организаций, традиционно располагающих значительными массивами чувствительных персональных данных. В качестве примеров можно привести систему здравоохранения, социального страхования, пенсионного обеспечения, налоговую службу. Например, в работе [5], ставиться и успешно решается задача проектирования информационно-управленческих систем для лечебно-профилактических учреждений Министерства здравоохранения РФ, где одним из элементов информационного наполнения баз данных являются персональные данные пациентов клиники.

Отсутствие понимания качественного отличия информационных ресурсов, содержащих персональные данные от других видов конфиденциальной информации, приводит к применению методов и систем обработки ориентированных в большей мере на обращение со сведениями содержащими государственную и коммерческую тайну.

В отличие от других видов информации персональные данные граждан тесно связаны с контекстом использования т.е. с обязанностью держателей массивов персональных данных обеспечить их обработку в соответствии с неким заранее заданным и согласованным с субъектом обработки конечным множеством задач. Данное ограничение определяет возникновение специфического поля угроз включающего в себя угрозы доступа и обработки не для заявленных целей, угрозы агрегирования персональных данных, угрозы доступа к ним по истечении сроков хранения и накопления персональных данных.

Соответственно, требуется разработка адекватных методов описания и реализации модели безопасности, ориентированной на защиту от такого рода угроз.

Поскольку держатели массивов персональных данных в качестве инструментальных средств хранения и обработки используют различные реализации реляционных баз данных, представляется крайне важным определить методы, учитывающие особенности обработки персональной информации именно в базах данных.

Пенсионный фонд Российской Федерации с переходом к системе персонифицированного учета становится одним из крупнейших государственных держателей массивов персональной информации. В региональных Отделениях фонда имеются структурные подразделения, ответственные за соблюдение режима защиты конфиденциальной информации, в том числе и данных о застрахованных лицах. Фонд активно использует в своей деятельности современные информационные технологии. В процессе формирования находится распределённая информационная система персонифицированного учёта, включающая данные на всех граждан страны когда либо занятых в трудовой деятельности. Данные факторы определили выбор регионального Отделения ПФР по Оренбургской области как площадки для практического внедрения результатов исследования.

Фундаментальной основой представляемого исследования послужили:

• В области анализа моделей обработки информации и проектирования баз данных - работы А. А. Грушо, Е.Е Тимониной, A. R. Simon, Т. Коннолли, и т.д.

• Принципы стандартизации правил обращения персональной информации в медицинских учреждениях, предложенные в работе R. Anderson.

• В области программно-технических средств защиты информации в сложных системах методологической основой послужили труды В.А.

Герасименко, А.А. Малюка, П.Д. Зегжды, В. В. Мельникова S. Fischer-Hubner.

• В использовании концепции открытых информационных систем труды Ю.В. Гуляева, А. Я. Олейникова и других учёных.

• В области теории экспертного оценивания работы А.Н. Орлова, Н.Н. Китаева, Ю. В. Сидельникова, Л.Г. Евланова, В.А. Кутузова и других учёных.

• В правовой сфере - работы российских ученых В.А. Копылова, А.А. Фатьянова, И.Л. Бачило, Д.С. Черешкина, а так же современное зарубежное законодательство и анализ формирования правового института «прайвеси» в работе В.П. Иванского.

Целью работы является построение и анализ эффективности автоматизированной информационной системы, реализующей заданную политику обработки персональной информации, и оценка возможного ущерба при реализации угроз персональным данным.

Объект исследования: процессы обработки персональных данных граждан в информационных системах.

Предмет исследования: модели, реализующие заданную политику обработки персональных данных в информационной системе. Методики оценки рисков при реализации угроз информационной системе. Организационно- правовые аспекты обращения персональных данных граждан. Были определены следующие задачи работы:

1. Анализ и классификация информационных ресурсов, содержащих персональные данные, программно-технических средств и методов обработки персональных данных в информационных системах.

2. Определение и систематизация поля угроз персональным данным.

3. Разработка модели, описывающей политику обработки персональных данных в информационной системе.

4. Разработка методики определения ущерба при реализации угроз персональным данным и оценка экономической эффективности внедрения предлагаемой системы.

