автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Метод и модель формирования системы обеспечения информационной безопасности центра обработки данных кредитных организаций Российской Федерации

кандидата технических наук
Згурский, Антон Сергеевич
город
Санкт-Петербург
год
2011
специальность ВАК РФ
05.13.19
Диссертация по информатике, вычислительной технике и управлению на тему «Метод и модель формирования системы обеспечения информационной безопасности центра обработки данных кредитных организаций Российской Федерации»

Автореферат диссертации по теме "Метод и модель формирования системы обеспечения информационной безопасности центра обработки данных кредитных организаций Российской Федерации"

На правах

1вах рукописи

005007035

Згурский Антон Сергеевич

Метод и модель формирования системы обеспечения информационной безопасности центра обработки данных кредитных организаций Российской Федерации

Специальность 05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург 2011

005007035

Работа выполнена на кафедре Мониторинга и прогнозирования информационных угроз Санкт-Петербургского национального исследовательского университета информационных технологий, механики и оптики

Научный руководитель:

Официальные оппоненты:

кандидат технических наук, доцент Жигулин Георгий Петрович

доктор технических наук, профессор Сарычев Валентин Александрович

кандидат технических наук, доцент Бузинов Александр Сергеевич

Ведущая организация:

Главное управление Банка России по Санкт-Петербургу

Защита состоится «25» ноября 2011 года в 15 часов 50 минут на заседании диссертационного совета Д 212.227.05 в ФГБОУ ВПО «Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики» по адресу: 197101, Санкт-Петербург, пр. Кронверкский, д. 49.

С диссертацией можно ознакомиться в библиотеке ФГБОУ ВПО «СПбНИУ ИТМО»

Автореферат разослан «24» октября 2011 года.

Ученый секретарь /

диссертационного совета Д 212.227.05, //Ьэ Ьк кандидат технических наук, доцент Поляков Владимир Иванович

Общая характеристика работы

Актуальность проблемы. На современном этапе развития Российской государственности ключевое значение приобретают региональные проблемы се безопасности. Понятие «региональная экономическая безопасность» можно трансформировать в понятие «устойчивость социально-экономической ситуации в регионе». В свою очередь, устойчивость региональной экономики в значительной мере базируется на устойчивости банковской системы и обеспечении ее безопасности, в том числе информационной.

Основной целью системы информационной безопасности кредитной организации является предотвращение ущерба се интересам за счет хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утраты, утечки, искажения и уничтожения информации, нарушения работы технических средств обеспечения деятельности кредитной организации, включая и средства информатизации, а также ущерба персоналу.

Важнейшей составляющей частью функционирования любой организации, использующей информационные ресурсы, является центр обработки данных (далее - ЦОД). В ЦОД происходит хранение, обработка и/или передача как общедоступной информации, так и информации ограниченного доступа. Информацией ограниченного доступа является информация, представляющая ценность для ее владельца, доступ к которой ограничивается на законном основании. В свою очередь информация ограниченного доступа подразделяется на информацию составляющую государственную тайну и информацию, соблюдение конфиденциальности которой установлено федеральным законом (конфиденциальная информация).

Перечень сведений, отнесенных к государственной тайне опубликован в ст., 5 Закона РФ 1993 г. № 5485 «О государственной тайне». Существует три степени секретности такой информации:

- особой важности;

- совершенно секретно;

- секретно.

К видам конфиденциальной информации относят следующее:

- персональные данные;

- служебная тайна;

- профессиональная тайна;

- коммерческая тайна;

- платежная информация.

Безопасность ЦОД — основное и необходимое условие надежной работоспособности организации. В первую очередь, конечно, это относится к кредитным организациям, т.к. нарушение функционирования ЦОД может понести за собой необратимые экономические и политические последствия.

Целью диссертационной работы является разработка метода и модели формирования системы обеспечения информационной безопасности центра обработки данных кредитных организаций Российской Федерации, определение основных требований к формированию политики информационной безопасности кредитных организаций.

Задачи исследований. Поставленная цель достигается решением следующих задач:

1. Анализ состояния обеспечения информационной безопасности банковских информационных ресурсов.

2. Анализ банковских объектов информационных ресурсов, подлежащих защите от потенциальных угроз.

3. Анализ возможных угроз информационной безопасности ЦОД.

4. Разработка моделей угроз информационной безопасности ЦОД кредитной организации.

5. Разработка метода и модели формирования системы обеспечения информационной безопасности центра обработки данных кредитной организации.

Методологическая основа исследования.

Методологической основой исследования являются труды отечественных и зарубежных ученых и специалистов по информационной безопасности, нормативные документы Банка России, энциклопедическая и справочная литература, материалы периодической печати, а также опыт организации работ по обеспечению безопасности кредитных организаций Санкт-Петербурга.

Научная новизна результатов, полученных автором, заключается в следующем:

1. Уточнение понятия системы обеспечения информационной безопасности кредитной организации, определения ее составных частей и элементов, исходя из анализа объектов, подлежащих защите от внешних и внутренних угроз.

2. Разработка модели угроз информационной безопасности кредитной организации.

3. Разработка алгоритма расчета значимости угроз информационной безопасности.

4. Разработка метода формирования системы обеспечения информационной безопасности центра обработки данных кредитных организаций Российской Федерации.

5. Разработка модели системы обеспечения информационной безопасности центра обработки данных кредитных организаций Российской Федерации.

Практическая значимость работы. Предложенные методы и результаты диссертационной работы повышают уровень безопасности и расширяют

возможности по обнаружению и предотвращению угроз информационной безопасности кредитных организаций.

Практическая значимость работы состоит в возможности использования и применения кредитными организациями сформулированных в диссертационной работе понятий и результатов исследования.

Материалы диссертации применены при разработке методических материалов и нормативной документации кредитными организациями Санкт-Петербурга и внедрены в учебный процесс кафедры Мониторинга и прогнозирования и информационных угроз СПбНИУ ИТМО.

Апробация работы. Основные положения диссертации докладывались на научно-практических конференциях Санкт-Петербургского национального исследовательского университета информационных технологий, механики и оптики и других научно-практических конференциях России. Отдельные теоретические и практические положения работы используются в учебном процессе кафедры «Мониторинга и прогнозирования информационных угроз» СПбНИУ ИТМО и при разработке нормативной и регламентирующей документации кредитными организациями Российской Федерации.

Публикации. По теме диссертационной работы опубликовано 11 печатных работ, в том числе 6 статей в научных журналах и сборниках, 4 из которых входят в перечень ведущих рецензируемых научных изданий, 5 статей в трудах научных конференций, в том числе международных.

