автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Методические и программные средства анализа информационных рисков в деятельности органов государственного управления

ии>344835Э

На правах рукописи

' /

УДК 004.056.52

ЛЫСОВ Александр Сергеевич

МЕТОДИЧЕСКИЕ И ПРОГРАММНЫЕ СРЕДСТВА АНАЛИЗА ИНФОРМАЦИОННЫХ РИСКОВ В ДЕЯТЕЛЬНОСТИ ОРГАНОВ ГОСУДАРСТВЕННОГО УПРАВЛЕНИЯ

Специальность 05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Тюмень 2008 0 2 ОКТ 2008

003448359

Работа выполнена в Тюменском государственном университете (ТюмГУ) и Томском государственном университете систем управления и радиоэлектроники (ТУСУР)

Научный руководитель — доктор технических наук профессор

Захаров Александр Анатольевич

Официальные оппоненты доктор технических наук профессор

Ведущая организация — Государственное образовательное

Защита состоится 23 октября 2008 г в 16 30 часов на заседании диссертационного совета Д 212 268 03 Томского государственного университета систем управления и радиоэлектроники по адресу 634050, г Томск, пр Ленина, 40, аудитория 203

С диссертацией можно ознакомиться в библиотеке Томского государственного университета систем управления и радиоэлектроники по адресу 634034, г Томск, пр Вершинина, 74

Мицель Артур Александрович (ТУСУР)

кандидат физико-математических наук доцент Афонин Геннадий Иванович (НИИ прикладной математики и механики при Томском государственном университете)

учреждение высшего профессионального образования «Уральский государственный университет путей сообщения»

Автореферат разослан

сентября 2008 г

Ученый секретарь диссертационного совета, к т н доцент

Р В Мещеряков

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность исследования. Реализация прогрессивного потенциала информатизации в политической, экономической, социальной и культурной сферах невозможна без внедрения новых информационных технологий в государственный сектор Одним из сдерживающих факторов в процессе совершенствования государственного управления на основе информационно-технологических инноваций является масштабное возникновение угроз информационной безопасности

Основные организационные и технические требования к обеспечению информационной безопасности заложены в Федеральном законе от 27 07 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», ГОСТе Р ИСО/ МЭК 15408-2002 и руководящих документах ФСТЭК России Нормативные правовые документы, регулируют ключевые аспекты деятельности по обеспечению информационной безопасности, акцентируя внимание на необходимости проведения отдельных мероприятий Однако .¿то не решает всего комплекса практических задач, связанных с защитой информации в конкретных ситуациях с учетом специфики деятельности органов государственного управления

В работах отечественных исследователей проблематики информационной безопасности (А А Грушо, П Д Зегжда, А А Ма-люк, А А Стрельцов, А А Шелупанов) отмечается необходимость и актуальность системного подхода к защите информации, обеспечивающего обоснованность, целостность и последовательность реализуемых мер, их максимальную эффективность

Важными аспектами создания эффективной системы деятельности по защите информации являются определение информационных активов и инфраструктуры, а также выбор необходимых мер по обеспечению информационной безопасности Это возможно на основе анализа информационных рисков

Другим аспектом оптимизации деятельности по защите информации является определение информационных потоков и алгоритмов, построение модели деятельности по обеспечению информационной безопасности Таким образом, создаются условия для автоматизации ряда функциональных элементов деятельнос-

ти по защите информации, т е реализации требований к информационной безопасности в виде программного комплекса Использование такого программного комплекса позволит специалистам подразделений по защите информации эффективно управлять задачами поддержания режима конфиденциальности (секретности), вести мониторинг состояния информационных ресурсов, их целостности и доступности, а также осуществлять контрольные мероприятия

В условиях динамичного развития информационных технологий, их усложнения и возникновения новых угроз информационной безопасности решающим фактором обеспечения информационной безопасности становится эффективная деятельность по защите информации

В настоящее время ощущается острый дефицит научно обоснованных методик и систем показателей для оценки эффективности этой деятельности, позволяющих оценить экономическую целесообразность инвестиций в информационную безопасность

Учитывая ключевое значение деятельности по защите информации в органах государственного управления, задачи анализа информационных рисков прямо связанны с построением надежных и защищенных систем информационной безопасности национальных информационных ресурсов

Объект исследования — информационные риски в деятельности органов государственного управления

Предмет исследования — методические и программные средства анализа информационных рисков в деятельности органов государственного управления

Цель исследования — разработка научно обоснованной методики и автоматизированной программы анализа информационных рисков в деятельности органов государственного управления Задачи исследования Достижение цели исследования потребовало решения следующих задач

1 Провести анализ и обобщить информационные риски в деятельности органов государственного управления

2 Разработать научно обоснованную методику анализа информационных рисков в деятельности органов государственного управления

3 Сформулировать методику автоматизации деятельности по защите информации в органах государственного управления

4 Разработать и апробировать программный комплекс автоматизации деятельности по защите информации, включающий анализ информационных рисков в деятельности органов государственного управления

5 Определить показатели оценки эффективности деятельности по защите информации в органах государственного управления и оценить эту деятельность

Методы исследования. Для решения поставленных задач использовались методы системного анализа, теории вероятностей и теории множеств При разработке программного комплекса использовались методы объектно-ориентированного программирования

Основные положения, выносимые на защиту

1 Методика анализа информационных рисков

2 Программный комплекс автоматизации деятельности по защите информации в органах государственного управления

3 Показатели оценки эффективности деятельности по защите информации в органах государственного управления

Научная новизна работы заключается в следующем

— разработанная методика анализа информационных рисков отличается от аналогов тем, что позволяет выполнять проверку согласованности результатов оценки рисков на основе метода анализа иерархий,

— разработанный способ получения экспертных оценок отличается тем, что позволяет добиваться более точных результатов при его использовании экспертами разной квалификации за счет применения метода парных сравнений,

— предложенный набор показателей оценки эффективности деятельности по защите информации в органах государственного управления позволяет обосновать необходимость инвестиций в информационную безопасность

Практическая значимость работы. Разработанный программный комплекс автоматизации деятельности по защите информации, основывающийся на методике анализа информационных рисков, позволяет повысить эффективность деятельности по защите информации в органах государственного управления

Методика анализа информационных рисков может быть использована для определения необходимых мер по обеспечению информационной безопасности в любой организации, где необходимо выполнять проверку согласованности результатов оценки рисков и существует потребность максимально упростить процесс оценки рисков

Внедрение результатов диссертации. Программный комплекс автоматизации деятельности по защите информации, реализующий также методику анализа информационных рисков, внедрен в главном военно-мобилизационном управлении Тюменской области

Методика анализа информационных рисков используется в учебном процессе Она включена в лабораторный практикум «Анализ информационных рисков в небольшой организации» кафедры информационной безопасности Тюменского государственного университета и используется при изучении дисциплины «Управление рисками» кафедры комплексной информационной безопасности электронно-вычислительных систем Томского государственного университета систем управления и радиоэлектроники

Достоверность положений и выводов исследования подтверждена положительными результатами эксперимента и внедрения программного комплекса автоматизации деятельности по защите информации органов государственного управления

Апробация работы. Основные положения диссертационного исследования были представлены на следующих конференциях, конкурсах и семинарах

— научных семинарах кафедры информационной безопасности (Тюмень, 2005, 2006, 2007, ТюмГУ),

— 6-м Всероссийском конкурсе студентов и аспирантов «51В1ЫРО-2006» (Томск, 2006, ТУСУР),

— Международной научно-практической конференции «Безопасность информационного пространства» (Екатеринбург, 2006, УрГУПС),

— 8-й Международной научно-практической конференции «Информационная безопасность» (Таганрог, 2006, Таганрогский государственный радиотехнический университет),

— Всероссийской научно-практической конференции «Научная сессия ТУСУР-2007» (Томск, 2007, ТУСУР),

— 4-й Международной научно-практической конференции «Исследование, разработка и применение высоких технологий в промышленности» (Санкт-Петербург, 2007, ИОА СО РАН),

