автореферат диссертации по документальной информации, 05.25.05, диссертация на тему:Повышение эффективности функционирования системы мониторинга инцидентов информационной безопасности банка на основе оценки надежности ее компонентов

кандидата технических наук
Попов, Сергей Викторович
город
Тамбов
год
2012
специальность ВАК РФ
05.25.05
Диссертация по документальной информации на тему «Повышение эффективности функционирования системы мониторинга инцидентов информационной безопасности банка на основе оценки надежности ее компонентов»

Автореферат диссертации по теме "Повышение эффективности функционирования системы мониторинга инцидентов информационной безопасности банка на основе оценки надежности ее компонентов"

На правах рукописи

ПОПОВ Сергей Викторович

ПОВЫШЕНИЕ ЭФФЕКТИВНОСТИ ФУНКЦИОНИРОВАНИЯ

СИСТЕМЫ МОНИТОРИНГА ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКА НА ОСНОВЕ ОЦЕНКИ НАДЕЖНОСТИ ЕЕ КОМПОНЕНТОВ

Специальность 05.25.05 — Информационные системы и процессы

(технические науки)

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

2 5 ОКТ 2012

Тамбов 2012

005054013

Работа выполнена на кафедре «Конструирование радиоэлектронных и микропроцессорных систем» (КРЭМС) в федеральном государственном бюджетном образовательном учреждении высшего профессионального образования «Тамбовский государственный технический университет» (ФГБОУ ВПО «ТГТУ»),

Научный руководитель Шамшин Валерий Николаевич

доктор технических наук,

профессор кафедры КРЭМС ФГБОУ ВПО

«ТГТУ»

Официальные оппоненты: Сирота Александр Анатольевич,

доктор технических наук, ФГБОУ ВПО «Воронежский государственный университет», профессор кафедры информационных систем

Погонин Василий Александрович, доктор технических наук, ФГБОУ ВПО «ТГТУ», профессор кафедры «Информационные процессы и управление»

Ведущая организация ФГБОУ ВПО «Рязанский государственный

радиотехнический университет», г. Рязань

Защита диссертации состоится 15 ноября 2012 г. в 13 часов на заседании диссертационного совета Д 212.260.05 в ФГБОУ ВПО «ТГТУ» по адресу: г. Тамбов, ул. Советская, д. 106, ФГБОУ ВПО «ТГТУ», Большой актовый зал.

Отзывы на автореферат в двух экземплярах, заверенные гербовой печатью, просим направлять по адресу: 392000, г. Тамбов, ул. Советская, д. 106, ФГБОУ ВПО «ТГТУ», ученому секретарю диссертационного совета З.М. Селивановой.

С диссертацией можно ознакомиться в библиотеке ФГБОУ ВПО «ТГТУ».

Автореферат разослан 14 октября 2012 г.

Ученый секретарь диссертационного совета доктор технических наук, профессор

З.М. Селиванова

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность работы. В процессе эксплуатации автоматизированной банковской системы (АБС) необходимо своевременно оценивать влияние, оказываемое различными факторами, как на эффективность функционирования самой системы, так и ее отдельных подсистем. Оценка функционирования системы мониторинга инцидентов информационной безопасности (СМИИБ), являющейся одной го таких подсистем АБС, требует от администратора безопасности (администратора) значительных интеллектуальных усилий и сопряжена с определенными временными затратами.

Эффективность мониторинга может снижаться в связи с возникновением нарушений в любом из компонентов СМИИБ, однако, как показывает опыт эксплуатации, наиболее негативное воздействие имеет место при появлении ошибок в работе средств защиты информации, входящих в ее состав. В течение времени бездействия или неправильного функционирования средств защиты возникают дополнительные угрозы пропуска инцидентов информационной безопасности (ИИБ), реализация которых негативно влияет на функционирование АБС. В этой связи необходимо оперативное выявление и устранение причин нарушений в работе средств защиты информации, что зачастую весьма затруднительно сделать администратору. Объясняется это наличием множества трудно учитываемых факторов, влияющих на процесс функционирования системы мониторинга и на процесс принятия администратором решений, которые создают у него высокую степень неопределенности.

Поэтому совершенствование работы СМИИБ, связанное с обеспечением более эффективного мониторинга инцидентов информационной безопасности, за счет уменьшения неопределенности в процессе принятия решений администратором, вызываемой его недостаточной информированностью о текущем состоянии надежности входящих в состав СМИИБ средств защиты, является актуальным.

Различные вопросы оценки надежности средств защиты информации нашли свое отражение в работах В.А. Герасименко, Б.В. Палюха, А.И. Перегуды, А.Ю. Щеглова, Р.И. Насырова, Ch. Fry и др. Однако в них не обсуждался такой вопрос, как оценка надежности объектов, производимая на основе оперативно получаемых данных об их текущей эксплуатации.

Объект исследования - система мониторинга инцидентов информационной безопасности в автоматизированной банковской системе.

Предмет исследования - эффективность функционирования СМИИБ, характеризуемая среднегодовым числом инцидентов информационной безопасности, выявляемых входящими в ее состав средствами защиты информации.

Целью работы является повышение эффективности функционирования СМИИБ на основе оперативной оценки показателей надежности,

характеризующих работоспособность средств защиты в СМИИБ, производимой по данным текущей эксплуатации.

Для достижения поставленной цели необходимо решить следующие задачи:

- проанализировать СМИИБ как объект исследования и выявить основные факторы, влияющие на эффективность мониторинга инцидентов информационной безопасности;

- сформулировать множества состояний функционирования средств защиты информации, связанных с нарушениями в работе или восстановлением работоспособности их отдельных компонентов;

- разработать методику оперативной оценки показателей надежности средств защиты информации на основе данных, получаемых в процессе текущей эксплуатации;

- построить процедурную модель определения вероятностей состояний функционирования средств защиты информации, обусловленных нарушениями в работе их компонентов или восстановлением работоспособности, на основе сведений о показателях надежности этих компонентов;

- разработать подсистему обеспечения работоспособности СМИИБ, входящую в ее состав, предусмотрев в ней отдельный блок, в котором будет реализована процедурная модель определения вероятностей состояний функционирования средств защиты информации по данным их текущей эксплуатации;

- оценить эффективность работы СМИИБ до и после внедрения в ее состав подсистемы обеспечения работоспособности.