5. Проектирование информационной системы с поддержкой политики обработки персональных данных и оценка показателей эффективности функционирования модуля поддержки политики обработки персональных данных.

Методы исследования. Для решения поставленных в работе задач использовались методы математической логики, теории множеств, теории формальных систем, теории конечных автоматов, теории экспертного оценивания, непараметрической статистики.

Научная новизна работы состоит в следующем:

1. Информационные процессы обработки персональных данных рассматривается в комплексе в качестве задача, включающая в себя правовые и технические аспекты.

2. Даётся классификация и рассматриваются существующие технические решения в области обработки персональных данных для держателей и субъектов данных.

3. Разработана классификация и систематизация угроз специфичных для персональных данных.

4. Предложена модель обработки персональных данных в информационной системе.

5. Даётся анализ эффективности политики обработки персональных данных и прогнозируется возможный ущерб при реализации угроз информационной системе.

Практическая значимость работы определяется возможностью использования предложенных методов для построения систем хранения и обработки персональных данных вне зависимости от ведомственной принадлежности и направленности. К конкретным достигнутым результатам относятся:

1. Разработка и применение предложенных рекомендаций по организационной защите конечными держателями баз персональных данных.

2. Разработка программной реализации СУБД, обеспечивающей реализацию политики обработки персональных данных в среде Delphi 6.0/InterBase 6.5 для регионального Отделения Пенсионного фонда Российской Федерации.

3. Экспериментальная оценка эффективности программной реализации информационной системы в сетевой среде.

4. Предложена методика расчёта ущерба при реализации угроз персональным данным в информационных системах и получены количественные оценки эффективности внедрения разработанной системы.

5. Разработаны рекомендации по развитию правового регулирования обращения персональных данных в Российской Федерации.

Апробация работы. Теоретические и практические результаты работы обсуждались на всероссийской научно-практической конференции «Проблемы правового и организационно-технического обеспечения информационной безопасности России» г. Екатеринбург, 2001; на международной конференции «Градоформирующие технологии XXI века» (секция «Информационные технологии»); на межвузовских конференциях в г. Оренбурге в 2000-2002 гг.

Публикации. По теме диссертации опубликовано восемь печатных работ.

Объём и структура работы. Диссертация состоит из введения, трёх глав, заключения, приложений и библиографического списка литературы.

Основные результаты диссертационной работы заключаются в следующем:

1. Проведённый анализ позволил выделить признаки идентифицируемости и чувствительности в качестве определяющих для отнесения информации к категории персональных данных. Выделен класс социальной персональной информации - персональных данных застрахованных лиц, накапливаемых органами социальной защиты и страхования. Проведённый анализ существующих программных продуктов, предназначенных для обработки персональной информации, показал необходимость создания специализированной информационной системы с поддержкой политики обработки персональных данных застрахованных лиц для использования в региональном Отделении ПФР.

2. Для информации, содержащей персональные данные, определены специфические угрозы следующего характера:

• доступа и обработки с целями отличными, от заявленных целей сбора информации;

• доступа с нарушением предельных сроков хранения персональных данных;

• логического анализа и агрегирования данных;

• использования без предварительного согласия субъекта персональных данных.

3. Разработана модель, реализующая принципы обработки, учитывающие соответствие целей сбора целям использования персональных данных и ограничения на время хранения и обработки данных застрахованных лиц.

4. Разработана методика расчёта ущерба информационной системе на основе модифицированной модели Дрейка-Морзе, которая позволяет получить количественные оценки ущерба при реализации различных угроз информационной системе обработки персональных данных.

5. Выполнена практическая реализация и проведено внедрение информационной системы обработки персональных данных в Оренбургском Отделении Пенсионного фонда Российской Федерации. Дана оценка экономической эффективности внедрения.

6. Предложенные подходы могут быть с успехом использованы при разработке и проектировании подобных систем в государственных органах.

ЗАКЛЮЧЕНИЕ

1. Ракитов А. И. Философия компьютерной революции. - М: Мысль, 1991.