— 2-й Международной научной конференции «Современные информационные системы, проблемы и тенденции развития» (Туапсе, 2007, Харьковский национальный университет радиоэлектроники),

— 4-й Международной научно-практической конференции «Электронные средства и системы управления Опыт инновационного развития» (Томск, 2007, ТУСУР),

— IEEE семинарах кафедры КИБЭВС «Интеллектуальные системы моделирования, проектирования и управления» (Томск, 2007, ТУСУР)

Результаты диссертационного исследования обсуждались на заседаниях кафедры информационной безопасности Тюменского государственного университета и кафедры КИБЭВС Томского государственного университета систем управления и радиоэлектроники

Публикации. Основные положения диссертации опубликованы в 4 статьях (из них 2 статьи в журналах из списка ВАК) и 6 тезисах докладов на конференциях

Объем и структура диссертационной работы. Диссертация состоит из введения, четырех глав, заключения и списка литературы Основной текст диссертационной работы изложен на 152 страницах и включает 25 рисунков и 10 таблиц Список литературы содержит 133 источника, в том числе 34 на иностранном языке Объем приложений составляет 11 страницы

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность диссертационной работы, определяются цель и задачи исследования, формулируются основные положения, выносимые на защиту, научная новизна и практическая ценность

В первой главе выполнено исследование деятельности по защите информации органов государственного управления

Диссертантом была исследована деятельность по защите информации в органах государственного управления и сформулированы следующие особенности этой деятельности

— на данный момент не производится оценка уровня безопасности используемых информационных технологий и отсутствует определение необходимых упреждающих мер по защите информации,

— не автоматизирована деятельность по регистрации документов учета информационных ресурсов, документов по аттестации объектов информатизации, документов по сертификации средств защиты и т д,

— не автоматизирована деятельность по контролю наличия вышеперечисленных документов,

— большинство сотрудников подразделений по защите информации (экспертов) не являются техническими специалистами и при использовании методов экспертных оценок могут давать невалидные данные,

— распределенная инфраструктура подразделений по защите информации (региональные отделения, где находятся объекты информатизации и обрабатывается конфиденциальная информация, которую необходимо защищать, и центральное отделение, осуществляющее функции контроля над выполнением требований по защите информации региональными отделами),

— большинство подразделений по защите информации в органах государственного управления не имеют защищенных каналов связи до центрального отделения для передачи информации о документах, поэтому для целей обмена информацией все еще используются аттестованные сменные носители

На основании моделирования деятельности по защите информации определены основные информационные потоки, позволяющие в дальнейшем создать методику автоматизации этой деятельности

В результате произведенного исследования способов оценки эффективности защиты информации в организациях обозначены источники информации для определения параметров оценки эффективности деятельности по защите информации

Вторая глава посвящена исследованию задачи анализа информационных рисков в органах государственного управления

На основании сформулированной задачи анализа информационных рисков в органах государственного управления были определены основные требования к средствам анализа рисков

— простота использования (субъективная характеристика),

— возможность проверки точности ответов экспертов, выполняющих оценку рисков,

— учет информационных ресурсов и служб,

— возможность подстройки методики под специфику организации

Для решения задачи анализа информационных рисков было выполнено сравнение уже существующих средств анализа информационных рисков с целью определения возможности их применения в органах государственного управления Результаты сравнения методик, используемых в средствах анализа рисков, представлены в табл 1

На основании сравнения методик анализа рисков можно сделать вывод, что ни одну из рассмотренных методик нельзя применить для решения задачи анализа информационных рисков в органах государственного управления Это обусловлено тем, что все рассмотренные методики анализа рисков используют методы прямой оценки значений угроз, которые не предоставляют способов проверки точности ответов экспертов Поэтому принято решение разработать методику анализа рисков, учитывающую особенности процесса анализа рисков в органах государственного управления

Вследствие изучения существующих методик анализа рисков было выделено 4 этапа, на которые необходимо разделить

Таблица 1

Характеристики методик анализа рисков

RA2 art of risk Risk Advisor RiskWatch CRAMM АванГард-Аналнз Гриф

Простота использования + + + +/— +/— +

Метод получения данных Прямая оценка вероятности Прямая оценка вероятности Прямая оценка вероятности Прямая оценка вероятности Прямая оценка вероятности Прямая оценка вероятности по 3-м критериям

Возможность подстройки методики — — — Есть профили работы Может выполнять эксперт —

Используемый стандарт по ИБ ISO 17799 AS/NZS 4360 2004 и ISO 17799 Стандарты США и ISO 17799 ISO 17799 ГОСТР ИСО/МЭК ISO 17799

Умет угроз для ресурсов + + + + + +

Учет угроз для служб + — + + + +

процесс анализа рисков Этапы алгоритма методики анализа информационных рисков заключаются в следующем

Нулевой этап (вводный) На начальном этапе оценки рисков учитывается, что для более точной оценки рисков необходимо получать данные оценки от большего количества экспертов Для определения «вклада» ответов конкретного эксперта определим «вес» каждого эксперта, т е степень доверия к ответам эксперта На данном этапе эксперт, выполняющий оценку рисков, должен заполнить данные о себе, чтобы сформировать «вес» Расчет «веса» з-го эксперта производится по следующей формуле

^(¿Х)". (1)

1=0

где}^' — значение компонент веса, для всех значений используется шкала от 0 до 1 Предполагается следующий набор компонент — учет опыта работы в области ИБ,Г5' — учет повышений квалификации в области ИБ,752 — учет связи работы эксперта с управлением инфраструктурой информационных систем, Г53 — учет валидности оценок экспертов региональных отделений субъективно экспертами из центрального отдела

Первый этап (ввод данных об инфраструктуре) Эксперт, выполняющий оценку рисков, указывает существующие классы компонентов, присутствующих в инфраструктуре организации

В соответствии с классификацией перечисляются все существующие ресурсы в организации, эксперт указывает оценки стоимости С, О, К В соответствии с этими характеристиками рассчитывается стоимость ресурсов Нр по следующей формуле

Нр ={и1*С + игхО + игхК)/(их+и1+и1), (2)

где [/,, и2<из — значения весовых коэффициентов, подстраиваемых для каждой организации (от 0 до 1), С — оценка стоимости ущерба для организации при разрушении ресурса, О — оценка стоимости ущерба для организации при недоступности ресурса в течение, например, месяца, К — оценка стоимости ущерба для организации при несанкционированном доступе к ресурсу Все значения стоимостей эксперт оценивает в рублях

Для оценки стоимости служб эксперту необходимо сравнить, насколько значение стоимости данной службы (например, электронной почты) больше или меньше, чем стоимость уже учтенных им ресурсов Таким образом, значение стоимости для каждой службы Нс будет рассчитываться следующим образом

где £ — значение коэффициента, на сколько, стоимость службы больше (меньше) стоимости ресурса

Второй этап (оценка угроз экспертами) Для всех ресурсов и служб, заданных на предыдущем этапе, эксперты оценивают вероятность и ущерб от реализации каждой угрозы Ущерб — это величина потерь, которые понесет организация в случае осуществления угрозы информационной безопасности Вероятность угрозы — возможность осуществления данной угрозы, указанная в условных единицах

С учетом целей разработки методики получение данных о вероятностях угроз и ущербе от них производится не прямыми методами, а на основе метода анализа иерархий для определения суждений эксперта о значении вероятности одной угрозы относительно другой

Значения вероятностей и ущерба от реализации угроз для

данного ресурса могут быть представлены векторами Р для вероятности и V для ущерба При наличии М угроз для данного

ресурса эксперту необходимо оценить отношения для вероятностей угроз по шкале значимости от 1 до 9 (I — вероятность событий р, и р] одинаковы, 9 — вероятность р, угрозы 1 «намного выше», чем вероятность ру угрозы ]), где 1, ] меняются от 1 до М После оценки всех пар отношений для данного ресурса

Hpy.g,ecлu Нс >Н Н„

—-,если Нс <Н . 2

р

(3)

можно

составить матрицу парных сравнений л = (а11)=

/ \ В-

ДЛЯ

определения значений отношений вероятностей угроз

Для_матрицы парных сравнений А вектор значений вероятностей Р можно найти, решив следующее векторное уравнение