Структура и объем работы. Диссертационная работа состоит из введения, трех глав, заключения и списка литературы, включающего 65 наименований, Основная часть работы изложена на 103 страницах. Работа содержит 4 рисунка и 15 таблиц.

Содержание работы

Во введении обоснована актуальность темы, сформулированы цели и задачи исследования, показана новизна и практическая значимость работы, сформулированы основные положения, выносимые на защиту.

В первой главе представлены методологические основы построения системы обеспечения информационной безопасности кредитных организаций. Рассмотрены роль и место информации и информационных технологий в современной жизни, безопасность национальных интересов в информационной сфере.

Проанализированы причины возникновения угроз информационной безопасности. Рассмотрено современное состояние исследований и разработок в области определения моделей информационной безопасности, приведены примеры таких моделей.

Основную роль в методе разработки системы обеспечения информационной безопасности играет модель информационной безопасности (модель нарушителя ИБ, модель угроз нарушения свойств безопасности ресурсов кредитной организации, модель политики безопасности). Целью этой модели является выражение сути требований по безопасности к определенной системе.

В работе определено понятие центра обработки данных (далее - ЦОД), сформулированы определение и основные этапы и объекты обеспечения информационной безопасности ЦОД.

ЦОД - это отказоустойчивая комплексная централизованная система, обеспечивающая автоматизацию бизнес-процессов с высоким уровнем производительности и качеством предоставляемых сервисов.

Подход к обеспечению безопасности информации, хранимой (обрабатываемой) в ЦОД, должен исходить из требований конфиденциальности, доступности и целостности. Необходимо отметить, что

цель обеспечения безопасности и защиты функциональных приложений, сервисов и данных (информации) - это сведение к приемлемому минимуму (анализ рисков, аппетит рисков) ущерба при возможных внешних и внутренних воздействиях.

Основные этапы обеспечения безопасности ЦОД:

- построение модели угроз;

- выделение объектов, на которые могут быть направлены угрозы;

- построение модели действий нарушителя;

- оценка и анализ рисков;

- разработка и внедрение в системы ЦОД методов и средств защиты. Анализируя вышесказанное, становится ясно, что без построения СОИБ

(системы обеспечения информационной безопасностью) как всей организации, так и элемента (ЦОД) необходимой защиты не обеспечить. Основные объекты защиты в ЦОД:

- информация, циркулирующая в системе;

- оборудование (элементы);

- программное обеспечение.

Во второй главе рассматривается вопрос формирования политики информационной безопасности кредитных организаций, ее направленность и аспекты.

Политика информационной безопасности кредитной организации является основополагающим документом, определяющим систему приоритетов, принципов и методов достижения целей обеспечения защищенности электронных информационных ресурсов (электронных информационных активов) кредитной организации в условиях наличия угроз, характерных и существенных для крупных (системно-значимых) банковских институтов.

Одним из важнейших принципов, необходимых для использования в политике информационной безопасности, должно являться обеспечение

защиты электронных информационных ресурсов кредитной организации, исходя из их ценности (значимости). Ценность (значимость) электронных информационных ресурсов определяет принципы и приоритеты их защиты.

С целью минимизации рисков информационной безопасности в политику информационной безопасности также необходимо включить принципы проведения обязательного мониторинга, внутреннего контроля и аудита, анализа используемых мер и средств и возникающих угроз.

Для того, чтобы сформировать и определить политику информационной безопасности, необходимо определить:

- информацию которая подлежит защите и создать перечень сведений конфиденциального характера, в соответствии с защищаемой информацией;

- топологию средств автоматизации (физической и логической);

- описать административную структуру и категории зарегистрированных пользователей, описать технологию обработки информации и выделить потенциальных субъектов и объектов доступа;

- определить угрозы безопасности информации и создать модель нарушителя;

- обнаружить и описать известные угрозы и уязвимости;

- расположить угрозы по убыванию уровня риска (провести анализ рисков);

- описать общую характеристику и специализацию организации (наименование организации, специализация, род деятельности, решаемые задачи, характер и объем работ, расположение угроз по убыванию уровня риска);

- описать организационно-штатную структуру организации (отделы и отделения организации, наименования отделов, решаемые задачи, общая технологическая схема функционирования подразделений).

Информационная безопасность кредитной организации должна обеспечивается на основе согласованного комплекса мер и средств, включающих:

- юридические нормы, определяющие взаимоотношения с внешними организациями;

- организационную структуру, устанавливающую задачи, ответственность и подчиненность подразделений;

- административные нормы и регламенты, устанавливающие обязанности и ответственность персонала;

- технические и программные средства защиты;

- организационно-технические нормы и регламенты, определяющие порядок создания, ввода в действие, эксплуатации, модернизации и ликвидации (стадии жизненного цикла) устройств и комплексов информационно - телекоммуникационной системы кредитной организации, включая технические и программные средства защиты;

- наличие, обучение и переподготовка необходимых специалистов;

- мониторинг, внутренний контроль и аудит систем информационной

безопасности, а также возникающих угроз с целью минимизации рисков.

В результате анализа информационных ресурсов и потенциальных угроз их безопасности, можно выделить основные угрозы защищаемым ресурсам кредитной организации:

Внешние:

атаки на информационные ресурсы (платежную и иную информацию) кредитной организации, в том числе компьютерные вирусы;

катастрофы и неблагоприятные события природного и техногенного характера;

террористические акты;

- зависимость от монопольных поставщиков аппаратно-программных и технических средств, расходных материалов, телекоммуникационных услуг и т.п.;

атаки из внешних информационных сред на аппаратно-программные и технические комплексы кредитной организации.

Внутренние:

невыполнение сотрудниками кредитной организации установленных технических и/или технологических регламентов;

несанкционированная деятельность (включая ошибки) персонала и пользователей автоматизированных систем, приводящая к изменению настроек оборудования, аппаратно-программных средств и комплексов, влияющих на информационную безопасность;

несанкционированное использование информационных ресурсов (чтение, копирование, публикация, искажение, уничтожение, ввод ложной информации и т.п.).

В третьей главе представлены метод и модель формирования системы обеспечения информационной безопасности ЦОД кредитной организации. Для формирования наиболее полной и надежной системы обеспечения информационной безопасности ЦОД кредитной организации сформированы модели угроз нарушения свойств безопасности:

- информационных активов ЦОД;

- физических активов ЦОД;

- технических активов ЦОД.

Определение степени потребности актива в свойстве безопасности (конфиденциальность, целостность, доступность, учетность, надежность и т.д.) основывается на определении объема возможных негативных последствий для ЦОД кредитной организации в результате инцидентов информационной

безопасности, приводящих к нарушению или потери одного или нескольких свойств безопасности.