Методы исследования. Для решения сформулированных задач в работе использовались методы: системного анализа; теории надежности; технологии проектирования информационных систем; информационной безопасности и защиты информации.

Научная новизна:

- построена процедурная модель функционирования СМИИБ в виде последовательности этапов обработки сообщения о произошедшем в АБС событии информационной безопасности, отличающаяся наличием этапов «Оценка числа поступающих сообщений» и «Оценка длины очереди», содержащих информацию, которая является для администратора индикатором возникновения нарушений в СМИИБ;

- разработана методика оперативной оценки показателей надежности входящих в состав СМИИБ средств защиты информации по данным текущей эксплуатации, отличающаяся использованием сведений, периодически извлекаемых из электронных журналов работы и необходимых для вычисления вероятностей состояний функционирования этих средств;

- на основе применения аппарата марковских случайных процессов с конечным числом состояний построены аналитические модели, описывающие поведение различных средств защиты информации в связи с возникающими нарушениями в работе их компонентов или восстановлением

работоспособности, отличающиеся тем, что параметры этих моделей периодически обновляются;

- на основе методики оперативной оценки показателей надежности средств защиты информации с применением аналитических моделей, описывающих их поведение в связи с возникающими нарушениями в работе или восстановлением работоспособности, построена процедурная модель, позволяющая определять вероятности состояний функционирования средств защиты по данным их текущей эксплуатации;

- разработана подсистема обеспечения работоспособности СМИИБ (определены структура и характеристики компонентов), отличающаяся наличием блока оценки надежности средств защиты;

- разработана структура блока оценки надежности средств защиты, реализующего процедурную модель определения вероятностей их состояний функционирования по данным текущей эксплуатации, в состав которой входят: модуль определения показателей надежности, модуль накопления данных о нарушениях работы, а также два интерфейса.

Практическая ценность:

- реализация подсистемы обеспечения работоспособности СМИИБ обеспечивает более эффективное выявление инцидентов информационной безопасности благодаря сокращению времени простоя средств защиты из-за нарушений в работе, достигаемому за счет регулярного мониторинга состояний их функционирования;

- разработанная методика оперативной оценки показателей надежности средств защиты информации по данным текущей эксплуатации является универсальной, что делает ее пригодной для определения характеристик надежности других технических средств, входящих в АБС;

- периодически вычисляемые в подсистеме обеспечения работоспособности СМИИБ значения вероятностей состояний функционирования используются администратором в процессе принятия решений по реагированию на выявленные инциденты ИБ и решений по улучшению процедуры обслуживания средств защиты или их замене;

- Операционный офис «Тамбовский» Липецкого филиала ОАО АКБ «РОСБАНК» использует разработанную методику определения показателей надежности средств защиты информации по данным их текущей эксплуатации при обслуживании своих серверов и рабочих станций;

- Отдел информационной безопасности Управления обеспечения безопасности ВТБ24 (ЗАО) применяет разработанные в диссертации аналитические и процедурные модели для вычисления показателей надежности используемых в банке средств защиты информации.

Положения, выносимые на защиту:

- процедурная модель функционирования СМИИБ в виде последовательности этапов обработки сообщения о произошедшем в АБС событии информационной безопасности;

- множества состояний функционирования различных средств защиты информации, входящих в состав СМИИБ, которые обусловлены нарушениями в их работе или восстановлением работоспособности;

- методика оперативной оценки показателей надежности входящих в состав СМИИБ средств защиты информации по данным текущей эксплуатации;

- аналитические модели, построенные на основе применения аппарата марковских случайных процессов с конечным числом состояний, описывающие поведение различных средств защиты информации в связи с возникающими нарушениями в их работе или восстановлением работоспособности;

- процедурная модель определения вероятностей состояний функционирования средств защиты информации по оперативным данным текущей эксплуатации;

- подсистема обеспечения работоспособности СМИИБ (структура и характеристики компонентов);

- блок оценки надежности средств защиты, содержащий: модуль определения показателей надежности; модуль накопления данных о нарушениях работы; два интерфейса;

- результаты оценки эффективности работы СМИИБ до и после внедрения подсистемы обеспечения ее работоспособности.

Работа выполнена в соответствии пунктами 1 и 3 паспорта специальности 05.25.05 («Информационные системы и процессы») и посвящена исследованиям в области разработки информационного обеспечения АБС и реализации процессов сбора, хранения, обработки, поиска и передачи информации, характеризующей ее деятельность.

Апробация результатов исследования. Основные результаты представлены на: 3-й Международной научно-практической конференции «Наука и устойчивое развитие общества. Наследие В.И. Вернадского» (Тамбов, 2008); 6-й Международной научно-практической конференции «Наука на рубеже тысячелетий» (Тамбов, 2009); 6-й Международной на-учно-гграктической конференции «Прогрессивные технологии развития» (Тамбов, 2009); 2-й Международной научно-практической конференции «Прогрессивные технологии и перспективы развития» (Тамбов, 2010); 4-й Межвузовской научно-практической ежегодной конференции «Новые технологии и инновационные разработки» (Тамбов, 2011); Международной научно-технической конференции «Современные информационные технологии» (Пенза, 2011); Всероссийской научной школе «Актуальные проблемы нано- и микроэлектроники» (Тамбов, 2011).

Публикации. Материалы, отражающие основные результаты работы, представлены в 13 публикациях, в том числе в четырех статьях изданий, рекомендованных ВАК РФ.

Структура и объем работы. Диссертация, общий объем которой составляет 236 страниц, состоит из введения, пяти глав, выводов по главам, заключения, аббревиатур и условных обозначений, списка использованной литературы, приложений. Основной материал изложен на 135 страницах текста, содержит 24 рисунка и 8 таблиц. Список литературы включает 134 наименования.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы диссертации, определены объект и предмет исследования, сформулированы цель и задачи исследования, приведены положения, выносимые на защиту, раскрыты научная новизна и практическая значимость, кратко описано содержание глав.