АхР = Ат1ХхР, (4)

где— Ят1Х наибольшее собственное значение матрицы, Р—собственный вектор матрицы

Для вычисления значений вектора Р, необходимо сначала найти — наибольшее собственное значение матрицы А Для

этого найдем ненулевое решение уравнения {А-ХЕ)хТ> = 0, где

Е— диагональная единичная матрица А для этого й^А-ХЕ) должен быть равен нулю Поскольку определитель матрицы А-АЕ равен нулю, то для нахождения Ята5 необходимо решить характеристическое уравнение данной матрицы Это может быть сделано с использованием численных методов

Далее при известном значении Ятах вектор вероятностей Р следует искать, решая векторное уравнение (4) Для обеспечения единственности решения необходимо иметь нормализованное решение, и поэтому следует заменить одно из уравнений 2 м п

Р>=~, системы (4) на уравнение

тал *=1

При необходимости расчета значений вектора Р и наибольшего собственного значения Лта без использования численных методов возможно определение приблизительных значений Расчет приблизительных значений собственного вектора Р матрицы парных сравнений и наибольшего собственного значения Атах может быть произведен методами, предложенными Т Саати

Для проверки согласованности полученных результатов следует использовать индекс согласованности (И С) И С будет выражать «близость к согласованности», т е степень отклонения суждений эксперта друг от друга Индекс согласованности рассчитывается по следующей формуле

ИС=Л™~М (5)

М-1 ' у '

где М — количество угроз для данного ресурса Малое значение индекса согласованности (меньше или равное 0,1) свидетельствует о приемлемой степени согласованности суждений эксперта Значение ИС больше 0,1 служит основанием для пересмотра суждений эксперта Для более точной оценки согласованности суждений экспертов автором метода анализа иерархий рекомендуется значение ИС делить на случайный индекс (СИ), определенный экспериментально и зависящий от порядка матрицы парных сравнений

Аналогичным образом происходит вычисление значений ущерба для всех ресурсов, служб и организации в целом

Третий этап (генерация отчетов и рекомендаций) На данном этапе подсчитываются результаты оценки угроз и определяются необходимые меры защиты Для вычисления величины значения риска № для I-го ресурса, службы или организации в целом (1=0) следует воспользоваться методом взвешенной суммы для агрегирования данных субъективных оценок разных экспертов

(б)

где 5 — количество экспертов, принимавших участие в оценке, У,— вес эксперта, определяемый на нулевом этапе, Я,1— значение стоимости данного ресурса, указанное 5-м экспертом, ы!т — значение риска для данного ресурса, определенное 5-м экспертом, рассчитываемое по следующей формуле

м

где М — общее количество учтенных угроз для данного ресурса, у' — величина ущерба, который может быть нанесен компоненту системы при реализации угрозы /, р'— вероятность реализации угрозы / за месяц

Значение риска возможного ущерба, рассчитанное по формуле (6), будет получено в рублях Значения ущерба и вероятности осуществления угроз для каждого компонента системы эксперт определяет для периода времени (например, один месяц), таким образом, можно говорить о риске — величине возможного денежного ущерба для организации в течение месяца

После расчета значений рисков для компонентов (ресурсов и служб) системы выводится информация об общем риске для компонента и рисках отдельных угроз и градация компонент по степени уязвимости в соответствии с этим значением

Завершающий шаг на основании справочника стандарта В БI, определение рекомендованного списка мер по уменьшению рисков угроз информационной безопасности для каждого из компонентов системы и для системы в целом

В целях оценки применимости разработанной методики анализа рисков выполнено экспериментальное сравнение методики с другими средствами анализа информационных рисков По результатам сравнения было установлено, что разработанная методика обеспечивает более высокий уровень точности оценок (среднеквадратичное отклонение как минимум в 2 раза меньше, чем у сравниваемой методики), дает меньший разброс значений рисков для разных групп экспертов, что свидетельствует о возможности получения корректных результатов при использовании экспертами с разной квалификацией

В третьей главе описывается программный комплекс автоматизации деятельности по защите информации органов государственного управления

Диссертантом представлен алгоритм методики автоматизации деятельности по защите информации, составляющей основу программного комплекса

Выполнено описание архитектуры программного комплекса автоматизации деятельности по защите информации Программ-

ный комплекс автоматизации обозначен как система «Security Policy Manager» (SPM) Система «SPM» имеет 2 части центральный модуль, используемый для контроля выполнения требований по защите информации, и региональный модуль, применяемый для учета документов, отражения информации о состоянии защиты информации в органе государственного управления и оценки информационных рисков

Система «SPM» построена на модульной основе Это позволяет производить изменения в одном модуле, не затрагивая работы других модулей Основа системы «SPM» — это модуль учета нормативных документов и выполнения периодических действий по переподготовке кадров и проверке объектов информатизации Остальные функции системы реализованы в следующих модулях «импорт/экспорт данных», «отчеты» и «анализ рисков» Для обеспечения более стабильной и прозрачной работы системы принято решение сохранять всю рабочую информацию в системе управления баз данных, что позволит обеспечить целостность данных, автоматизацию процедур выполнения резервного копирования и процессов синхронизации данных между модулями системы Общая архитектура системы «SPM» представлена на рис 1

-Региональная часть системы—

Модуль учета нормативных документов и выполнения периодических действии

Модуль отчетов

Модуль анализа рисков

СУБД

Модуль импорта / экспорта

N

обмен ч, информацией ,

-Центральная часть системы—

Модуль отчетов

Модуль учета нормативных документов и выполнения периодических действий

Модуль анализа рисков

Модуль импорта / экспорта

СУБД

Рис 1 Архитектура системы «SPM»

На основании сформулированных требований к средствам создания программного комплекса выбран язык Java и интерфейс доступа к СУБД JDBC как наиболее подходящие и гибкие Диссертантом детально описывается работа «центрального модуля» программного комплекса автоматизации, используемо-

го для контроля выполнения требований по защите информации региональными отделами Дается описание работы «регионального модуля» программного комплекса автоматизации, используемого непосредственно для автоматизации деятельности региональных отделов

В четвертой главе произведен анализ эффективности деятельности по защите информации органов государственного управления

Детально рассмотрены описанные в зарубежных рекомендациях и стандартах группы показателей для оценки эффективности защиты информации в организации

На основе анализа существующих рекомендаций по выбору показателей оценки безопасности информации диссертантом выделены 3 группы показателей оценки эффективности защиты информации в органах государственного управления показатели оценки на уровне организации, показатели оценки на уровне персонала и показатели оценки на уровне технических средств Система показателей представлена в табл 2

Таблица 2

Система показателей оценки эффективности деятельности по защите информации

Название показателя Описание Формула расчета Наилучшее значение

Показатели оценки на уровне организации

Процент наличия «общих» документов по защите информации Наличие «общих» для органа гос управления документов Процент наличия документов 100 %

Значение информационного риска для органа гос управления в целом Значение возможных денежных потерь для органа гос управления за период времени Общее значение риска для органа гос управления в рублях, рассчитываемое по методике анализа рисков Меньшее значение

Окончание табл 2

Название показателя Описание Формула расчета Наилучшее значение

Показатели оценки на уровне персонала

Оформлены ли все документы для специалиста по технической защите информации (ТЗИ) Наличие документов о назначение ТЗИ Да/Нет Да

Проходил ли специалист по ТЗИ обучение в последние 3 года Информация о прохождении обучения специалистом по ТЗИ Да/Нет Да

Показатели оценки на уровне технических средств

Усредненное наличие документов по защите информации для ОИ Наличие документов по защите информации для «усредненного» ОИ Процент наличия документов, усредненный для всех ОИ в органе гос управления 100%

Значение информационного риска, усредненное по всем информационным ресурсам и службам Усредненное значение возможных денежных потерь для ресурсов и служб за период времени Усредненное значение риска для ресурсов и служб в рублях, рассчитываемое по методике анализа рисков Меньшее значение