При оценке степени влияния нарушения свойства безопасности актива на деятельность ЦОД используются следующие критерии:

Таблица 1. Уровни степени влияния нарушении свойства безопасности актива на деятельность ЦОД_

Уровень степени влияния Критерии, определяющие уровень степени влияния

Нулевой Свойство безопасности не актуально для актива (негативные последствия отсутствуют)

Низкий В случае нарушения свойства безопасности актива, ущерб наносится только самому активу. При этом не происходит нарушение процессов деятельности, в которых задействован актив.

Средний В случае нарушения свойства безопасности актива, ущерб наносится как самому активу, так и процессам деятельности, в которых данный актив задействован. При этом не нарушаются виды основной деятельности, в рамках которых функционируют указанные процессы.

Высокий В случае нарушения свойств безопасности актива, ущерб наносится активу, процессам деятельности, в которых данный актив задействован, а также некоторым (отдельным) видам деятельности, реализуемым данными процессами.

Критичный В случае нарушения свойств безопасности актива, возникают нарушения и наносится ущерб для деятельности на всех уровнях, что, в свою очередь, приводит к нарушению деятельности подразделения в целом.

Оценка степени потребности актива в актуальном свойстве безопасности

осуществляется по совокупности оценок, присвоенных уровню влияния свойства безопасности актива на деятельность ЦОД кредитной организации, уровню объема дополнительных затрат, необходимых для восстановления свойства безопасности актива и уровню ответственности сотрудников ЦОД, путем их сложения. Для этого всем качественным оценкам, полученным для этих уровней, присваиваются количественные значения.

Оценка степени потребности актива в свойствах безопасности является одним из ключевых шагов к созданию модели угроз информационной безопасности кредитных организаций. Данный алгоритм показывает, на что, в первую очередь, необходимо обращать внимание при определении факторов, создающих угрозу информационной безопасности кредитной организации.

Таблица 2- Определение потенциала источника угроз ИБ

Потенциал Описание

Низкий Низким потенциалом обладают источники угроз, имеющие ресурсы, эквивалентные ресурсам организации, среднюю, высокую или очень высокую квалификацию, но не имеющие мотивацию. Пример - сторонние разработчики эксплуатируемого программного обеспечения или технологии.

Средний Средним потенциалом обладают следующие источники угроз: - имеющие мотивацию, высокую квалификацию и ресурсы, эквивалентные ресурсам группы лиц (эксплуатационный и обслуживающий персонал, инсайдеры, криминальные структуры); - имеющие ресурсы, эквивалентные ресурсам физического лица или группы лиц, не имеющие мотивации и квалификации в области ИБ

Высокий Высоким потенциалом обладают следующие источники угроз: - имеющие мотивацию, очень высокую квалификацию и ресурсы, эквивалентные ресурсам группы лиц (компьютерные злоумышленники); - имеющие мотивацию, высокую квалификацию и ресурсы, эквивалентные ресурсам организации (террористические организации и внешние пользователи).

Очень высокий Очень высоким потенциалом обладают источники угроз, имеющие мотивацию, очень высокую квалификацию, ресурсы эквивалентные ресурсам корпорации или государства (зарубежные спецслужбы и конкурирующие организации)

В результате анализа возможных угроз информационной безопасности ЦОД разработана модель нарушителя ИБ ЦОД:

Таблица 3. Фрагмент модели нарушителя ИБ ЦОД

Угроза ИБ Тип источника угрозы Потенциал, необходимый источнику для реализации угрозы.

Сбои и отказы программно-аппаратных средств Внешний Низкий

Впутре7ший Средний

Угрозы со стороны обслуживающего персонала Внутренний Средний

Ошибки руководства организации в связи с недостаточным уровнем осознания ИБ Внутренний Низкий

Утечка информации Внешний Очень высокий

Внутренний Низкий

Нарушение функциональности и доступности персонала Внешний Высокий

Внутренний Низкий

На основе модели нарушителя ИБ ЦОД разработан алгоритм расчета значимости наступления событий ИБ.

Значимость события - это произведение вероятности наступления данного события на потенциал угрозы источника этого события.

Введем обозначения:

А - значимость наступления того или иного события в абсолютных единицах, у.е.;

А' - значимость наступления того или иного события относительно других событий, %;

В - вероятность наступления события, %;

Р - потенциал угрозы, насколько опасен потенциал источника относительно всех источников угроз, у.е.;

Р' - потенциал угрозы, необходимый источнику для реализации угрозы,

у.е.;

К - повышающий коэффициент угрозы, у.е.;

п - полное число вариантов событий.

Значимость события рассчитывается по формуле: А=В*К*Р' - абсолютное значение значимости события; А'=А1/(Л1+А2+...+Ап) - относительное значение значимости события.

1. Величина вероятности наступления события.

Для точных расчетов величины значимости события угроза ИБ должна являться статистической вероятностью из существующей выборки событий (из выборки совершившихся событий определяется относительная вероятность угрозы ИБ относительно других угроз).

Пример: предположим, что «Сбои и отказы программно-аппаратных средств» возникают в 10 раз чаще чем «Пожар», тогда если вероятность пожара будет около 0,5%, вероятность «Сбоя и отказы программно-аппаратных средств» будет 5%.

Без статистики, имея 37 угроз ИБ, целесообразно считать их равновероятными, т.е.

В1 =В2=ВЗ=В4=В5=В6=В7=В8.. .=В37;

Суммарную вероятность наступления всех угроз принимаем 100%, т.е. если возникнет угроза ИБ, то она будет одной из списка 37 угроз. Второй вариант - берется общее число событий (нормальное функционирование и угрозы ИБ) и угрозы ИБ составляют от него какой-то процент и суммарная вероятность всех угроз будет равна этому проценту.

В1+В2+ВЗ+В4+В5+В6+В7+В8+.. ,+В37= 1;

В1=В2=ВЗ=В4=В5=В6=В7=В8=...=В37=1/37=0,027=2,7%, где

37 - количество всех угроз ИБ (без учета источника возникновения);

В1 - сбои и отказы программно-аппаратных средств;

В2 - угрозы со стороны обслуживающего персонала;

ВЗ - ошибки руководства организации в связи с недостаточным уровнем осознания ИБ;

В6 - утечка информации;

В 8 - нарушение функциональности и доступности персонала.

В случае, если угроза имеет два типа источника возникновения, тогда вероятность на каждый из них придется по 50% от определенной вероятности события.

Для первого случая получается В 1=2,7%, тогда «Сбои и отказы программно-аппаратных средств от внешних источников угрозы» (В 11) и «Сбои и отказы программно-аппаратных средств от внутренних источников угрозы» (В12) будут равны В11=В12=(В1)/2=0,027/2=0,0135=1,35%.