2. Смолян Г. Л., Черешкин Д.С., Вершинская О.Н., Костюк В.Н., Савостицкий Ю.А. Путь России к информационному обществу (предпосылки, индикаторы, проблемы, особенности).- М, 1997.

3. Доктрина информационной безопасности России // Государственная политика информационной безопасности. Серия «Право-Информация-Безопасность». -Екатеринбург, 2001.

4. Окинавская Хартия глобального информационного общества // Государственная политика информационной безопасности. Серия «Право-Информация -Безопасность». Екатеринбург, 2001.

5. Яснов Д. В. Исследование и разработка принципов проектирования информационно управленческих систем для лечебно-профилактических учреждений: Автореф. дис. канд. техн. наук. - М., 2001.

6. Ожегов С.И. Словарь русского языка. М., 1990.

7. Абдеев Р.Ф. Философия информационной цивилизации. М.-.ВЛАДОС, 1994.

8. Фатьянов А. А. Тайна и право (основные системы ограничения на доступ к информации в российском праве): Монография. -М.: МИФИ, 1999.

9. Закон о защите личных данных Республики Эстония от 12.06.96 // Ведомости ЭР № 46/48, 1996.

10. Austrian Data Protection Act (1978).

11. Sec.4 of Act on Data Processing, Data Files and Individual Liberties (1978, France).

12. Проект Федерального закона «Об информации персонального характера» (Внесен депутатами Государственной Думы О.А. Финько, Ю.М. Нестеровым, Г.К. Волковым, В.Е. Цоем, Р.Г. Габидуллиным.) //http ://www. infoforum.ru/detail ,php?pagedetail=342.

13. Арский Ю. М. Информационный рынок в России. М., 1996.

14. Лопатин В.Н. Право на тайну в России // Управление защитой информации. №4, том 2, 1998

15. Герасименко В.А., Малюк А.А. Основы защиты информации. Сборник материалов международной конференции «Безопасность информации». М., 1997.

16. Правовая информатика / под ред. Рассолова М.И. и Элькина В.Д./. -М:Юрист, 1993.

17. Гаврилов О. А. Курс правовой информатики. М: Норма, 2000.

18. М. Harrison, W. Ruzzo, J. Uhlman Protection in operating systems. -Communications of ACM, 1976.

19. Горев А., Макашарипов С., Владимиров Ю. Microsoft SQL Server 6.5 для профессионалов, СПб: Питер, 1998.

20. Polk T.W., Bassham L. E. Security Issues in the Database Language SQL- NIST Special Publication 800-8.

21. Bell, D. Elliot; LaPadula, L.J. Secure Computer System: Unified Exposition and Multics Interpretation. March 1976. MIRTE Corp., Bedford. MA NTIS AD-A023 588/7.

22. S. Jajodia, R. Sandhu Toward a Multilevel Secure Relational Data Model,-ACM SIGMOD, 1991.

23. Саймон A.P. Стратегические технологии баз данных: менеджмент на 2000 год, М: Финансы и статистика, 1999.

24. D. Ferraiolo, R. Kuhn, Role-Based Access Controls,- NIST-NCSC National Computer Security Conference, Baltimore MD, 1992.

25. L. Badger, D. F. Sterne, D. L. Sherman, К. M. Walker, S. A. Haghighat Domain and Type Enforcement for UNIX, 1995 IEEE Symposium on Security and Privacy, Oakland CA, 1995.

26. E. Bertino, P. Samarati Next Generation Authorization Models for Database Systems, Database Security IX: Status and prospects. IFIP TCI 1 Working Conference on Database Security, 1995.

27. Зегжда Д.П., Ивашко A.M. Основы безопасности информационных систем -М: Горячая линия Телеком, 2000.

28. М. Nyanchama, S. Osborn Modeling Mandatory Access Control in Role-Based Security Systems, Database Security IX: Status and prospects. IFIP TCI 1 Working Conference on Database Security, 1995.