Диссертантом выполнена экспериментальная проверка средств автоматизации деятельности по защите информации органов государственного управления Для этого программный комплекс «БРМ» был внедрен в деятельность подразделений по защите информации и получены значения вышеописанных показателей

Анализ полученных значений показал, что

— наблюдается увеличение значений процента наличия документов на уровне персонала, организационном и техническом уровнях, что свидетельствует о возрастании значений выполненных требований по защите информации,

— наблюдается снижение значения информационного риска как для ресурсов и служб, так и для организации в целом, что свидетельствует об уменьшении величины возможного денежного ущерба вследствие реализации угроз информационной безопасности

Приведенные заключения доказывают, что разработанный программный комплекс автоматизации способствует повышению эффективности деятельности по защите информации в органах государственного управления

В заключении сформулированы основные результаты работы, выводы и определены дальнейшие перспективы данного исследования

ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ

В диссертационном исследовании решены следующие задачи

— сформулированы требования к анализу информационных рисков в органах государственного управления,

— разработана методика анализа информационных рисков в органах государственного управления,

— разработан и апробирован программный комплекс автоматизации деятельности по защите информации органов государственного управления,

— предложена система показателей и выполнена оценка эффективности деятельности по защите информации органов государственного управления

На основании полученных результатов можно сделать следующие выводы

1 Разработана оригинальная методика анализа информационных рисков, учитывающая специфику деятельности органов государственного управления и осуществляющая проверку согласованности ответов экспертов, выполняющих оценку рисков, что обеспечивает получение более точных данных о параметрах угроз

2 Реализован способ получения экспертных оценок на базе метода анализа иерархий, что позволяет добиваться более точных результатов при использовании экспертами разной квалификации Это расширяет область применения методики анализа информационных рисков

3 Способ определения мер по уменьшению рисков угроз информационной безопасности, реализованный в методике анализа рисков, позволяет указывать необходимые практические меры по обеспечению информационной безопасности

4 Разработан программный комплекс автоматизации, позволяет специалистам подразделений по защите информации эффективно управлять задачами поддержания режима информационной безопасности и иметь целостную картину состояния информационной безопасности в органе государственного управления

5 Сформулированные показатели оценки эффективности деятельности по защите информации в органах государственного управления, позволяют отслеживать эффективность процессов защиты информации

6 На основании анализа эффективности деятельности по защите информации, проведенного в нескольких органах государственного управления, подтверждена действенность внедренного программного комплекса автоматизации

ОСНОВНЫЕ ПОЛОЖЕНИЯ ДИССЕРТАЦИИ ОПУБЛИКОВАНЫ В СЛЕДУЮЩИХ РАБОТАХ

1 Лысов, А С Повышения эффективности работы отделов по защите информации // Математическое и компьютерное моделирование Сб науч тр Вып 8 — Тюмень Издательство «Вектор Бук», 2006 г С 121-123

2 Лысов, А С Оценка информационных рисков в государственных учреждениях // Математическое и компьютерное моделирование Сб науч тр Вып 9 Тюмень Издательство «Вектор Бук», 2007 г С 114-118

3 Лысов, А С Методы повышения эффективности работы отделов по защите информации // Информационная безопасность Материалы VIII Международной науч-практ конф — Таганрог ТРТУ, 2006 г с 140 — 141

4 Лысов, А С Архитектура системы автоматизации управления политикой безопасности для государственных учреждений // Безопасность информационного пространства материалы Междунар науч -практ конф — Екатеринбург ГОУ ВПО УрГУПС, 2006 г С 94-95

5 Лысов, А С Методика оценки информационных рисков для государственных учреждений // Научная сессия ТУСУР-2007 Материалы докладов Всерос науч -техн конф студентов, аспирантов и молодых ученых Тематический выпуск «Системная интеграция и безопасность» (Томск, 3-7 мая 2007 г ) — Томск Изд-во «В-Спектр», 2007 Ч 2 С 167-168

6 Лысов, А С Анализ информационных рисков в государственных учреждениях // Современные информационные системы Проблемы и тенденции развития Материалы 2-й Междунар науч конф — Харьков ХНУРЕ, 2007 С 419 — 420

7 Лысов, А С Автоматизация задач документооборота информации по аттестации ОИ и сертификации средств защиты от НСД, в органах государственной власти // Высокие технологии, фундаментальные и прикладные исследования, образование Докл Междунар науч-практ конф —■ Санкт-Петербург, 2007 — С 326-328

8 Лысов, А С Методика автоматизации задач документооборота информации по аттестации ОИ и сертификации средств защиты от НСД // Безопасность информационных технологий № 4 Москва Издательство МИФИ, 2007 г С 55-59

9 Лысов, АС Технология анализа информационных рисков на основе метода анализа иерархий // Вестник Тюменского государственного университета № 5 Тюмень Издательство Тюменского государственного университета, 2007 г С 106-111

10 Лысов, А С Задача автоматизации работы отделов по защите информации в государственных учреждениях // Электронные средства и системы управления Докл Межд науч-практ конф — Томск, 2007 — С 178-180

Подписано в печать 16 09 2008 Тираж 100 экз Объем 1,0 уч изд л Формат 60x84/16 Заказ 712

Издательство Тюменского государственного университета 625000, г Тюмень, ул Семакова, 10 Тел/факс (3452) 46-27-32 E-mail izdatelstvo@utmn ru

Введение.

Глава 1. Исследование деятельности по защите информации в органах государственного управления.

1.1 Содержание деятельности по защите информации.

1.2 Особенности деятельности по защите информации органов государственного управления

1.3 Методы описания деятельности по защите информации.

1.4 Модель «как есть» для деятельности по защите информации органов государственного управления.

1.5 Модель оценки ущерба от реализации угроз безопасности информации.

1.6 Аудит информационной безопасности как способ оценки эффективности деятельности по защите информации.

1.6.1 Аудит безопасности в соответствии с BS 7799, часть 2.

1.6.2 Стандарт CobiT.

1.7 Рекомендации по оценке эффективности деятельности по защите информации.

Выводы.

Глава 2. Анализ информационных рисков в органах государственного управления.

2.1 Задача анализа информационных рисков в органах государственного управления.

2.2 Поиск решения задачи анализа информационных рисков в органах государственного управления.

2.2.1 RA2 art of risk.

2.2.2 Risk Advisor.

2.2.3 RiskWatch.

2.2.4 CRAMM.

2.2.5 Система «АванГард».

2.2.6 Digital Security Office.

2.3 Ключевые особенности разрабатываемой методики анализа информационных рисков для органов государственного управления.

2.4 Алгоритм методики анализа информационных рисков.

2.5 Экспериментальная проверка эффективности разработанной методики анализа информационных рисков.

Выводы.

Глава 3. Программный комплекс автоматизации деятельности по защите информации органов государственного управления.

3.1 Описание методики автоматизации деятельности по защите информации.

3.1.1 Алгоритм методики автоматизации.

3.2 Описание архитектуры программного комплекса автоматизации.

3.2.1 Схемы таблиц, используемых в системе «SPM».

3.3 Критерии выбора средств создания программного комплекса.

3.4 Центральный модуль программного комплекса автоматизации.

3.5 Региональный модуль программного комплекса автоматизации.

Выводы.

Глава 4. Анализ эффективности деятельности по защите информации в органах государственного управления.

4.1 Группы метрик для оценки эффективности защиты информации.

4.1.1 Метрики в соответствии с Government Information Security Reform Act.

4.1.2 Метрики Internet Security Alliance.

4.1.3 Метрики в соответствии cNIST 800

4.2 Показатели для оценки эффективности деятельности подразделений по защите информации органов государственного управления.

4.3 Описание эксперимента по проверке эффективности программного комплекса автоматизации деятельности по защите информации.

4.4 Анализ результатов внедрения программного комплекса автоматизации деятельности по защите информации.

Выводы.