Для второго случая получается В2=2,7% и только один источник угрозы (внутренний), поэтому вероятность события, которое может возникнуть только от одного типа источника (не важно внешнего или внутреннего) равна вероятности этого события.

Для 3-го, 6-го и 8-го событий расчет аналогичен первому событию.

2. В зависимости от типа угрозы источники подразделены на внешние и внутренние, статистически не важно откуда исходит угроза изнутри или снаружи, но предполагается что внутренняя угроза способна нанести более

значительный ущерб (к примеру в два раза), чем внешняя, тогда имеем уравнение:

Квнеш + Квнутр=1 (сумма внутренних и внешних угроз равна 1, т. к. внутренние и внешние угрозы описывают собой полное множество событий). Квнутр=2* Квнеш; 2* Квнеш + Квнеш =1; Квнеш= 1/3=0,333=33%; Квнутр=1- Квнеш =1-0,333=0,667=67%.

3. По таблице 2 имеем четыре источника угроз. Принимаем, что потенциал всех угроз 100% и каждый следующий уровень потенциала угрозы в два раза выше предыдущего.

Тогда имеем уравнение: Рнизкий + Рсредний + Рвысокий + Рочень высокий=1; Рнизкий + 2* Рнизкий + 2*(2*Рнизкий) + 2*(2*( 2*Рнизкий))=1; 15* Рнизкий=1.

Отсюда имеем процентное соотношении потенциалов между собой Рнизкий= 1 /15=0,067=7%; Рсредний=2* Рнизкий=2*0,067=0,13 3= 13%; Рвысокий=2* Рсредний=2*0,133=0,266=27%; Рочень высокий=2*Рвысокий==2*0,266=0,532=53%.

Потенциал угрозы, необходимый источнику для реализации угрозы (Р-) определяется, как сумма потенциалов угроз, которые больше или равны установленному уровню, потому что потенциал угроз выше необходимого уровня достаточен для нанесения ущерба и защита осуществлена, только для уровня угроз ниже уровня защиты.

Р'низкий=Рнизкий+Рсредний+Рвысокий+Рочень высокий=0,067+0,133+ +0,266+0,532=1;

Р'средний=Рсредний+Рвысокий+Роченьвысокий=0,133+0,266+0,532=0,93; Р'высокий=Рвысокий+Рочень высокий=0,266+0,532=0,79; Р'очень высокий=Рочень высокий=0,53.

4. Определяем значимости наступления события в абсолютных единицах по формуле (примеры приведены для определенных угроз ИБ):

А=В*К*Р' - абсолютное значение значимости события А11 =В 11*К11*Р" 11 =0,0135*0,333* 1=0,00449; А12=В 12*К 12*РЧ 2=0,013 5 *0,667*0,93=0,0083 8; А2=В2*К2*Р'2=0,027*0,667*0,93=0,01676; АЗ=ВЗ*К2*Р'3=0,027*0,667* 1=0,01801; А61=В61*К61*Р'61=0,0135*0,333*0,53=0,00239; А62=В62*К62*Р'62=0,0135*0,667*1=0,00901; А81 =В81 *К81 *Р- 81 =0,0135*0,333*0,8=0,00360; А82=В82*К82*Р'82=0,0135*0,667* 1=0,00901.

5. Относительная значимость % (примеры для определенных угроз ИБ). Определим сумму всех значимостей по формуле

(А 11+А12+А2+АЗ+.. .+А371+А372)=0,00450+0,00838+0,01676+0,01802+... +0,00450+0,00838=0,4789.

Определим относительное значение значимости события, относительно полного поля (100%) значимостей остальных событий: А' 11=(А11/(А11+А12+А2+АЗ+...+А371+А372))*100%=(0,0045/0,4789)* 100% = =0,94%;

А' 12=(А12/(А11+А12+А2+АЗ+...+А371+А372))*100%=(0,00838/0,4789)* 100%= =1,75%;

А' 2=(А2/(А 11+А12+А2+АЗ+.. .+А371+А372))* 100%=(0,01676/0,4789)* 100%= =3,5%;

А' 3=(АЗ/(А 11+А12+А2+АЗ+... +А371+А372))* 100%=(0,01801 /0,4789)* 100%= =3,76%;

А'61=(А61/(А11+А12+А2+АЗ+...+А371+А372))*100%=(0,00239/0,4789)* 100%= =0,5%;

А'62=(А62/(А11+А12+А2+АЗ+...+А371+А372))*100%=(0,00901/0,4789)* 100%= =1,88%;

А'81=(А81/(А11+А12+А2+АЗ+...+А371+А372))*100%=(0,0036/0,4789)* 100%= =0,75%;

А'82=(А82/(А11+А12+А2+АЗ+...+А371+А372))*100%=(0,00901/0,4789)* 100% = 1,88%.

Относительное значение значимости события, относительно значимости всех событий, без учета типа угрозы (просто для отдельной угрозы): А' 1=А'11+А' 12=0,94%+1,75%=2,69% - сбои и отказы программно-аппаратных средств; А-2=3,5%; А'3=3,76%;

А" 6=А~ 61+А" 62=0,5%+1,88%=2,3 8% - утечка информации; А'8=А'81+А'82=0,75%+1,88%=2,63% - нарушение функциональности и доступности персонала.

Таблица 3. Итоговые значения

N5 события Угроза ИБ Вероятность события, без учета типа угрозы Вероятность события, с учетом типа угрозы Тип источника угрозы Коэффициент типа угрозы Потенциал, необходимый источнику для реализации угрозы Потенциал угрозы, необходимый источнику для реализации угрозы Значимость наступления события в абсолютных единицах Относительное значение значимости события, относительно значимости всех событий, с учетом типа угрозы Относительное значение значимости события, относительно значимости всех событий, без учета типа угрозы

Сбои и отказы 1,35% Внешний 0,333 Низкий 1 0,00450 0,94%

1 программно-аппаратных средств 2,70% 1,35% Внутренний 0,667 Средний 0,93 0,00838 1,7 5% 2,69%

Угрозы со стороны обслуживающего 2,70% 2,70% Внутренний 0,667 Средний 0,93 0,01676 3,50% 3,50%

2 персонала

Ошибки руководства

организации в связи с недостаточным 2,70% 2,70% Внутренний 0,667 Низкий 1 0,01802 3,76% 3,76%

3 уровнем осознания ИБ

Утечка информации 2,70% 1,35% Внешний 0,333 Очень высокий 0,53 0,00239 0,50% 2,38%

6 1,35% Внутренний 0,667 Низкий 1 0,00901 1,88%

Нарушение 2,70% 1,35% Внешний 0,333 Высокий 0,8 0,00360 0,75%

8 функциональности и доступности персонала 1,35% Внутренний 0,667 Низкий 1 0,00901 1,88% 2,63%

г .....