29. The Platform for Privacy Preferences 1.0 (P3P1.0) Specification http://www.w3 .org/TR/2000/CR-P3P-20001215/

30. Catlett J. Technical standards and privacy. http://www.iunkbusters.com/ht/en/standards.html

31. Coyle К. P3P: Pretty Poor Privacy? // http://www.kcovle.net/p3p.html

32. Проект RSBAC, http://www.rsbac.net

33. Мяснинкин В. Linux на защите информации // Открытые системы №4, 2001.

34. Мельников В.В. Защита информации в компьютерных системах. -М.: Финансы и статистика, 1997.

35. In-Q-Tel Commissions Safe Web for Internet Privacy Technology, Safe Web Press Release, February 14, 2001. http://fugu.safeweb.com/siws/pressroom/in-qtel release.html

36. Martin D., Shulman A. Deanonymizing users of the Safe Web anonymizing service, http://www.cs.bu.edu/techreports/pdf/2002-003-deanonymizing-safeweb.pdf

37. Amerithrax: Seeking Information, FBI Web page, January, 2002. http ://www. fbi. gov/mai cases/anthrax/amerithraxlinks.htm

38. Елькин A. Microsoft Windows XP что нового для работы в Интернет ? // Компьютер -Пресс № 2, 2002.

39. Y. Chen, J. Edler, A. Goldberg, A. Gottlieb, S. Sobti, and P. Yianilos, "A prototype implementation of archival intermemory," in Proceedings of the Fourth

40. ACM Conference on Digital Libraries (DL '99), Berkeley, С A, USA. ACM Press: New York (1999).

41. Атака на Интернет / Медведовский И.Д., Смеянов П.В., Леонов Д.Г.-М: ДМК, 1999.

42. Герасименко В.А. Защита информации в автоматизированных системах обработки данных, М: Энергоатомизат, 1994.

43. Теория и практика обеспечения информационной безопасности / Зегжда П. Д. М: Яхтсмен, 1996.

44. Девятин П.Н., Михальский О.О., Правиков Д.И. Теоретические основы компьютерной безопасности. М.: Радио и связь, 2000.

45. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Зашита информации в компьютерных системах и сетях. М.: Радио и связь, 1999.

46. Баранов А.П., Борисенко Н.П., Зегжда П.Д., Корт С.С., Ростовцев А.Г. Математические основы информационной безопасности. Орел, 1997.

47. Мельников В.В. Защита информации в компьютерных системах. -М.: Финансы и статистика, 1997.

48. Джексон Г. Проектирование реляционных баз данных для использования с микроЭВМ. М: Мир, 1991.

49. Доронин А. Компьютерная разведка в работе службы безопасности предприятия // БДИ: Безопасность. Достоверность. Информация, № 2, 2000.

50. S. Garfinkel Database Nation: The Death of Privacy in the 21st Century. -O'Reilly & Associates, 2000.

51. Грушо A.A., Тимонина E.E. Теоретические основы защиты информации. -М: Яхтсмен, 1996.

52. Trusted Database Management System Interpretation of Trusted Computer System Evaluation Criteria. NCSC, 1991.

53. Конституции зарубежных государств: Учебное пособие. М., 2000.

54. Guadamuz A. Habeas Data: The Latin -American Response to Data Protection. //The Jornal of Information, Law and Technology-2000.-№3.

55. Chirino, Alfredo. 'Las tecnologias de la information у el proceso penal. Analisis de una crisis anunciada'. Revista de Ciencias Penales (December 1997) No. 14. http.7/www.nexos.co.cr/cesdepu/revelec/penal/Chirino 14.htm

56. Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера. Сборник документов Совета Европы в области защиты прав человека и борьбы с преступностью. М: Спарк, 1998.

57. Congresso Nacional do Brasil. Lei 9507. Ibid. Article 7, sub-section III.

58. IFEX. Habeas Data law modified and approved (April 1995). http://holland.ifex.org/alert/00000712.html

59. Бачилло И. JI. Компьютерное право. Методология и практика.// Безопасность информационных технологий. 1997, № 2.

60. Телекоммуникации и право: вопросы стратегии / под ред. Ю. М. Батурина. Серия "Журналистика и право", вып. 26.- М:Центр "Право и средства массовой информации", 1998.http://www.medialaw.ru/publications^ooks/wb-tele/index.html

61. Иванский В. П. Правовая защита информации о частной жизни граждан: опыт современного правового регулирования. М: Изд. Российского университета дружбы народов, 1999.