Реализация прогрессивного потенциала информатизации в политической, экономической и социальной сферах невозможна без внедрения новых информационных технологий в государственный сектор, имеющий решающее значение для устойчивого развития страны. Одним из сдерживающих факторов в процессе совершенствования государственного управления на основе информационно-технологических инноваций является возникновение угроз информационной безопасности. Для решения задач защиты информации создана нормативно-правовая база (федеральные законы, указы Президента РФ, государственные стандарты и специализированные документы инструктивного характера), регулирующая процессы обеспечения информационной безопасности.

Основные организационные и технические требования к обеспечению информационной безопасности заложены в Федеральном законе «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ, ГОСТе Р ИСО/МЭК 15408-2002 и руководящих документах ФСТЭК России [8], [17-19], [21]. В них определены механизмы учета защищаемых информационных ресурсов, порядок аттестации объектов информатизации [22], процедуры сертификации средств защиты [15-16] и др. Нормативные правовые документы регулируют ключевые аспекты деятельности по обеспечению информационной безопасности, акцентируя внимание на проведении отдельных мероприятий. Однако это не решает всего комплекса практических задач, связанных с защитой информации, например, в органах государственного управления. Как отмечено в литературных источниках [65], [71], в отечественных нормативно-правовых актах уделено мало внимания вопросам обеспечения целостности и доступности информации, аудита информационной безопасности, механизмам оценки эффективности защиты информации в организации в целом, классификации активов организации по критериям стоимости, выбору наиболее целесообразной подсистемы защиты информации по параметрам «цена-эффективность». Реализация этих вопросов возложена на специалистов подразделений по защите информации, что не гарантирует обеспечения эффективной безопасности информации.

В работах отечественных исследователей проблематики информационной безопасности (A.A. Грушо, П.Д. Зегжда, A.A. Малюк, A.A. Стрельцов, A.A. Шелупанов) отмечается необходимость и актуальность системного подхода к защите информации, обеспечивающего обоснованность, целостность и последовательность реализуемых мер, их максимальную эффективность. Такой подход позволяет систематизировать нормативно-правовые требования к информационной безопасности и разработать на их основе научные практико-ориентированные методики, технологии и программы оптимизации деятельности по защите информации.

В целях создания эффективной системы деятельности по защите информации необходимо исследовать информационные активы и инфраструктуру, а также предложить конкретные меры по обеспечению информационной безопасности. Это возможно выполнить на основе анализа информационных рисков.

При оптимизации деятельности по защите информации необходимо определить информационные потоки и алгоритмы, построить модели деятельности по обеспечению информационной безопасности. Таким образом, создаются условия для автоматизации ряда функциональных элементов деятельности по защите информации, т.е. реализации требований к информационной безопасности в виде программного комплекса (ПК). Использование такого программного комплекса позволит специалистам подразделений по защите информации эффективно управлять задачами поддержания режима конфиденциальности (секретности), вести мониторинг состояния информационных ресурсов, их целостности и доступности, а также осуществлять контрольные мероприятия.

В условиях динамичного развития информационных технологий, их усложнения и возникновения новых угроз информационной безопасности, решающим фактором обеспечения информационной безопасности становится эффективная деятельность по защите информации. В настоящее время ощущается дефицит научно обоснованных методик и систем показателей для оценки эффективности этой деятельности, позволяющих определить экономическую целесообразность инвестиций в информационную безопасность.

Учитывая важное значение деятельности по защите информации в органах государственного управления, задачи анализа информационных рисков должны включать построение надежных и защищенных систем информационной безопасности национальных информационных ресурсов.

Объект исследования - информационные риски в деятельности органов государственного управления.

Предмет исследования - методические и программные средства анализа информационных рисков в деятельности органов государственного управления.

Цель исследования - разработка научно обоснованной методики и автоматизированной программы анализа информационных рисков в деятельности органов государственного управления.

Задачи исследования. Достижение цели исследования потребовало решения следующих задач:

1. Провести анализ и обобщить информационные риски в деятельности органов государственного управления.

2. Разработать научно обоснованную методику анализа информационных рисков в деятельности органов государственного управления.

3. Сформулировать методику автоматизации деятельности по защите информации в органах государственного управления.

4. Разработать и апробировать программный комплекс автоматизации деятельности по защите информации, включающий анализ информационных рисков в деятельности органов государственного управления.

5. Определить показатели оценки эффективности деятельности по защите информации в органах государственного управления и оценить эту деятельность.

Методы исследования. Для решения поставленных задач использовались методы системного анализа, теории вероятностей и теории множеств. При разработке программного комплекса использовались методы объектно-ориентированного программирования.

Основные положения, выносимые на защиту:

1. Методика анализа информационных рисков.

2. Программный комплекс автоматизации деятельности по защите информации в органах государственного управления.

3. Показатели оценки эффективности деятельности по защите информации в органах государственного управления.

Научная новизна работы заключается в следующем:

• разработанная методика анализа информационных рисков отличается от аналогов тем, что позволяет выполнять проверку согласованности результатов оценки рисков на основе метода анализа иерархий;

• разработанный способ получения экспертных оценок отличается тем, что позволяет добиваться более точных результатов при его использовании экспертами разной квалификации за счет применения метода парных сравнений;

• предложенный набор показателей оценки эффективности деятельности по защите информации в органах государственного управления позволяет обосновать необходимость инвестиций в информационную безопасность.

Практическая значимость работы. Разработанный программный комплекс автоматизации деятельности по защите информации, основывающийся на методике анализа информационных рисков, позволяет повысить эффективность деятельности по защите информации в органах государственного управления.

Методика анализа информационных рисков может быть использована для определения необходимых мер по обеспечению информационной безопасности в любой организации, где необходимо выполнять проверку согласованности результатов оценки рисков и существует потребность максимально упростить процесс оценки рисков.

Внедрение результатов диссертации. Программный комплекс автоматизации деятельности по защите информации, реализующий также методику анализа информационных рисков, внедрен в главном военно-мобилизационном управлении Тюменской области.

Методика анализа информационных рисков используется в учебном процессе. Она включена в лабораторный практикум «Анализ информационных рисков в небольшой организации» кафедры информационной безопасности Тюменского государственного университета и используется при изучении дисциплины «Управление рисками» кафедры комплексной информационной безопасности электронно-вычислительных систем Томского государственного университета систем управления и радиоэлектроники.

Достоверность положений и выводов исследования подтверждена положительными результатами эксперимента и внедрения программного комплекса автоматизации деятельности по защите информации органов государственного управления.

Апробация работы. Основные положения диссертационного исследования были представлены на следующих конференциях, конкурсах и семинарах:

• научных семинарах кафедры информационной безопасности (Тюмень, 2005, 2006, 2007, ТюмГУ);

• 6-м Всероссийском конкурсе студентов и аспирантов «SIBINFO-2006» (Томск, 2006, ТУ СУР);

• Международной научно-практической конференции «Безопасность информационного пространства» (Екатеринбург, 2006, УрГУПС);

• 8-й Международной научно-практической конференции «Информационная безопасность» (Таганрог, 2006, Таганрогский государственный радиотехнический университет);

• Всероссийской научно-практической конференции «Научная сессия ТУ СУР-2007» (Томск, 2007, ТУСУР);

• 4-й Международной научно-практической конференции «Исследование, разработка и применение высоких технологий в промышленности» (Санкт-Петербург, 2007, ИОА СО РАН);

• 2-й Международной научной конференции «Современные информационные системы, проблемы и тенденции развития» (Туапсе, 2007, Харьковский национальный университет радиоэлектроники);

• 4-й Международной научно-практической конференции «Электронные средства и системы управления. Опыт инновационного развития» (Томск, 2007, ТУСУР);

• IEEE семинарах кафедры КИБЭВС «Интеллектуальные системы моделирования, проектирования и управления» (Томск, 2007, ТУСУР).

Результаты диссертационного исследования обсуждались на заседаниях кафедры информационной безопасности Тюменского государственного университета и кафедры КИБЭВС Томского государственного университета систем управления и радиоэлектроники.

Публикации. Основные положения диссертации опубликованы в 4 статьях (из них 2 статьи в журналах из списка ВАК) и 6 тезисах докладов на конференциях.