БЛОК №1 БЛОК №2

1. -< \ 4

1 1 1 Г*. Информации I I I

г \ \ \ / я ! /■ Г ч

БЛОК №3 БЛОК №4

ч. J

\ \ Контур защиты системы \ ^ обеспечения информационной \ безопасности

\ Контур защиты специализированных средств безопасности

Рис. 1. Модель системы обеспечения информационной безопасности ЦОД

На рисунке 1 представлена модель системы обеспечения информационной безопасности ЦОД.

К блоку №№1, 2, 3 относятся угрозы информационной безопасности ЦОД, не обладающие необходимым потенциалом и возможностями для нанесения ущерба информации. К ним относятся угрозы техногенного и организационного характера. Сдерживающим фактором является наличие современных и надежных специализированных средств обеспечения безопасности.

К блоку №4 относятся угрозы информационной безопасности ЦОД, обладающие достаточным потенциалом и возможностями для преодоления первого барьера защиты (контур защиты специализированных средств безопасности). Здесь сдерживающим фактором является система обеспечения информационной безопасности ЦОД.

Метод формирования системы обеспечения информационной безопасности центра обработки данных кредитной организации можно представить следующим образом:

1. Проведение предварительного внешнего аудита.

2. Разработка стратегии и планов по поэтапному выстраиванию СОИБ.

На основании сведений о текущем уровне соответствия, полученных в результате аудита/самооценки, руководство организации получает возможность оценить степень затратности проекта по выстраиванию СОИБ и общие сроки достижения необходимого уровня соответствия.

3. Проведение оценки рисков Ж.

Оценка рисков ИБ позволяет определить необходимые защитные меры по обработке рисков в отношении ценных информационных активов организации. Проведение всех последующих мероприятий будет либо невозможно, либо малоэффективно, если не будет проведена оценка рисков ИБ.

4. Создание инфраструктуры ИБ (политики, персонал, процессы).

Эффективное обеспечение ИБ возможно только за счет построения

инфраструктуры ИБ, представляющей собой совокупность документированных политик и моделей возможных угроз, персонала соответствующих служб, а также организационных процессов по управлению и контролю ИБ.

5. Внедрение необходимых защитных мер.

Защитные меры (организационного, физического и технического характера), выбранные на основании результатов оценки рисков ИБ, должны быть установлены, проверены и введены в эксплуатацию.

6. Мониторинг инцидентов и оценки эффективности.

После того как создана инфраструктура ИБ и внедрены необходимые защитные меры под руководством ответственных лиц, должен вестись сбор данных, анализ и отчетность по результатам мониторинга инцидентов ИБ.

7. Реализация корректирующих мероприятий.

Корректирующие мероприятия по оптимизации и повышению эффективности СОИБ должны периодически инициироваться и подтверждаться руководством организации в рамках проведения регулярных совещаний специально созданного для этих целей комитета по ИБ.

Вместе с этим в третьей главе рассмотрены и проанализированы основные возможные методы построения системы обеспечения информационной безопасности центра обработки данных кредитных организаций. Представлены преимущества и недостатки указанных методов.

Заключение

В работе получены следующие основные результаты:

1. Проведено исследование в определении степени потребности актива в свойстве безопасности.

2. Разработаны требования и рекомендации к формированию политики информационной безопасности кредитной организации.

3. Разработана модель угроз нарушения свойств безопасности.

4. Разработан алгоритм расчета значимости угрозы ИБ.

5. Разработан метод и модель формирования системы обеспечения информационной безопасности центра обработки данных кредитной организации кредитной организации.

Список публикаций но теме работы

1. Згурский A.C. Комплексное обеспечение безопасности кредитных организаций // Актуальные проблемы гуманитарных и естественных наук. Выпуск №5. - Москва, 2010. - С. 35-37

2. Корбаинова Е.В., Згурский A.C. Использование иммунных алгоритмов в организации систем защиты информации // Сборник тезисов VIII Всероссийской межвузовской конференции молодых ученых. Выпуск №1. — СПб: СПбГУ ИТМО,2011.-С. 132-133

3. Згурский A.C., Корбаинова E.B. Система обеспечения информационной безопасности кредитных организаций. Метод создания политики информационной безопасности // Сборник тезисов VIII Всероссийской межвузовской конференции молодых ученых. Выпуск №1. - СПб: СПбГУ ИТМО, 2011. - С. 162-163

4. Корбаинова Е.В., Згурский A.C. Определение основных характеристик модели защиты информации, основанной на иммунных принципах // Сборник статей XI конференции «Фундаментальные и прикладные исследования, разработка и применение высоких технологий в промышленности». Том №1 -СПб, 2011.-С. 114-116.

5. Згурский A.C., Корбаинова Е.В. Определение концепции и главных целей комплексной системы обеспечения безопасности кредитных организаций // Сборник статей XI конференции «Фундаментальные и прикладные исследования, разработка и применение высоких технологий в промышленности». Том №1 -СПб, 2011, С. - 107-109.

6. Згурский A.C., Корбаинова Е.В. Алгоритм оценки степени потребности информационного актива в свойствах безопасности // Научно-технический вестник Поволжья, Том №2 - Казань, 2011, С. - 95 -98.

7. Згурский A.C., Корбаинова Е.В. Определение степени потребности активов центра обработки данных кредитной организации в свойствах безопасности // Научно-технический вестник Поволжья, Том №3 - Казань, 2011, С. - 119 -122.

8. Згурский A.C., Корбаинова Е.В. Метод сохранения идентифицирующей угрозу информации в детекторную память // Научно-технический вестник Поволжья, Том №4 - Казань, 2011, С. - 179 -182.

9. Згурский A.C. Требования и рекомендации к формированию политики информационной безопасности кредитных организаций Российской Федерации // Актуальные проблемы гуманитарных и естественных наук. Выпуск №6. -Москва, 2011, С.-28-30.

10. Згурский A.C. Основные угрозы и источники-субъекты угроз информационной безопасности кредитных организаций Российской Федерации

// Сборник тезисов седьмой международной научно-практической конференции «Современные проблемы гуманитарных и естественных наук». Москва, 2011, -С. 58-59.

11. Згурский A.C. Корбаинова Е.В. Определение уровня уязвимости и оценка влияния свойства безопасности актива на деятельность центра обработки данных // Проблемы информационной безопасности. Компьютерные системы. Выпуск №3, - СПб, 2011,- С. 48-53.

Подписано в печать 05.10.20П. Формат 60x90/16 Бумага офсетная. Усл. печ. л. 1,5 Тираж 100 экз. Заказ 464

Отпечатано в типографии «Адмирал»

199048, Санкт-Петербург, В.О., 6-я линия, д. 59 корп. 1, оф. 40Н

Оглавление автор диссертации — кандидата технических наук Згурский, Антон Сергеевич

Перечень сокращений.