В первой главе «Проблема мониторинга состояния информационной безопасности автоматизированной банковской системы. Цель и задачи исследования» проведен литературный обзор научных публикаций, посвященных принципам функционирования, структуре, классификации и направлениям развития АБС, который позволил оценить их современное состояние.

Кратко освещены вопросы обеспечения информационной безопасности (ИБ) в банке, обоснована значимость мониторинга ИБ в АБС. Отмечено, что эффективность мониторинга снижается в наибольшей степени при появлении ошибок в работе средств защиты информации (СЗИ), входящих в состав СМИИБ. При этом в течение времени бездействия СЗИ или неправильного их функционирования возникают дополнительные угрозы пропуска инцидентов информационной безопасности (ИИБ), реализация которых приводит к снижению эффективности функционирования АБС. Оперативно выявить и устранить причины нарушений в работе СЗИ зачастую сложно для администратора из-за трудно учитываемых факторов, влияющих на процесс принятия им решений, что создает у него высокую степень неопределенности.

Определены объект и предмет исследования. Сформулированы цель и задачи диссертационной работы.

Во второй главе «Анализ системы мониторинга инцидентов информационной безопасности банка как объекта исследования» изучена структура и функции СМИИБ, собраны и обработаны статистические данные, характеризующие среднесуточное количество событий информационной безопасности (СИБ) и ИИБ, регистрируемых в АБС крупного банка, качественно оценено влияние различных факторов на эффективность мониторинга ИИБ, построена процедурная модель функционирования СМИИБ.

Под СИБ понимается идентифицированное появление определенного состояния системы, сервиса или сети, которое свидетельствует либо о возможном нарушении политики ИБ банка или отказе защитных мер, ли-

бо о прежде неизвестной ситуации, которая может иметь отношение к безопасности. Под ИИБ понимается появление одного или нескольких нежелательных (неожиданных) СИБ, с которыми связана значительная вероятность создания угрозы ИБ.

Отмечается, что АБС включает в себя три автоматизированные системы (АС): «Управление банком»; «Операционный день банка»; «Банковские электронные услуги», каждая из которых выполняет определенные функции и имеет свою подсистему обеспечения ИБ. Сведения обо всех СИБ направляются из подсистемы АС на последующий анализ в СМИИБ с целью выявления ИИБ и принятия соответствующих мер.

Основными компонентами СМИИБ являются (рис. 1): центральная консоль мониторинга (ЦКМ) для настройки, отображения информации о состоянии ИБ в АБС, вывода извещений об ИИБ и выдачи рекомендаций по их устранению; база данных инцидентов (БДИ) и событий (БДС), база знаний экспертов (БЗЭ); модуль выявления инцидентов (МВИ) - автоматизированное ядро системы, коррелирующее и анализирующее информацию, поступающую от СЗИ; модуль управления архивными журналами (МУАЖ), отвечающий за запись событий в БДС и за их извлечение по запросу с ЦКМ; сборщики событий (СС„ / = 1, 2,..., п), нормализующие данные, получаемые от СЗИ.

Рис. 1. Информационная модель процесса мониторинга инцидентов информационной безопасности

На нижнем уровне СМИИБ располагаются различные программно-аппаратные СЗИ (выделены рамкой), собирающие данные о СИБ и передающие их на следующий уровень в виде сообщений. Это основные СЗИ, к которым, как правило, относят: сканеры безопасности (СБ); антивирусное программное обеспечение (АПО); средства контентного анализа (СКА); средства контроля портов ввода-вывода (СКПВВ); межсетевые экраны (МСЭ) и системы обнаружения атак (СОА), а также иные СЗИ.

Сообщений, содержащих данные о СИБ, формируется достаточно много. Например, среднесуточные показатели работы СМИИБ одного из крупных банков, АБС которого содержит более 5 тыс. рабочих станций и серверов, составили примерно 2,5 млн. СИБ и около 3 тыс. ИИБ.

Выявлены факторы, влияющие на эффективность мониторинга ИИБ, среди которых особо отмечены имеющие отношение к исправности СЗИ.

На основе проведенного анализа структуры СМИИБ, принципов работы отдельных ее компонентов и литературных данных построена процедурная модель в виде последовательности этапов обработки сообщения о произошедшем в АБС событии ИБ, приведенная на рис. 2.

Здесь блоки 1 и 6 характеризуют этапы работы СМИИБ, на которых часто возникают нарушения функционирования СЗИ, поэтому предложено ввести в модель блоки 2 и 7 (выделены серым цветом), которые собирают информацию о числе поступающих событий и длине очереди, являющуюся для администратора индикатором возникновения нарушений.

Сделан вывод о необходимости оперативного автоматизированного учета фактора надежности средств защиты информации в СМИИБ.

Рис. 2. Процедурная модель функционирования СМИИБ

В третьей главе «Методика оперативной оценки показателей надежности средств защиты информации, входящих в систему мониторинга инцидентов информационной безопасности банка» обоснована необходимость определения состояний функционирования СЗИ; проведен анализ структуры и принципов работы СЗИ; выявлены множества значимых состояний функционирования, обусловленных возникающими нарушениями в работе их компонентов и восстановлением работоспособности; разработана методика оперативной оценки надежности СЗИ.

Отмечено, что СМИИБ в случае нарушения работы ее отдельных компонентов обычно не переходит в состояние полного отказа, а продолжает функционировать в состояниях, где часть присущих ей функций не выполняется. Обосновано допущение о том, что компоненты системы мониторинга (см. рис. 1), расположенные на ее среднем уровне (СС„ i = 1, и; МВИ; БЗЭ; МУАЖ; БДС; БДИ; ЦКМ), и администратор, располагающийся на верхнем уровне, функционируют безотказно, а СЗИ, расположенные на нижнем уровне, подвержены различным нарушениям в работе.