Объем и структура диссертационной работы. Диссертация состоит из введения, четырех глав, заключения и списка литературы. Основной текст диссертационной работы изложен на 152 страницах и включает 25 рисунков и 10 таблиц. Список литературы содержит 133 источника, в том числе 34 на иностранном языке. Объем приложений составляет 9 страницы.

136 Выводы

На основании результатов внедрения программного комплекса автоматизации деятельности по защите информации были получены зависимости параметров оценки эффективности деятельности по защите информации от времени. Проанализировав эти зависимости, можно сделать следующие выводы:

• на всех графиках, описывающих зависимости процента наличия документов по защите информации от времени наблюдается увеличение значения большинства параметров оценки, что свидетельствует об эффективности внедренного программного комплекса автоматизации;

• неизменность некоторых показателей оценки эффективности деятельности в течение времени эксперимента свидетельствует о наличии социальных, экономических и других факторов, которые также могут вносить вклад в деятельность по защите информации, например, приоритеты в оформлении документов по защите информации;

• уменьшение значения информационного риска как для ресурсов и служб, так и для организации в целом свидетельствует об уменьшении величины возможного денежного ущерба вследствие реализации угроз информационной безопасности.

ЗАКЛЮЧЕНИЕ

Увеличение темпов информатизации в органах государственного управления выдвигает все новые требования к эффективности деятельности по защите информации. К сожалению, отечественная нормативно-правовая база по защите информации не успевает учитывать все практические аспекты обеспечения информационной безопасности, поэтому для обеспечения эффективной деятельности по защите информации в органах государственного управления необходимо дополнять требования по защите информации, указанные в нормативно-правовых актах, информацией, получаемой на основе анализа информационных рисков.

На основе анализа информационных рисков в органах государственного управления удается классифицировать по критерию стоимости информационные активы и инфраструктуру, определить возможные угрозы информационной безопасности и выбрать необходимые практические меры по обеспечению защиты информации. Осуществление периодического анализа информационных рисков позволит специалистам подразделений по защите информации иметь целостное представление о состоянии информационной безопасности в организации и сконцентрировать свое внимание на ключевых моментах обеспечения защиты информации.

В настоящее время вопросам анализа информационных рисков в органах государственного управления уделяется недостаточное внимание. В диссертационной работе представлены научно обоснованные методические и программные средства в области анализа информационных рисков имеющие существенное значение для оптимизации деятельности по защите информации в органах государственного управления.

В ходе диссертационного исследования решены следующие задачи:

• сформулированы требования к анализу информационных рисков в органах государственного управления;

• разработана методика анализа информационных рисков в органах государственного управления;

• сформулирована методика автоматизации деятельности по защите информации в органах государственного управления;

• разработан и апробирован программный комплекс автоматизации деятельности по защите информации органов государственного управления;

• предложена система показателей и выполнена оценка эффективности деятельности по защите информации в органах государственного управления.

В результате проведенных исследований были получены следующие результаты:

1. Определено, что ключевыми требованиями к процессу анализа информационных рисков в органах государственного управления являются: простота процесса анализа рисков, возможность проверки согласованности ответов экспертов и возможность определения спектра учитываемых угроз.

2. Разработана методика анализа информационных рисков, учитывающая специфику деятельности органов государственного управления, позволяющая выполнять проверку согласованности ответов экспертов, осуществляющих оценку рисков. Алгоритм методики обеспечивает уменьшение расхождений в ответах экспертов как минимум в 2 раза по сравнению с подобной методикой, что свидетельствует об увеличении точности получаемых данных о параметрах угроз.

3. Реализован способ получения экспертных оценок на базе метода анализа иерархий, который позволяет получать в 2 раза более точные результаты в сравнении со способами прямой оценки параметров угроз при использовании экспертами разной квалификации, что позволяет увеличить область применения методики анализа информационных рисков.

4. Способ определения мер по уменьшению рисков угроз информационной безопасности, реализованный в методике анализа рисков, позволяет указывать необходимые практические меры по обеспечению защиты информации.

5. Разработан программный комплекс автоматизации, позволяющий специалистам подразделений по защите информации эффективно управлять задачами поддержания режима информационной безопасности и иметь целостную картину состояния информационной безопасности в органе государственного управления.

6. Сформулированы показатели оценки эффективности защиты информации в органе государственного управления, которые могут быть использованы также для оценки эффективности деятельности подразделений по защите информации.

7. На основании анализа эффективности деятельности по защите информации, проведенного в нескольких органах государственного управления, подтверждена эффективность внедренного программного комплекса автоматизации.

Решение задачи анализа информационных рисков в органах государственного управления позволило повысить эффективность деятельности по защите информации за счет определения наиболее важных активов в инфраструктуре организации и описания необходимых мер по снижению рисков от реализации угроз информационной безопасности.

1. ГОСТ Р 51141-98. Делопроизводство и архивное дело. Термины и определения. Введ. 1998-02-27. - М.: ИПК Издательство стандартов, 1998.

2. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Введ. 2002-0404. - М.: ИПК Издательство стандартов, 2000.

3. ГОСТ Р ИСО/МЭК 15408-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Введ. 2002-04-04. - М.: ИПК Издательство стандартов, 2002.

4. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. -Введ. 2005-12-29. -М.: ИПК Издательство стандартов, 2005.

5. ГОСТ Р 52636-2006. Электронная история болезни. Общие положения. -Введ. 2006-12-27. -М.: ИПК Издательство стандартов, 2006.

6. Доктрина информационной безопасности Российской Федерации. М.: Ось-89, 2004.-47 с.

7. Конституция Российской Федерации: принята всенар. голосованием 12.12.1993. СПб.: Манускрипт, 1996. - 47 с.

8. Об информатизации, информационных технологиях и защите информации: Федеральный закон РФ от 27.07.2006 № 149-ФЗ // Российская газета. 2006. - 29 июля.

9. Об обязательном экземпляре документов: Федеральный закон РФ от 29.12.1994 № 77-ФЗ // Российская газета. 2006. - 22 декабря.

10. Об утверждении перечня сведений конфиденциального характера: Указ Президента РФ от 06.03.1997 № 188 // Собрание законодательства РФ. 2005. №39. ст. 3951.

11. Положение о сертификации средств защиты информации (Утверждено постановлением Правительства Российской Федерации от 26 июня 1995 года № 608).

12. Положение о сертификации средств защиты информации по требованиям безопасности информации (Утверждено приказом председателя Гостехкомиссии России от 27 октября 1995 года№ 199).

13. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации, 1992.

14. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения, 1992.

15. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, 1992.

16. Руководящий документ. Положение по аттестации объектов информатизации по требованиям безопасности информации, 1994.

17. Стандарт Банка России. СТО БР ИББС 1.0 - 2006. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения. - Введ. 2007-05-01. // Вестник Банка России. - 2007. - № 29 (973).

18. Типовое положение об испытательной лаборатории (Утверждено приказом председателя Гостехкомиссии России от 5 января 1996 года №3..

19. Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации (Утверждено приказом председателя Гостехкомиссии России от 5 января 1996 года № 3).

20. Типовое положение об органе по сертификации средств защиты информации по требованиям безопасности информации (Утверждено приказом председателя Гостехкомиссии России от 5 января 1996 года №3..

21. Анодина, Н.Н. Документооборот в организации: практ. пособие / Н.Н. Анодина. 3-е изд., перераб. и доп. - М.: Омега-Л, 2007. - 184 е.: ил., табл.

22. Антонов, А.В. Системный анализ. Учеб. для вузов / А.В. Антонов. — М.: Высшая школа, 2004. 454 е.: ил.

23. Астахов, А. Общее описание процедуры аттестации автоматизированных систем по требованиям информационной безопасности / А. Астахов // Jet Info. 2000. - № 11 (90).

24. Баканова, Е. Особенности отраслевого документооборота / Е. Баканова // Журнал CNews. 2007. - № 5. - С. 88 -92.

25. Баутов, А. Экономический взгляд на проблемы информационной безопасности / А. Баутов // Открытые системы. 2002. - № 2.