Введение.

Глава 1. Методологические основы построения системы обеспечения информационной безопасности кредитных организаций.

1.1 Обеспечение информационной безопасности. Понятие и структура.

1.2 Понятие и основные задачи центра обработки данных.

1.3 Система обеспечения информационной безопасности

1.4 Модель информационной безопасности. Понятие, назначение, обзор существующих.

Глава 2. Политика информационной безопасности кредитных организаций. Основные аспекты, направленность и применение.

2.1 Основные аспекты и направленность.

2.2Анализ и определение угроз защищаемым ресурсам кредитной организации.

2.3 Подход к оценке степени потребности актива в свойстве безопасности. Критерии оценки.

2.4. Анализ существующих методов формирования системы обеспечения,-информационной безопасности центра обработки данных.70'

Глава 3.Метод и модель формирования системы обеспечения информационной безопасности центра обработки данных кредитных организаций Российской Федерации.

3.1 Метод формирования системы обеспечения информационной безопасности.

3.2Алгоритм расчета значимости угроз информационной безопасности. Модель системы обеспечения информационной безопасности центра обработки данных кредитных организаций.

Введение 2011 год, диссертация по информатике, вычислительной технике и управлению, Згурский, Антон Сергеевич

Актуальность темы диссертационного исследования.

На современном этапе развития российской государственности ключевое значение приобретают региональные проблемы ее безопасности. Понятие «региональная экономическая безопасность» можно трансформировать в понятие «устойчивость социально-экономической ситуации в регионе». В свою очередь, устойчивость региональной экономики в значительной мере базируется на устойчивости банковской системы и обеспечении ее безопасности.

Основной целью системы информационной безопасности кредитной организации является предотвращение ущерба интересам кредитной организации за счет хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утраты, утечки, искажения и уничтожения информации, нарушения работы технических средств обеспечения деятельности кредитной организации, включая и средства информатизации, а также ущерба персоналу.

Деформации экономических отношений стали главной причиной роста криминальных явлений в финансово-кредитной сфере, которые стали наиболее опасными для общества из-за особого места «кровеносной системы» в экономике государства.

Криминализация банковской сферы развивается в следующих формах:

- хищение денежных средств банков с помощью различных мошеннических операций;

- использование банков в незаконных операциях представителями различных органов государственной власти;

- отмывание «грязных» капиталов через банковские операции.

Обеспечение безопасности кредитной организации включает в себя:

- физическую безопасность, под которой понимается обеспечение защиты от посягательства на жизнь персонала и клиентов банка; экономическую безопасность банка;

- экономическую безопасность банка;

- информационную безопасность банка;

- материальную безопасность банка.

Выделяют три основные составляющие проблемы обеспечения безопасности: правовая защита, организационная защита, программно-техническая. Вопрос обеспечения безопасности электронных технологий расчетов является одним из наиболее важных для финансово-платежной системы страны, так как любая дестабилизация в деятельности системы расчетов может привести к серьезному сбою работы всего государственного экономического механизма. В этой связи принимаемые меры и средства защиты должны охватывать технологический процесс совершения электронных

Г I расчетов в целом. Все подсистемы и средства автоматизации,' телекоммуникации и информационной безопасности должны устойчиво и безопасно функционировать в рамках технологического процесса совершения электронных расчетов [38].

Огромное внимание должно уделяться защите банковской информации. Банковская тайна - это особый правовой режим, не сводимый ни к одному другому правовому режиму информации, например, режиму коммерческой тайны.

Система мероприятий по обеспечению сохранения конфиденциальной информации должна предусматривать не только уровни защиты, обеспечивающие физическую сохранность документов, но также и защиту этой информации, находящейся в ЭВМ и в других технических средствах, от несанкционированного доступа, ее искажения и уничтожения.

В системе мер обеспечения безопасности банковской системы большое значение придается технической укрепленности, оснащению комплексами инженерно-технических средств охраны, включающими в себя системы контроля управления доступом, системы охранно-пожарной сигнализации, телевизионной охраны и наблюдения, защиты речевых сообщений, сбора и обработки информации, а также средства оперативной связи. Немаловажную роль в системе обеспечения безопасности кредитной организации играют сотрудники банковского сектора. По вопросам обеспечения безопасности банковского персонала дать какие-либо рекомендации не представляется возможным, так как каждая угроза в отношении сотрудника банка исходя из складывающейся обстановки требует принятия очень широкого спектра мер. В связи с этим с руководством и сотрудниками банка постоянно должна вестись работа профилактического характера под девизом «Правильное поведение - гарантия безопасности». Цель этих мероприятий - обратить их внимание на обеспечение собственной безопасности и безопасности членов их семей, подготовить их к действиям в случае возникновения экстренной ситуации (ограбления, похищения, вымогательства и др.).

Одной из наиболее важных проблем, связанных с обеспечением банковской безопасности, является противодействие легализации преступно полученных капиталов и криминализации сферы функционирования кредитно-финансовых структур.

Вхождение России в мировое экономическое сообщество потребовало уделить этой проблеме самое серьезное внимание и, прежде всего, со стороны банковских структур. Большое значение для защиты банковской системы Российской Федерации от проникновения преступных капиталов и обеспечения V ее авторитета и стабильности имели разработанные Банком России 6

Методические рекомендации по вопросам организации работы по предотвращению проникновения доходов, полученных незаконным путем, в банки и иные кредитные организации», в которых был учтен опыт ведущих стран мира и рекомендации Специальной финансовой комиссии. Одним из основных стратегических направлений является объединение усилий всех заинтересованных организаций на создание системы раннего оповещения банковского сообщества о наиболее опасных схемах финансового мошенничества и иных угрозах ресурсам банков. При этом объединение усилий негосударственного банковского сообщества и государственной правозащитной системы основано на совпадении целей их деятельности [7].

Цель диссертационной работы.

Целью диссертационной работы является разработка метода и модели формирования системы обеспечения информационной безопасности центра обработки данных кредитной организации. Задачи исследования.

Поставленная цель достигается решением следующих основных задач:

1. Анализ состояния обеспечения информационной безопасности банковских информационных ресурсов.

2. Анализ банковских объектов информационных ресурсов, подлежащих защите от потенциальных угроз.

3. Разработка общей модели угроз информационной безопасности кредитной организации.

4. Разработка метода и модели формирования системы обеспечения информационной безопасности центра обработки данных кредитной организации.

В соответствии с целями и задачами диссертационной работы определены ее предмет и объект.

Объект и предмет диссертационной работы.