Описана структура, принципы работы и функции основных СЗИ, среди которых, с точки зрения решаемой в диссертации задачи, выделены две группы: средств, работающих периодически (СКА и СБ) и работающих непрерывно (АЛО, СКПВВ, МСЭ и COA). В дальнейшем необходимые рассуждения и расчеты проводятся на примере СКА и АПО.

В частности, работа средства контентного анализа, структура которого изображена на рис. 3, пояснена на примере системы аудита копируемых на съемные носители файлов, взаимодействующей с таким источником информации для контентного анализа, как другое СЗИ, а именно СКПВВ.

Источник йнфорМсШІШ для контентного анализа

Съемные носители информации

АРМ 1

: .mi:

т е

! АРМ N

[—¡Агент] f і Агент] НХтент!

_________r_i J

Средство БД Сервер

контроля Ґ" "Ч f

портов Г-ч..____X___¿

ввода/вывода v J

... Средство контентного анализа

"-»о

Ады инпсграюр

Рис. 3. Структурная схема средства контентного анализа

Активными программными компонентами СКА (выделены мелкой штриховкой) являются: модуль-посредник (МП), индексирующий сервер (ИнС) и модуль проверки (МПр), а хранилище (ХД) и индекс представляют собой структуры данных, необходимые для их функционирования.

Особенностью СКА является то, что его активные компоненты функционируют независимо, выполняя свои функции периодически и с разной частотой: МП - функцию копирования файлов из БД СКПВВ в ХД СКА (1 раз в минуту); ИнС - функцию по обновлению индекса по расписанию (1 раз за 8 часов) и по запросу АБ (по мере необходимости); МПр -функцию проверки индекса в режиме, аналогичном работе ИнС, но с некоторым запаздыванием (на 30 минут).

Исследовано функционирование двух активных компонентов: ИнС и МП, поскольку в отношении МПр сделано допущение о его высокой надежности, обоснованное тем, что при нештатном выполнении им своей функции (периодический поиск в индексе СКА контрольных слов, выражений и текстовых фрагментов), администратор берет на себя выполнение этой функции. Показано, что компоненты ИнС и МП имеют по три состояния функционирования: одно нормальное и два, связанных с нарушениями их работы.

Нарушения упоминаются в журналах работы ИнС и МП как ошибки: 1) несанкционированная очистка индекса в СКА от данных, поступивших ранее из БД СКПВВ в ХД СКА; 2) отсутствие реакции ИнС в СКА на управляющие воздействия; 3) невозможность копирования файлов из БД СКПВВ в ХД СКА из-за недоступности сетевого диска, на котором расположено хранилище; 4) невозможность копирования файлов из БД СКПВВ в ХД СКА из-за неудачной аутентификации МП в БД.

Появление или устранение той или иной ошибки приводит к смене состояний функционирования СКА, совокупность которых представлена в виде множества ЯСКА = {¿0СКА, /г,СКА, А2ска, /г3СКА,

.СКА 7 СКА ,СКА /СКА /СКА ,СКА ,СКАХ ,СКА

"14 >«23 ' 24 >«31 > Л32 > «41 '"42 } > гДе «о ~ СОСТОЯНИе НОрмального функционирования, характеризуемого штатной работой ИнС и мп; И] (7 = 1, 4) - состояние, при которых имеет место одна из ошибок в ИнС (у = 1,2) или МП (у =3,4); /г^кл - состояние, связанное с последовательным возникновением_/-й и к-й ошибок, соответственно.

В результате анализа работы других основных СЗИ сформированы также множества: Я^ ; Яскпвв; ЯСБ; Ямсэ; ЯС0А.

Разработана методика оперативной оценки показателей надежности СЗИ на основе данных, получаемых в процессе текущей эксплуатации. Этапами методики (применительно к одному из СЗИ) являются:

1. Периодический анализ информации о функционировании СЗИ, получаемой из журналов его работы за выбранный промежуток времени, с целью выявления ошибок функционирования его компонентов.

2. Периодическое нахождение значений случайных величин (времен работы и времен восстановления), характеризующих выявленные за выбранный промежуток времени нарушения в работе отдельных компонентов СЗИ и восстановление их работоспособности.

3. Определение законов распределения упомянутых случайных величин и их параметров по данным, получаемым в ходе текущей эксплуатации СМИИБ за достаточно большой промежуток времени, обеспечивающий накопление представительных выборок, необходимых для вычисления достоверных характеристик надежности компонентов СЗИ.

4. Формирование множества возможных состояний функционирования СЗИ, обусловленных нарушениями в работе его отдельных компонентов и восстановлением их работоспособности.

5. Выбор математического аппарата для описания процессов, связанных со сменой состояний функционирования СЗИ, происходящих в случайные моменты времени в связи с нарушениями работы отдельных компонентов СЗИ и восстановлением их работоспособности.

6. Вычисление искомых характеристик надежности СЗИ в виде нестационарных и стационарных вероятностей состояний функционирования, характеризующих поведение СЗИ.

7. Выдача администратору в определенные моменты времени обновленных характеристик СЗИ в виде нестационарных и стационарных вероятностей состояний функционирования.

В четвертой главе «Определение состояний функционирования средств защиты информации в системе мониторинга инцидентов информационной безопасности» проведен анализ журналов работы одного из СЗИ - средства контентного анализа за девять месяцев эксплуатации СМИИБ в крупном банке, который позволил выявить ошибки различного вида и определить моменты времени их возникновения и устранения; рассчитаны характеристики случайных величин (времен между соседними ошибками и восстановлениями работоспособности), являющиеся показателями надежности компонентов СКА; построены аналитические модели, описывающие поведение дискретных и непрерывных СЗИ в связи с возникающими нарушениями в работе их компонентов или восстановлением работоспособности; вычислены стационарные и нестационарные вероятности состояний функционирования СКА и АПО - характерных представителей дискретных и непрерывных СЗИ.