62. Конституция Российской Федерации. М: Норма - Инфра - М, 1998.

63. Закон Российской Федерации от 20.02.95 № 24-ФЗ «Об информации, информатизации и защите информации» // Собрание законодательства Российской Федерации №8, 20.02.95

64. Закон Российской Федерации от 31.07.95 № 119-ФЗ «Об основах государственной службы Российской Федерации» // Собрание законодательства Российской Федерации № 31, 31.07.95

65. Закон Российской Федерации от 21.07.97 № 114 «О службе в таможенных органах Российской Федерации (с изменениями на 7 ноября 2000 года)» // Российская газета, № 146, 31.07.97

66. Закон РФ от 12.08.95 № 44 «Об оперативно-розыскной деятельности (с изменениями на 30 декабря 1999 года)»// Собрание законодательства Российской Федерации № 33, 14.08.95

67. Основы законодательства Российской Федерации об Архивном фонде Российской Федерации и архивах от 07.07.93 № 5341-1// Российская газета № 156, 14.08.93

68. Трудовой Кодекс Российской Федерации (принят 31.12.01 , № 197-ФЗ) // "Российская газета", № 256, 31.12.2001

69. Копылов В. А. Информационное право. М.: Юристъ, 1997.

70. Сергиенко JI.A. Правовая защита персональных данных. Цели и принципы правового регулирования // Проблемы информатизации. 1995, № 1.

71. Черешкин Д.С., Курило А.П. Проблема защиты персональных данных в Российской Федерации // Сб. НТИ Сер.1. 1995, №8.

72. Сборник документов Совета Европы в области защиты прав человека и борьбы с преступностью. М: Спарк, 1998.

73. Распоряжение Президента РФ от 10.07.01 № 366-РП «О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных» // Собрание законодательства Российской Федерации, №29, 16.07.2001.

74. Постановление Правительства Российской Федерации от 28.01.02 № 65 «О федеральной целевой программе «Электронная Россия» (2002-2010 годы)» // Собрание законодательства Российской Федерации, № 5, 04.02.2002.

75. Ассоциация «Сириус». Концепция создания автоматизированной системы «Государственный регистр населения» // http://www.sirius.ru/publ/defw.htm.

76. Программа работ по созданию региональной автоматизированной системы учёта населения Пермской области. // http://www.permonline.ru/~enter/may/prog.htm

77. Компания «Мегаполис». Автоматизированная информационная система «Государственный регистр населения Санкт-Петербурга». //http ://www.megapol. spb.ru/rus/proiects/proj ect7 .html

78. X. Хорсткотте Защита данных в Германии // Basis-info. Внутренняя политика. №26, 1999.

79. Федеральный конституционный закон «Об Уполномоченном по правам человека в Российской Федерации» от 26.02.97 № 1-ФКЗ // Российская газета № 43-44, 04.03.97.

80. Почём досье на Путина ? // Компьютерра On-Line http://www.computerra.ru/online/piracy/press-release

81. А. А. Аликберов Что такое cookies и как с ними работать. http://www.citforum.ru/internet/html/cookie.shtml

82. Компьютерные сети. Принципы, технологии, протоколы / В. Г. Олифер, Н.А.Олифер. СПб Литер, 2000.

83. Черняев С.В. Семейство протоколов IP Sec, как способ построения защищённой системы коммуникаций в сети Интернет. Труды Оренбургского института МГЮА (выпуск первый).- Оренбург, 1999.

84. Privacy Policy Statement // http://www.altavista.com/sites/about/privacy

85. Federal Trade Comission Privacy Policy // http://www. ftc. gov/ftc/pri vacy .htm

86. Customer Information Privacy Policy // http ://www. citybank. com/privacy/

87. Бунин О. Персонализация сайтов // Мир Интернет, 2001, № 12.