Объектом диссертационной работы является система обеспечения информационной безопасности кредитных организаций. Предмет исследования - метод и модель формирования системы обеспечения информационной безопасности центра обработки данных кредитной организации.

Методологическая основа исследования.

Методологической основой исследования являются труды отечественных и зарубежных ученых и специалистов по информационной безопасности, нормативные документы Банка России, энциклопедическая и справочная литература, материалы периодической печати, а также опыт организации работы по обеспечению безопасности банковских учреждений Санкт-Петербурга.

Научная новизна.

Научная новизна результатов, полученных автором, заключается в следующем:

1. Раскрытие понятия системы обеспечения информационной безопасности кредитной организации, определения ее составных частей и элементов, исходя из анализа объектов, подлежащих защите от внешних и внутренних угроз.

2. Разработаны модели угроз информационной безопасности кредитной организации.

3. Разработан алгоритм расчета значимости угроз информационной безопасности.

4. Разработан метод формирования системы обеспечения информационной безопасности центра обработки данных кредитных организаций Российской Федерации.

5. Разработана модель системы обеспечения информационной безопасности центра обработки данных кредитных организаций Российской Федерации.

Практическая значимость работы.

Предложенные методы и результаты диссертационной работы повышают уровень безопасности и расширяют возможности по обнаружению и предотвращению угроз информационной безопасности кредитных организаций.

Практическая значимость работы состоит в возможности использования и применения кредитными организациями сформулированных в диссертационной работе понятий и результатов исследования.

Материалы диссертации используются при разработке методических материалов и нормативной документации банковскими учреждениями Санкт-Петербург, а также в учебном процессе Кафедры мониторинга и прогнозирования информационных угроз Санкт-Петербургского национального исследовательского университета информационных технологий, механики и оптики (далее - СПбНИУ ИТМО).

Апробация работы.

Основные положения диссертации докладывались на научно-практических конференциях СПбНИУ ИТМО и других научно-практических конференциях России. Отдельные теоретические и практические положения работы используются в учебном процессе кафедры «Мониторинга и прогнозирования информационных угроз» СПбНИУ ИТМО, на курсах переподготовки специалистов служб безопасности и защиты информации кредитных организаций Российской Федерации (2009, 2010, 2011) и при. разработке нормативной документации банковских учреждений Российской Федерации.

Заключение диссертация на тему "Метод и модель формирования системы обеспечения информационной безопасности центра обработки данных кредитных организаций Российской Федерации"

Выводы

В работе получены следующие основные результаты:

1. Проведено исследование в определении степени потребности актива в свойстве безопасности.

2. Предложен метод оценки степени потребности актива в актуальном свойстве безопасности.

3. Разработаны требования и рекомендации к формированию политики информационной безопасности кредитной организации.

4. Разработана модель угроз нарушения свойств безопасности.

5. Разработан алгоритм расчета значимости угрозы ИБ.

6. Разработан метод и модель формирования системы обеспечения информационной безопасности центра обработки данных кредитной организации кредитной организации.

Заключение

В диссертационной работе представлены методологические основы построения системы обеспечения информационной безопасности кредитных организаций. Рассмотрены роль и место информации и информационных технологий в современной жизни, безопасность национальных интересов в информационной сфере.

Проанализированы причины возникновения угроз информационной безопасности. Рассмотрено современное состояние исследований и разработок в области определения моделей информационной безопасности, приведены примеры таких моделей.

Основную роль в методе разработки системы обеспечения информационной безопасности играет модель информационной безопасности (модель нарушителя ИБ, модель угроз нарушения свойств безопасности ресурсов кредитной организации, модель политики безопасности). Целью этой модели является выражение сути требований по безопасности к определенной системе.

В работе определено понятие центра обработки данных, сформулированы определение и основные этапы и объекты обеспечения информационной безопасности ЦОД, рассмотрен вопрос формирования политики информационной безопасности кредитных организаций, ее направленность и аспекты.

В диссертационном исследовании представлены метод и модель формирования системы обеспечения информационной безопасности ЦОД кредитной организации. Для формирования наиболее полной и надежной системы обеспечения информационной безопасности ЦОД кредитной организации сформированы модели угроз нарушения свойств безопасности:

- информационных активов ЦОД;

- физических активов ЦОД;

- технических активов ЦОД.

Библиография Згурский, Антон Сергеевич, диссертация по теме Методы и системы защиты информации, информационная безопасность

1. Гражданский кодекс Российской Федерации.

2. Уголовный кодекс Российской Федерации.

3. Федеральный закон Российской Федерации «Об информации, информатизации и защите информации» № 24-ФЗ от 20.02.95 г.

4. Федеральный закон Российской Федерации «О банках и банковской деятельности» №395- 1 (ред. от 08.07.99 г.) от 02.12.90 г.

5. Федеральный закон Российской Федерации «О персональных данных» № 152-ФЗ (ред. От 04.06.2011 г.) от 27.07.2006 г.

6. Федеральный закон Российской Федерации «О безопасности» №2446-1 (с изменениями от 26.06.2008 г.) от 05.03.92 г.

7. Доктрина информационной безопасности Российской Федерации. Указ Президента РФ № 1895 от 09.09.2000 г. //Российская газета. 2000.

8. Приказ Центрального банка Российской Федерации «О введении в действие Временных требований по обеспечению безопасности технологий обработки электронных платежных документов в системе Центрального банка Российской Федерации» №02-144 от 03.04.97 г.

9. Приказ Центрального банка Российской Федерации «О вводе в действие «Основных направлений политики информационной безопасности Банка России» №ОД-103 от 06.03.2006 г.

10. ГОСТ 34.601-90 Автоматизированные системы. Стадии создания. М. : ИПК Издательство стандартов, 1992.

11. ГОСТ 34.201-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначениедокументов при создании автоматизированных систем. М. : ИПК Издательство стандартов, 2002.

12. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы воздействующие на информацию. М.: Издательство стандартов, 2006.

13. Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения СТО БР ИББС-1.0-2010», от 21.06.2010г. -М. 2010.

14. Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007», от 01.05.2017 г. -М. 2007.

15. Международный стандарт ISO/IEC 27006:2007 «Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью».

16. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России 15.02.2008 г.

17. Руководящий документ. □ Средства вычислительной техники. □ Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации от 30.03.1992 г.

18. Белкин П.Ю., Михальский О.О., Першаков A.C. Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных. Учеб. пособие для вузов, М: Радио и связь, 2000.

19. Бичуяров Т.А. / под ред. Л.Г. Осовецкого Безопасность корпоративных сетей. СПб: СПб ГУ ИТМО, 2004.

20. Бойцев О.М. Защити свой компьютер от вирусов и хакеров. СПб.: Питер, 2009.