Анализ надежности СКА как объекта с дискретным временем проведен с использованием метода переходных вероятностей. СКА, рассматриваемое на множестве состояний функционирования е #СКА , <7 = 0, 1,

2, 3, 4, 13, 14, 23, 24, 31, 32, 41, 42, было представлено в виде ориентированного графа, изображенного на рис. 4. Вершины графа характеризуют возможные состояния СКА, дуги - направления переходов из одних состояний в другие, веса дуг - вероятности этих переходов за промежуток времени А? = 8 ч, характеризующий его дискретный характер работы (такт). В частности, Рд г (д ^ г ) - вероятность перехода из состояния

/1дКА в состояние вычислялась как вероятность того, что за время

& произойдет или будет устранена некоторая ошибка, а Рд - вероят-

; СКА

ность сохранения состояния пд определялась с использованием деревьев состояний, характеризующих возможные переходы СКА.

Рис. 4. Граф вероятностей переходов между состояниями средства контентного анализа

На основе графа была составлена стохастическая матрица М = ||Рч г ||

размером (13x13), по числу состояний функционирования, которая при обоснованных в работе допущениях об экспоненциальности законов распределения случайных времен работы и восстановления компонентов СЗИ является матрицей переходных вероятностей цепи Маркова.

Вероятность р(т)ч нахождения СКА в с/-м состоянии функционирования после т последовательных тактов вычислялась по формуле

р(т)ч=М(0)МтОч, т = 0, 1, ...,4 = 0, 1,2,3,4, 13, 14,23,24,31,32,41,42,

где М(0) — начальное распределение вероятностей состояний, определяемое вектором-строкой, элементами которой являются 0 или 1, где 1 соответствует начальному состоянию; — вектор-столбец, элементами которого являются 0 или 1, где 1 соответствует анализируемому состоянию.

Результатом вычислений для различных т является вектор-функция р(т) = (р(т)0,р(т)1, ..., р(т)42), т = 0,1,... .

Значения стационарных вероятностей рч состояний функционирования СКА при т—^оо находились посредством решения следующей системы алгебраических уравнений, составленной с использованием матрицы М, с учетом уравнения нормировки, а именно:

в результате чего получен вектор

Р=(Ро> Р\, Р2> Рз> Рл> Р\з. Рн> Р23> Р2А> Ръ\> Р32> Р41> ^42) •

Для анализа надежности СЗИ с непрерывным временем работы использован метод переходных интенсивностей. На примере АПО продемонстрировано применение разработанной в диссертации методики для вычисления его нестационарных и стационарных вероятностей состояний функционирования.

В пятой главе «Разработка подсистемы обеспечения работоспособности системы мониторинга инцидентов информационной безопасности банка» описаны структура и характеристики компонентов, входящих в состав подсистемы обеспечения работоспособности СМИИБ (ПОРС); подробно рассмотрен блок оценки надежности СЗИ (БОНСЗИ), являющийся принципиально новым компонентом ПОРС; построена и реализована в рамках БОНСЗИ процедурная модель определения вероятностей состояний функционирования СЗИ по данным их текущей эксплуатации; оценены эффективность работы СМИИБ до и после внедрения ПОРС и ожидаемый экономический эффект.

Структура ПОРС, представленная на рис. 6, отличается от аналогов наличием БОНСЗИ (выделен серым цветом), предназначенным для определения вероятностей состояний СЗИ с учетом регулярно обновляемой информации о произошедших нарушениях. Этот блок автоматически ана-

Ро = РтРо + РюРі +Р20Р2 + РЗоРі +Р40Р4> Р\ =р<пРо+риР\ + рз\,\Рз\ +Р4\,\Ра\>

Рл2 - РА,пРі + Р42,42РЛ2

И

лизирует журналы работы компонентов СЗИ на предмет имевших место нарушений. Проведению первого подобного анализа предшествует обучение блока, состоящее в том, что администратор вносит в модуль определения показателей надежности СЗИ следующую информацию: слова, словосочетания, последовательности записей и т.д., встречаемые в журналах работы компонентов различных СЗИ и соответствующие возникновению нарушений в работе.

_ ^ у ^

Блок оценки надежности средств защиты информации

Блок резервирования конфигураций

Блок контроля цело стно сти

Генератор событий -маркеров

Блок автоматической обработки событий

База хранения данных резервирования

Рис. 6. Структурная схема подсистемы обеспечения работоспособности

Структурная схема БОНСЗИ представлена на рис. 7. Взаимодействие администратора с БОНСЗИ происходит посредством интерфейса, с помощью которого вносятся данные о нарушениях в работе СЗИ (если они не были зафиксированы ПОРС, но обнаружены администратором) и корректируются уже сохраненные сведения.

Аз ми істратор безопасности

* о й з зі

т, о ¡¡г

Р О Оч ~ <ь 9 я К 2

Модуль оц>едечешта показателей■:: надеямосш СШ :

X

Унифицированный интерфейс рлбош с компонентами ПОРС

Прочие компоненты ПОРС

ЗЕ

Компоненты СМППБ

Модуль накопления данных о нарушениях в работе ГШ

—■ СМШШ 'ПОРС

'БОНСЗИ

; Сведения о выжпенных [нарушениях в работе СЗИ

Запросы СМШІЕ о состоянии СЗІІ ответы ПОРС

Рис. 7. Структурная схема блока оценки надежности средств защиты информации

Вычисление вероятностей состояний СЗИ осуществляется в модуле определения показателей надежности, являющемся ключевым в составе БОНСЗИ (выделен серым цветом), который реализует описанную в главе процедурную модель. Сведения о нарушениях, получаемые в результате анализа журналов или вносимые администратором, сохраняются в модуле накопления данных о нарушениях работы СЗИ.

Проведена оценка эффективности функционирования СМИИБ в предположении, что ПОРС следит за работоспособностью только одного из СЗИ, а именно СКА, причем остальные СЗИ работают как и прежде. Это было сделано путем сравнения количества ИИБ, выявляемых СКА в течение года до и после введения ПОРС. Благодаря более раннему обнаружению нарушений в работе CICA в СМИИБ выявлено на 475 ИИБ больше после введения ПОРС, чем до него, что составило 1,46% от их количества за год. Ранее эти ИИБ не были бы обнаружены или были бы обнаружены с большой задержкой.