26. Брегг, Р. Безопасность сети на основе Microsoft Windows Server 2003. Учебный курс Microsoft: Пер. с англ. М.: Издательско-торговый дом «Русская Редакция»; СПб.: «Питер», 2006. - 672 е.: ил.

27. Бурдин, O.A. Система автоматизации управления информационной безопасностью больших организационных систем / О.А Бурдин, A.A. Кононов // Проблемы управления информационной безопасностью: Сб. трудов. М.: Едиториал УРСС, 2002. - С. 54-58.

28. Галатенко, В.А. Основы информационной безопасности. Учеб. пособие / В.А. Галатеко под ред. член-кор. РАН В.Б. Бетелина / 2 изд., испр. М.: ИНТУИТ.РУ «Интернет университет Информационных технологий», 2004.-264 с.

29. Галатенко, В.А. Оценка безопасности автоматизированных систем / В.А. Галатенко // Jet Info. 2005. - № 7 (146).

30. Галатенко, В.А. Стандарты информационной безопасности / В.А. Галатенко. М.: Изд-во «Интернет-университет информационных технологий - ИНТУИТ.ру», 2004. - 328 е.: ил.

31. Герасименко, В.А. Защита информации в автоматизированных системах обработки данных / В.А. Герасименко. — М.: Энергоатомиздат, 1994 ^

32. Глобальное исследование по информационной безопасности 2004 года, проведенное Ernst & Young Электронный ресурс. 2004. - Режим доступа: http://www.ey.com/globaL/content.nsf/Russia/AABS-GlobalInformationSecuritySurvey

33. Гмурман, В.Е. Теория вероятностей и математическая статистика: Учеб. пособие для вузов. / В.Е. Гмурман 8-е изд., стер. - М.: Высшая школа, 2002.-479 е.: ил.

34. Грушо, A.A. Теоретические основы защиты информации / A.A. Грушо, Е.Е. Тимонина. М.: Изд-во Агенства «Яхтсмен», 1996. - 188 с.

35. Гузик, С. Стандарт CobiT. Управление и аудит информационных технологий. Особенности проведения внешнего аудита ИТ / С. Гузик // Jet Info.-2003.-№ 1 (116).

36. Данилин, А., Слюсаренко, А. Архитектура и стратегия. «Инь» и «янь» информационных технологий / А. Данилин, А. Слюсаренко. М.:

37. Интернет-университет информационных технологий ИНТУИТ.ру, 2005. - 504 с.

38. Девянин, П.Н. Модели безопасности компьютерных систем: Учеб. пособие для студ. высш. учеб. заведений / П.Н. Девянин. М.: Издательский центр «Академия», 2005. - 144 с.

39. Домарев, В.В. Безопасность информационных технологий. Методология создания СЗИ / В.В. Домарев. -М.: Диасофт, 2004. 688 е.: ил.

40. Информация о продуктах компании Информзащита Электронный ресурс. 2007. - Режим доступа: http://www.infosec.ru.

41. Информация о продуктах компании Digital Security Электронный ресурс. 2007. - Режим доступа: http://www.dsec.ru.

42. Информация о сертификации СУБД MS SQL Server 2000 Электронный ресурс. 2005. - Режим доступа: http://www.microsoft.com/Rus/NewsЯssues/2005/05/MicrosoftFederal.mspx.

43. Информация о статусе сертификатов продуктов компании Microsoft Электронный ресурс. 2007. - Режим доступа: http://www.altx.ru/.

44. Информация о системе автоматизации управления безопасностью «АванГард» Электронный ресурс. 2007. - Режим доступа: http://ocenkariskov.narod.ru/.

45. Информация о федеральной целевой программе «Электронная Россия» Электронный ресурс. 2007. - Режим доступа: http://www.e-rus.ru/.

46. Казанцев, С .Я. Правовое обеспечение информационной безопасности: учеб. пособие для студ. высш. учеб. заведений / С.Я. Казанцев, О.Э. Згадзай, P.M. Оболенский и др.; под ред. С.Я. Казанцева. М.: Издательский центр «Академия», 2005. — 240 с.

47. Кононов, A.A., Бурдин, O.A. Аксиоматика оценки рисков нарушения информационной безопасности компьютеризированных организационных систем / A.A. Кононов, O.A. Бурдин // Проблемы информационной безопасности. Компьютерные системы / Санкт

48. Петербургский государственный технический университет. 2002. № 1. С. 27-30.

49. Конявский, В.А. Основы понимания феномена электронного обмена информацией / В.А. Конявский, В.А. Гадасин. Минск, 2004. - 327 с.

50. Лысов, A.C. Повышения эффективности работы отделов по защите информации // Математическое и компьютерное моделирование: Сб. науч. тр. Вып. 8. Тюмень: Издательство «Вектор Бук», 2006 г. С. 121123.

51. Лысов, A.C. Оценка информационных рисков в государственных учреждениях // Математическое и компьютерное моделирование: Сб. науч. тр. Вып. 9. Тюмень: Издательство «Вектор Бук», 2007 г. С. 114-118.

52. Лысов, A.C. Методы повышения эффективности работы отделов по защите информации // Информационная безопасность: Материалы VIII Международной науч.-практ. конф. Таганрог: ТРТУ, 2006 г. с. 140 — 141.

53. Лысов, A.C. Архитектура системы автоматизации управления политикой безопасности для государственных учреждений // Безопасность информационного пространства: материалы междунар. науч.-практ. Конф. Екатеринбург: ГОУ ВПО УрГУПС, 2006 г. С. 94-95.

54. Лысов, A.C. Анализ информационных рисков в государственных учреждениях // Современные информационные системы. Проблемы и тенденции развития: Материалы 2-й Междунар. науч. конф. Харьков: ХНУРЕ, 2007. С. 419 - 420.

55. Лысов, A.C. Методика автоматизации задач документооборота: информации по аттестации ОИ и сертификации средств защиты от НСД // Безопасность информационных технологий. № 4. Москва: Издательство МИФИ, 2007 г. С. 55-59.

56. Лысов, A.C. Технология анализа информационных рисков на основе метода анализа иерархий // Вестник Тюменского государственного университета. № 5. Тюмень: Издательство Тюменского государственного университета, 2007 г. С. 106-111.

57. Лысов, A.C. Задача автоматизации работы отделов по защите информации в государственных учреждениях // Электронные средства и системы управления: Докл. Межд. науч.-практ. конф. Томск, 2007. - С. 178-180.

58. Маклаков, C.B. BPwin и ERwin: CASE-средства для разработки информационных систем /C.B. Маклаков. М.: Диалог-Мифи, 1999. -295 с.

59. Малюк, A.A. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. пособие для вузов / A.A. Малюк. М.: Горячая линия-Телеком, 2004. - 280 е.: ил.

60. Медведовский, И.Д. Современные методы и средства анализа и контроля рисков информационных систем компаний Электронный ресурс. / И.Д. Медведовский. 2004. - Режим доступа: http://www.dsec.ru/aboutyarticles/.

61. Методы и средства работы с документами: Сб. тр. Института системного анализа РАН / Под. ред. В.Л. Арлазарова, Н.Е. Емельянова. М.: Едиториал УРСС, 2000. - 376 с.

62. Патий, Е. Построение эффективного документооборота Электронный ресурс. / Е. Патий. 2007. - Режим доступа: http://www.citcity.rU/l 5090/.

63. Петраков, A.B. Основы практической защиты информации. Учеб. пособие / A.B. Петраков. 4-е изд., доп. М.: СОЛОН-Пресс, 2005. -384 е.: ил.

64. Петренко, A.A. Аудит безопасности Intranet / A.A. Петренко, С.А. Петренко. -М.: ДМК Пресс, 2002. 416 е.: ил.

65. Петренко, С.А. Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, C.B. Симонов. М.: Компания АйТи; ДМК Пресс, 2004. - 384 е.: ил.

66. Петров, A.A. Компьютерная безопасность. Криптографические методы защиты / A.A. Петров. М: ДМК, 2000. - 448 е.: ил.

67. Покровский, П. Оценка информационных рисков / П. Покровский // Журнал LAN. 2004. - № 10.