21. Веитцель Е.С., Овчаров JI.A. Теория вероятностей и ее инженерные приложения: Учебное пособие для вузов / Зе изд., перераб. и доп. - М. : Издательский центр «Академия», 2003 г.

22. Вентцель Е.С. Теория вероятностей. Учеб. для вузов М.: Высшая школа, 1999 г.

23. Вихорев C.B., Кобцев Р.Ю. Как узнать откуда напасть, или откуда исходит угроза безопасности информации СПб. : Конфидент, 2002.

24. Гамза В.А., Ткачук И.Б. Безопасность коммерческого банка: Учебное пособие М. : издатель Шумилова И.И., 2000 г.

25. Гамза В., Ткачук И. Концепция банковской безопасности: структура и содержание // Аналитический банковский журнал, № 5 с. 2002 г.

26. Гамза В., Ткачук И. Безопасность банковской деятельности М. : Маркет ДС, 2006 г.

27. Герасименко В.А., Малюк A.A. Основы защиты информации. М.: 1997 г.

28. Губенков A.A., Байбурин В.Б. Информационная безопасность. М.: ЗАО «Новый издательский дом», 2005 г.

29. Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности. М.: Радио и связь, 2000г.

30. Деднев М.А., Дыльнов Д.В., Иванов М.А. Защита информации в банковском деле и электронном бизнесе. М. : КУДИЦ-Образ, 2004 г.

31. Дидюк Ю.Е. Методика выбора средств защиты информации в автоматизированных системах / Радиотехника и системы связи, вып. 4.3, 2003 г.

32. Домарев B.B. Защита информации и безопасность компьютерных систем. -К.: Издательство «Диа-Софт», 1999 г.

33. Ерохин С.С. Модель нарушителей для информационных систем электронной коммерции. Научная сессия ТУСУР — 2009: Материалы докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых, Томск 12-15 мая 2009 г.

34. Ефимов П. Концепция обеспечения безопасности информационных технологий. //Банковское дело. —№ 7, 1995 г.

35. Жигулин Г.П. Прогнозирование устойчивости субъекта информационного взаимодействия. -СПб.: СПбГУ ИТМО, 2006 г.

36. Жигулин Г.П. Информационная война и информационная безопасность. СПб: СПб ГИТМО (ТУ), 2002 г.

37. Жигулин Г.П., Новосадов С.Г., Яковлев А.Д. Информационная безопасность. СПб: СПб ГИТМО (ТУ), 2003 г.

38. Забелин П.В. Информационная безопасность Российского государства: социально-политические и социально-культурные проблемы. М.: Грошев-Дизайн, 2001 г.

39. Зегжда Д.П., Ивашко A.M. Как построить защищенную информационную систему. Технология создания безопасных систем. 4.2. СПб.: Мир и семья, 1998 г.

40. Згурский A.C. Комплексное обеспечение безопасности кредитных организаций // Актуальные проблемы гуманитарных и естественных наук. Выпуск №5. м.: 2010 г.

41. Згурский A.C., Корбаинова Е.В. Система обеспечения информационной безопасности кредитных организаций. Метод создания политики информационной безопасности // Сборник тезисов VIII

42. Всероссийской межвузовской конференции молодых ученых. Выпуск №1. -СПб: СПбГУ ИТМО, 2011 г.

43. Згурский A.C., Корбаинова Е.В. Алгоритм оценки степени потребности информационного актива в свойствах безопасности // Научно-технический вестник Поволжья, Том №2 К., 2011 г.

44. Згурский A.C., Корбаинова Е.В. Определение степени потребности активов центра обработки данных кредитной организации в свойствах безопасности // Научно-технический вестник Поволжья, Том №3 К., 2011 г.

45. Згурский A.C. Требования и рекомендации к формированию политики информационной безопасности кредитных организаций Российской Федерации // Актуальные проблемы гуманитарных и естественных наук. Выпуск №6. М., 2011 г.

46. Згурский A.C. Корбаинова Е.В. Определение уровня уязвимости и оценка влияния свойства безопасности актива на деятельность центра обработки данных // Проблемы информационной безопасности. Компьютерные системы. Выпуск №3, СПб., 2011 г.

47. Зубик В.Б. и другие. Экономическая безопасность предприятия (фирмы). Минск: «Вышэйшая школа», 1998 г.

48. Иванов В.П. Иванов A.B. К вопросу о выборе технических средств защиты информации от НСД / Защита информации. INSIDE. №1, 2006 г.

49. Калугин Н.М., Кудрявцев A.B., Савинская H.A. Банковская коммерческая безопасность : Учебное пособие.-СПб.:СПбГИЭУ, 1996 г.

50. Куранов А. К вопросу о защите коммерческой тайны. // Банки и технологии. Вып. № 1, 1998 г.

51. Курило А.П. Вопросы укрепления безопасности банковской системы в современных условиях.-Материалы учебно-практической конференции «Актуальные проблемы безопасности банковского дела в условиях финансового кризиса», М., 1999 г.

52. Малюк A.A. Информационная безопасность: концептуальные и методолоические основы защиты информации. Учебное пособие для вузов, М., 2004 г.

53. Малюк A.A., Пазизин C.B., Погожин Н.С. Введение в защиту информации в автоматизированных системах: Учебное пособие для вузов. 2-е изд М.: Горячая линия — Телеком, 2004 г.

54. Минько A.A. Статистический анализ в MSExcel. M. : Издательский дом «Вильяме», 2004 г.

55. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. М. : «Радио и связь», 2011 г.

56. Стрельченко Ю.А. Обеспечение информационной безопасности банков: Методическое пособие. М.: ИПКИР, 2004 г.

57. Цирлов B.JI. Основы информационной безопасности автоматизированных систем. Феникс, 2008 г.

58. Черенков В.Е. Современные направления и механизмы обеспечения экономической безопасности банковской системы России. М. : БФ ОРАГС, 2006 г.

59. Чижиков В.Д. Эффективность функционирования информационного центра технического вуза / В.Д. Чижиков; под. ред: Е.А. Карева. Ул.: УлГТУ, 2006г.

60. Щербаков А.Ю. К вопросу о гарантированной реализации политики безопасности в компьютерной системе. Безопасность информационных технологий. Вып. № 1, 1997 г.

61. Ярочкин В.И. Безопасность банковский систем. -М.: Ось-89, 2004 г.

62. Ярочкин, В.И., Бузанова, Я.В. Аудит безопасности фирмы: теория и практика : учеб. пособие для вузов. М.: Академический Проект; Королев: Парадигма, 2005 г.

63. Сайт Центрального банка Российской Федерации www.cbr.ru.

64. Сводная энциклопедия «Википедия». (http://ru.wikipedia.org).