Экономический эффект от внедрения ПОРС оценен в предположении, что при каждом не выявленном СКА инциденте, банк утрачивает некоторое количество записей персональных данных своих клиентов или сотрудников. Произведение числа утраченных за год записей на среднестатистическую мировую стоимость одной записи представляет собой экономический эффект, составивший около 2,5 млн. р./год.

В приложениях приведены результаты анализа фрагментов текстов, содержащихся в журналах работы основных СЗИ, использованные в диссертации, а также акты о применении полученных результатов.

ВЫВОДЫ

1. Выявлены факторы, влияющие на эффективность мониторинга, среди которых особо выделены те, которые имеют отношение к исправности СЗИ, что позволило сделать вывод о необходимости количественной оценки такого влияния.

2. Построена процедурная модель функционирования СМИИБ, анализ которой позволил сделать вывод о том, что администратор, принимая решения, сталкивается с высокой степенью неопределенности, обусловленной его незнанием истинного состояния функционирования СЗИ.

3. Обоснована необходимость проведения регулярного мониторинга состояний функционирования различных СЗИ с использованием существующих категорий проверок, позволяющих выявлять нарушения работоспособности отдельных СЗИ и оповещать об этом администратора, благодаря чему значительно понижается степень его неопределенности в процессе принятия решений.

4. Проведен анализ принципов работы основных СЗИ, позволивший выявить состояния их функционирования, связанные с нарушениями работоспособности компонентов и представленные в виде множеств.

5. Разработана методика оперативной оценки показателей надежности СЗИ по данным их текущей эксплуатации, получаемым из электронных журналов работы СЗИ.

6. Разработана подсистема обеспечения работоспособности СМИИБ (определены структура и характеристики компонентов), которая по данным текущей эксплуатации определяет состояния функционирования СЗИ, обусловленные нарушениями в их работе или восстановлением.

7. Построена процедурная модель определения вероятностей состояний функционирования СЗИ по данным об их текущей эксплуатации, поступающим из журналов работы компонентов СЗИ.

8. Разработан БОНСЗИ (определена структура и принципы работы), являющийся новым блоком в ПОРС, который реализует процедурную модель определения вероятностей состояний функционирования СЗИ.

9. Проведена на примере СКА оценка эффективности функционирования СМИИБ по критерию эффективности, равному среднему числу ИИБ, выявляемых за год. Сравнение работы системы мониторинга до и после внедрения ПОРС показало рост числа выявленных за год ИИБ на 1,46% с экономическим эффектом около 2,5 млн. р./год.

Содержание реферата свидетельствует о том, что в диссертации решена актуальная научная задача повышения эффективности функционирования СМИИБ на основе производимой по данным текущей эксплуатации оперативной оценки показателей надежности, характеризующих работоспособность средств защиты информации в СМИИБ.

ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

В изданиях по перечню ВАК РФ:

1. Попов, C.B. Факторы, влияющие на эффективность мониторинга инцидентов информационной безопасности в автоматизированной банковской системе / C.B. Попов, В.Н. Шамкин // Научно-технический вестник Поволжья. - Казань, 2010. - № 1. - С. 145 - 148.

2. Попов, C.B. О влиянии состояний функционирования средств защиты информации на эффективность мониторинга инцидентов информационной безопасности банка / C.B. Попов, В.Н. Шамкин // Вестник Тамб. гос. техн. ун-та. - Тамбов, 2011. - Т. 17, № 2. - С. 297 - 303.

3. Попов, C.B. Методика мониторинга надежностных показателей средств защиты информации в банке по данным их текущей эксплуатации / C.B. Попов, В.Н. Шамкин // Вопросы современной науки и практики. Ун-т им. В.И. Вернадского. - Тамбов, 2012. - № 1(37). - С. 54 - 65.

4. Попов, C.B. Определение вероятностей состояний функционирования средства контентного анализа как элемента системы мониторинга

инцидентов информационной безопасности / C.B. Попов, В.Н. Шамкин // Вестник Тамб. гос. техн. ун-та. - Тамбов, 2012. - Т. 18, № 1. - С. 27 - 37.

В других изданиях:

5. Попов, С.В. О проблемах построения моделей угроз информационной безопасности автоматизированных банковских систем / С.В. Попов, В.Н. Шамкин // Наука и устойчивое развитие общества. Наследие В.И. Вернадского : сб. материалов 3-й науч.-практ. конф., Тамбов, 2526 сент. 2008. - Тамбов : Изд-во ТАМБОВПРИНТ, 2008. - С. 245 - 247.

6. Попов, С.В. Особенности разработки моделей угроз информационной безопасности автоматизированных банковских систем / С.В. Попов, В.Н. Шамкин // Наука на рубеже тысячелетий : сб. материалов 6-й Меж-дунар. науч.-практ. конф., Тамбов, 26-27 окт. 2009. - Тамбов : Изд-во ТАМБОВПРИНТ, 2009. - С. 95 - 97.

7. Попов, С.В. Значение мониторинга информационной безопасности для обеспечения защиты банковской информации / С.В. Попов, В.Н. Шамкин // Прогрессивные технологии развития : сб. материалов 6-й Междунар. науч.-практ. конф., Тамбов, 27-28 дек. 2009. - Тамбов : Изд-во ТАМБОВПРИНТ, 2009. - С. 54 - 56.

8. Попов, С.В. Факторы, влияющие на эффективность мониторинга инцидентов информационной безопасности в автоматизированной банковской системе / С.В. Попов, В.Н. Шамкин // Казанская наука. - Казань : Изд-во «Казан. Издат. Дом», 2010. - № 8, вып. 1. - С. 178 - 181.

9. Попов, С.В. Оценка работоспособности средств защиты информации / С.В. Попов, В.Н. Шамкин // Прогрессивные технологии и перспективы развития : сб. материалов 2-й Междунар. науч.-практ. конф., Тамбов, 5 нояб. 2010. - Тамбов : ООО ТР-Принт, 2010. - С. 50-51.