68. Практическое применение международного стандарта безопасности информационных систем ISO 17799 Электронный ресурс. 2003. -Электронный учебный курс компании Digital Security (CD-ROM).

69. Саати, Т. Принятие решений: Метод анализа иерархий: Пер. с англ. / Т. Саати. М.: Радио и связь, 1993. - 278 е.: ил.

70. Сёмкин, С.Н. Основы организационного обеспечения информационной безопасности объектов информатизации: Учебное пособие / С.Н. Сёмкин,

71. Э.В. Беляков, C.B. Гребенев, В.И. Козачок. М.: Гелиос АРВ, 2005. - 192 с.

72. Сертификаты и центры сертификации в ОС Windows 2003 Электронный ресурс. 2007. - Режим доступа: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ru/library/ ServerHelp/4ee4fe7e-136f-43fd-8bd3-f3d9766d82c9.mspx?mfr=true

73. Симонов, С. Аудит безопасности информационных систем / С. Симонов // Jet Info.-1999.-№9(76).

74. Симонов, C.B. Методология анализа рисков в информационных системах / C.B. Симонов // Конфидент. Защита информации. № 1. - 2001 с. 72-76.

75. Снытников, A.A. Лицензирование и сертификации в области защиты информации / A.A. Снытников. М.: Гелиос АРВ, 2003. - 192 с.

76. Старостин, Е. Автоматизация документооборота в органах государственной власти Электронный ресурс. / Е. Старостин. — 2006. — Режим доступа: http://www.iemag.ru/?ID=607308.

77. Столлингс, В. Основы защиты сетей. Приложения и стандарты: Пер. с англ / В. Столлингс. М.: Издательский дом «Вильяме», 2002. - 432 е.: ил.

78. Стрельцов, A.A. Обеспечение информационной безопасности России. Теоретические и методологические основы / Под ред. В.А. Садовничего, В.П., Шерстюка / A.A. Стрельцов. М.: МЦМНО, 2002. - 296 с.

79. Сурмин, Ю.П. Теория систем и системный анализ: Учеб. пособие / Ю.П. Сурмин. К.: МАУП, 2003. - 368 с.

80. Тарасюк, М.В. Защищенные информационные технологии. Проектирование и применение / М.В. Тарасюк. М.: Солон-Пресс, 2004. - 192 е.: ил.

81. Фаулер, M. UML. Основы: Пер. с англ. / М. Фаулер, К. Скотт. Спб: Символ-Плюс, 2002. - 192 с. ил.

82. Федотова, Д.Э. CASE-технологии: практикум / Д.Э. Федотова, Ю.Д. Семенов, К.Н. Чижик. М.: Горячая линия Телеком, 2005. - 160 е.: ил.

83. Шумский, А.А. Системный анализ в защите информации: учеб. пособие для студ. вузов, обучающихся по специальностям в обл. информ. безопасности / А.А. Шумский, А.А. Шелупанов. М.: Гелиос АРВ, 2005.- 224 с.

84. Электронная документация к системе «КриптоПро CSP» Электронныйресурс. 2005. (CD-ROM). 96.Электронная документация к системе «КУБ» Электронный ресурс]. — 2006. (CD-ROM).

85. Электронная документация к системе «Digital Security Office 2006» Электронный ресурс. 2006. (CD-ROM).

86. Are you ready for a BS7799 audit? DISC PD 3003, 1998.

87. CISWG Phase II Report of Best Practices and Metrics Teams. Subcommittee on Technology, Information Policy, Intergovernmental Relations & the Census, 2004.

88. CobiT: Control Objectives. ISACA, 4th Edition, 2007.

89. CobiT: Executive Summary. ISACA, 4th Edition, 2007.

90. Code of practice for IT management. DISC PD 3005, 1998.

91. Common Criteria for Information Technology Security Evaluation, Version 2.2, Revision 256 CCIMB-2004-01-001, 2004.

92. Department of Defense Trusted Computer System Evaluation Criteria (TCSEC). National Computer Security Center, December 1985. DOD-5200.28-STD, Orange Book.

93. Guide to BS7799 auditing. DISC PD 3004, 1998.

94. Guide to BS7799 risk assessment and management. DICS PD 3002, 1998.

95. Government Information Security Reform Act (GISRA) Электронный ресурс. 2002. - Режим доступа: http://www.sstc-online.org/Proceedings/2002/SpkrPDFS/TuesTrac/p697.pdf.

96. Information about Risk Analysis Software «COBRA» Электронный ресурс. 2007. — Режим доступа: http://www.riskworld.net/.

97. Information about Risk Analysis Software «CRAMM» Электронный ресурс. 2007. — Режим доступа: http://www.cramm.com/.

98. Information about Risk Analysis Software «MethodWare» Электронный ресурс. 2007. - Режим доступа: http://www.methodware.com/products/riskmanagement.shtml.

99. Information about Risk Analysis Software «RA2 art of risk» Электронный ресурс. 2007. - Режим доступа: http://www.aexis.de/RA2Tool.htm.

100. Information about Risk Analysis Software «RiskWatch» Электронный ресурс. 2007. - Режим доступа: http://www.riskwatch.com.

101. Information technology — Code of practice for Information security management / International Standard ISO/IEC 17799, 2005 (E).

102. Information security management. Part 2. Specification for information security management systems. British Standard BS7799, Part 2, 1998.

103. ISSEA Metrics. -ISSEA, CS1/05-0045, 2005.

104. ISSPCS Practitioner Reference F: Personnel Security Functional Discipline. ISSPCS, 2005.

105. IT Baseline protection manual. Standard BSI Электронный ресурс. 2004. - Режим доступа: http://www.bsi.de/english/publications/index.htm.

106. IT Security Metrics Workshop: A Practical Approach to Measuring Information Security: Measuring Security at the System Level. — Federal Computer Security Program Managers Forum, 2002.

107. Kahraman E. Evaluating IT security performance with quantifiable metrics Электронный ресурс. 2005. - Режим flocTyna:http://dsv.su.se/en/seclab/pages/pdf-files/2005-x-245.pdf.

108. KPMG «Information Security Survey» Электронный ресурс. 2002. - Режим доступа: http://www.kpmg.com/microsite/informationsecurity/isssecleameaandrep.ht ml.

109. Lennon E. В. «IT Security Metrics», NIST USA Электронный ресурс. 2004. — Режим доступа: http://www.itl.nist.gov/lab/bulletns/bltnaug03.htm.

110. Method Implementation Guide Version 2.0. CMU/SEI, 2001.

111. NCSC. Trusted Network Interpretation (TNI). National Computer Security Center, 31 July 1987/ NCSC-TG-005, Version-1, Red Book.

112. Octave criteria, version 2.0. Networked Systems Survivability Program. Technical report CMU/SEI-2001-TR-016, 2001.

113. Ozier W. Risk Metrics Needed For IT Security Электронный ресурс. — 2003. — Режим доступа: http://www.securitypronews.com/securitypronews-24-20030805RiskMetricsNeededforITSecurity.html.

114. Preparing for BS7799 certification. DISC PD 3001, 1998.

115. Recommended Security Controls for Federal Information Systems. -NIST Special Publication 800-53, 2005.

116. Risk Management Guide for Information Technology Systems NIST 800-30 Электронный ресурс. 2002. - Режим доступа: http://csrc.nist.gov/publications/PubsSPs.html.

117. Savola R. Information Security Evaluation based on Requirements, Metrics and Evidence Information Электронный ресурс. 2007. - Режим доступа: http://www.vtt.fi/inf/pdf/publications/2007/P629.pdf.

118. Security assessment of operational systems / 2nd Proposed Draft Technical Report, PDTR 19791, 2004.

119. Security Metrics Guide for Information Technology Systems. NIST Special Publication 800-55; 2003.

120. Security Self-Assessment Guide for Information Technology Systems. -NIST Special Publication 800-26, 2001.

121. Systems Security Engineering Capability Maturity Model, (SSE-CMM Version 3) Электронный ресурс. 2003. - Режим доступа: http://www.sse-cmm.org/model/ssecmmv2final.pdf.

122. Перечень приложений к диссертационной работе