88. FTC Issues Final Rule on Privacy of Consumer Financial Information // http://www.ftc.gOv/os/2000/05/index.htm#12

89. Gramm-Leach-Billey Act // http://www.finmod.state.tx.us/content/theact/title5.pdf

90. The Fair Credit Reporting Act. // http ://www. ftc. gov/os/statutes/fcra.htm

91. Хикс M. Минуя тихую гавань. // PC Week № 26, 2001.

92. Лукацкий А. Знак качества для Web-сервера // PC Week № 3, 2002.

93. Nisserbaum H. Accountability in computerized society // Sci. Engin. Ethics 2(1996).

94. RealNetworks is target of suit in California over privacy issue // The New York Times (Nov.9, 1999).

95. Schneider F. Trust in Cyberspace. Washington: National Academy Press, 1999.

96. Национальный кодекс деятельности в области информатики и телекоммуникаций // PC Week № 29,30, 1996.

97. Хартия защиты личных сведений в Интернет // http://www.rocit.ru/public/index.php37pathHiartiyal

98. Наумов В. Особенности правового регулирования сети Интернет. // http://www.russianlaw.net/law/doc/a08.htm

99. Черняев С.В. Правовые и технические аспекты защиты авторских прав в сети Интернет. Труды Оренбургского института Московской государственной юридической академии (выпуск второй) Оренбург. Издательский центр ОГАУ, 2001.

100. Сеть и Безопасность: Суздальские диалоги о защите информации // http ://www. cnews.ru/comments/2002/03/07/full. shtml

101. Гуляев Ю. В., Олейников А. Я. Технология открытых систем основное направление информационных технологий. // Информационные технологии и вычислительные системы, 1997, № 3

102. D. Ferraiolo, J. Cugini, R. Kuhn Role-based access control: Features and motivations. Annual Computer Security Applications Conference. IEEE Computer Society Press, 1995.

103. Гостехкомиссия России. Руководящий документ. Концепция защиты средств вычислительной техники от несанкционированного доступа к информации. М: Военное издательство, 1992.

104. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации. М: Военное издательство, 1992.

105. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М: Военное издательство, 1992.

106. М: Военное издательство, 1992.

107. Щербаков А.Ю. Введение в теорию и практику компьютерной безопасности. М: Издатель Молгачёва С.В., 2001.

108. Григоров С. И. Гостехкомиссии России 10 лет // «Системы безопасности, Связи и Телекоммуникаций» № 1(9)-2002.

109. Пархин В.Н. Разработка метода оценивания эффективности систем защиты информации: Автореф. дис. канд. техн. наук. -М., 1999.

110. D. Drake, L. Morse. The Security-Specific Eight-Stage Risk Assessment Methodology. Proceedings of 17ep National Computer Security Conference, 1994.

111. Панкова Jl.A., Петровский A.M., Шнейдерман М.В. Организация экспертиз и анализ экспертной информации. М: Наука, 1984.

112. Китаев Н.Н. Групповые экспертные оценки. М: Знание, 1975.

113. Сидельников Ю. В. Теория и организация экспертного прогнозирования. -М: Ин-т экономики, 1990.

114. Бешелев С.Д, Гурвич Ф.Г. Математико-статистические методы экспертных оценок. -М: Статистика, 1980.

115. Зубанов А. А. Анализ устойчивости функционирования экономических систем относительно поставленных целей. //http://www.sstu.edu.ru/research/sstu works/works/zubanov pestrikov/chap8.htm

116. Орлов А.И. Современный этап развития теории экспертных оценок. // http://www.xnet.ru/~orlov/expertoc.htm.

117. Герасименко В.А., Малюк А.А. Основы защиты информации. М., 1997.

118. Бурков В.Н., Панкова Л.А., Шейдерман М.В. Получение и анализ экспертной информации. М.:Ин-т пробл. упр., 1990.

119. Дубровский С.А. Определение компетентности экспертов в методе парных сравнений // Вопросы кибернетики. Экспертные оценки. НСК АН СССР. М.: 1979.- Вып. 58.

120. Евланов Л.Г., Кутузов В.А. Экспертные оценки в управлении. -М.: Экономика, 1978.

121. Бешелев С.Д. Гурвич Ф.Г. Экспертные оценки. М.: Наука, 1973.