10. Попов, С.В. Мониторинг состояний функционирования средств защиты информации в информационной системе / С.В. Попов, В.Н. Шамкин // Современные информационные технологии «Contemporary Information Technologies» (Computer-Based Conference) : тр. Междунар. науч.-техн. конф. - Пенза : Пенз. гос. технолог, акад., 2011, вып. 13. - С. 165 - 168.

11. Попов, С.В. Возможные состояния функционирования средств защиты информации в системе мониторинга инцидентов информационной безопасности / С.В. Попов, В.Н. Шамкин // Новые технологии и инновационные разработки : материалы 4-й межвуз. науч.-практ. конф., Тамбов, 13 мая 2011. - Тамбов : Изд-во ФГБОУ ВПО «ТГТУ», 2011. - С. 69 - 72.

12. Попов, С.В. Алгоритм выявления инцидентов безопасности в информационной системе / С.В. Попов, В.Н. Шамкин // Всерос. науч. школа «Актуальные проблемы нано- и микроэлектроники». Тамбов, 7-8 июля 2011 г. - Тамбов : Изд-во Першина Р.В., 2011. - С. 223-224.

13. Писаренко, И.В. Региональный аспект обеспечения ИБ в банковской сфере / И.В. Писаренко, С.В. Попов // Informational Security Информационная безопасность. - 2012. - № 1. - С. 42 - 45.

Подписано в печать 10.10.2012. Формат 60 х 84/16. 0,93 усл.-печ. л. Тираж 100 экз. Заказ № 517

Издательско-полиграфический центр ФГБОУ ВПО «ТГТУ» 392000, Тамбов, ул. Советская, д. 106, к. 14

Оглавление автор диссертации — кандидата технических наук Попов, Сергей Викторович

ВВЕДЕНИЕ.

1. ПРОБЛЕМА МОНИТОРИНГА СОСТОЯНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННОЙ БАНКОВСКОЙ

СИСТЕМЫ.ЦЕЛЬ И ЗАДАЧИ ИССЛЕДОВАНИЯ.

1.1 .Информационные системы в банковской деятельности.

1.2.0беспечение информационной безопасности в банке.

1.3 .Мониторинг информационной безопасности.

1.4.Цель и задачи исследования.

2. АНАЛИЗ СИСТЕМЫ МОНИТОРИНГА ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКА КАК ОБЪЕКТА ИССЛЕДОВАНИЯ.

2.1 .Система мониторинга, ее функции и структура.

2.2.Характеристика основных компонентов системы мониторинга.

2.3.События и инциденты информационной безопасности, выявляемые системой мониторинга.

2.4.Факторы, влияющие на эффективность мониторинга.

2.5.Процедурная модель работы системы мониторинга.

Выводы по второй главе.

3. МЕТОДИКА ОПЕРАТИВНОЙ ОЦЕНКИ ПОКАЗАТЕЛЕЙ НАДЕЖНОСТИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ, ВХОДЯЩИХ В СИСТЕМУ МОНИТОРИНГА ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ БАНКА.

3.1.Необходимость определения состояний функционирования средств защиты информации.

3.2.0сновные средства защиты информации.

3.3.Выявление состояний функционирования средств защиты информации.

3.4.Методика оперативной оценки показателей надежности средств защиты информации по данным их текущей эксплуатации.

Выводы по третьей главе.

4. ОПРЕДЕЛЕНИЕ СОСТОЯНИЙ ФУНКЦИОНИРОВАНИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В СИСТЕМЕ МОНИТОРИНГА ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.

4.1 .Анализ журналов работы средств защиты информации (на примере средства контентного анализа).

4.2,Определение показателей надежности компонентов средств защиты информации по данным, характеризующим возникновение и устранение их ошибок функционирования (на примере средства контентного анализа).

4.3.Определение вероятностей состояний функционирования средств защиты информации.

4.3.1. Системы с дискретным временем (на примере средства контентного анализа).

4.3.2. Системы с непрерывным временем (на примере антивирусного программного обеспечения).

Выводы по четвертой главе.

5. РАЗРАБОТКА ПОДСИСТЕМЫ ОБЕСПЕЧЕНИЯ РАБОТОСПОСОБНОСТИ В СИСТЕМЕ МОНИТОРИНГА ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКА.

5.1.Подсистема обеспечения работоспособности системы мониторинга.

5.2.Блок оценки надежности средств защиты информации в системе мониторинга.

5.3.Оценка эффективности системы мониторинга до и после внедрения подсистемы обеспечения работоспособности.

Выводы по пятой главе.

Введение 2012 год, диссертация по документальной информации, Попов, Сергей Викторович

Актуальность. В процессе эксплуатации автоматизированной банковской системы (АБС) необходимо своевременно оценивать влияние, оказываемое различными факторами, как на эффективность функционирования самой системы, так и ее отдельных подсистем. Оценка функционирования системы мониторинга инцидентов информационной безопасности (СМИИБ), являющейся одной из подсистем АБС, требует от администратора безопасности (администратора) значительных интеллектуальных усилий и сопряжена с определенными временными затратами.

Эффективность мониторинга может снижаться в связи с возникновением нарушений в любом из компонентов СМИИБ, однако, как показывает опыт эксплуатации, наиболее негативное воздействие имеет место при появлении ошибок в работе средств защиты информации (СЗИ), входящих в состав системы мониторинга. При этом в течение времени бездействия СЗИ или неправильного их функционирования возникают дополнительные угрозы пропуска инцидентов информационной безопасности (ИБ), реализация которых негативно влияет на функционирование АБС. В этой связи необходимо оперативное выявление и устранение причин нарушений в работе СЗИ, что зачастую весьма затруднительно сделать администратору безопасности. Объясняется это наличием множества трудно учитываемых факторов, влияющих на процесс функционирования СМИИБ и на процесс принятия администратором решений, которые создают у него высокую степень неопределенности.

Поэтому совершенствование работы СМИИБ, связанное с обеспечением более эффективного мониторинга инцидентов ИБ за счет уменьшения неопределенности в процессе принятия решений администратором, вызываемой его недостаточной информированностью о текущем состоянии надежности входящих в состав СМИИБ средств защиты, является актуальным.

Различные вопросы оценки надежности средств защиты информации нашли свое отражение в работах В.А. Герасименко, Б.В. Палюха, А.И. Перегуды, А.Ю. Щеглова, Р.И. Насырова, СЬ.Ргу и др. Однако, в них не обсуждался такой вопрос, как оценка надежности объектов, производимая на основе оперативно получаемых данных об их текущей эксплуатации.

Объект исследования - система мониторинга инцидентов информационной безопасности в автоматизированной банковской системе.

Предмет исследования - эффективность функционирования СМИРЯВ, характеризуемая среднегодовым числом инцидентов информационной безопасности, выявляемых входящими в ее состав средствами защиты информации.

Целью работы является повышение эффективности функционирования СМИИБ на основе оперативной оценки показателей надежности, характеризующих работоспособность средств защиты информации в СМИИБ, производимой по данным текущей эксплуатации.

Для достижения поставленной цели необходимо решить следующие задачи:

- проанализировать СМИИБ как объект исследования и выявить основные факторы, влияющие на эффективность мониторинга инцидентов информационной безопасности;

- сформулировать множества состояний функционирования СЗИ, связанных с нарушениями в работе или восстановлением работоспособности их отдельных компонентов;

- разработать методику оперативной оценки показателей надежности СЗИ на основе данных, получаемых в процессе текущей эксплуатации;

- построить процедурную модель определения вероятностей состояний функционирования СЗИ, обусловленных нарушениями в работе их компонентов или восстановлением работоспособности, на основе сведений о показателях надежности этих компонентов;

- разработать подсистему обеспечения работоспособности СМИИБ (ПОРС), входящую в состав системы мониторинга, предусмотрев в ней отдельный блок, в котором будет реализована процедурная модель определения вероятностей состояний функционирования СЗИ по данным их текущей эксплуатации;

- оценить эффективность работы СМИИБ, до и после внедрения в ее состав ПОРС.

Методы исследования. Для решения сформулированных задач в работе использовались методы: системного анализа; теории надежности; технологии проектирования информационных систем, информационной безопасности и защиты информации.

Научная новизна:

- построена процедурная модель функционирования СМИИБ в виде последовательности этапов обработки сообщения о произошедшем в АБС событии информационной безопасности, отличающаяся наличием этапов "Оценка числа поступающих сообщений" и "Оценка длины очереди", содержащих информацию, которая является для администратора безопасности индикатором возникновения нарушений в СМИИБ;

- разработана методика оперативной оценки показателей надежности СЗИ, входящих в состав СМИИБ, по данным их текущей эксплуатации, отличающаяся использованием сведений, периодически извлекаемых из электронных журналов работы, и необходимых для вычисления вероятностей состояний функционирования этих СЗИ;

- на основе применения аппарата марковских случайных процессов с конечным числом состояний построены аналитические модели, описывающие поведение различных СЗИ, в связи с возникающими нарушениями в работе их компонентов или восстановлением работоспособности, отличающиеся тем, что параметры этих моделей периодически обновляются;

- на основе методики оперативной оценки показателей надежности СЗИ с применением аналитических моделей, описывающих поведение различных средств защиты, в связи с возникающими нарушениями в их работе или восстановлением работоспособности, построена процедурная модель, позволяющая определять вероятности состояний функционирования СЗИ по данным их текущей эксплуатации;

- разработана подсистема обеспечения работоспособности СМИИБ (определены структура и характеристики компонентов), отличающаяся наличием блока оценки надежности СЗИ;

- разработана структура блока оценки надежности СЗИ, реализующего процедурную модель определения вероятностей состояний функционирования СЗИ по данным их текущей эксплуатации, в состав которой входят: модуль определения показателей надежности СЗИ, модуль накопления данных о нарушениях работы СЗИ, а также интерфейсы работы с администратором безопасности и ПОРС.

Практическая ценность:

- реализация ПОРС в составе СМИИБ обеспечивает более эффективное выявление инцидентов информационной безопасности благодаря сокращению времени простоя СЗИ из-за нарушений в работе, достигаемому за счет регулярного мониторинга их состояний функционирования;

- разработанная методика оперативной оценки показателей надежности СЗИ по данным текущей эксплуатации, получаемым из журналов их работы, является универсальной, что делает ее пригодной для определения характеристик надежности других технических средств, входящих в АБС;

- периодически вычисляемые в ПОРС значения вероятностей состояний функционирования СЗИ используются администратором безопасности как в процессе принятия решений по реагированию на выявленные инциденты информационной безопасности, так и решений, направленных на улучшение процедуры обслуживания имеющихся СЗИ или их замену;

- Операционный офис «Тамбовский» Липецкого филиала ОАО Акционерный коммерческий банк «РОСБАНК» использует разработанную методику определения показателей надежности СЗИ по данным их текущей эксплуатации при обслуживании своих серверов и рабочих станций;

- Отдел информационной безопасности Управления обеспечения безопасности ВТБ24 (ЗАО) применяет разработанные в диссертации аналитические и процедурные модели для вычисления показателей надежности используемых в банке средств защиты информации.

Положения, выносимые на защиту:

- процедурная модель функционирования СМИИБ в виде последовательности этапов обработки сообщения о произошедшем в АБС событии информационной безопасности;

- множества возможных состояний функционирования различных СЗИ, входящих в состав СМИИБ, которые обусловлены нарушениями в работе или восстановлением работоспособности их компонентов;

- методика оперативной оценки показателей надежности СЗИ, входящих в состав СМИИБ, по данным их текущей эксплуатации;

- аналитические модели, построенные на основе применения аппарата марковских случайных процессов с конечным числом состояний, описывающие поведение различных СЗИ в связи с возникающими нарушениями в их работе или восстановлением работоспособности;

- процедурная модель определения вероятностей состояний функционирования СЗИ по оперативным данным их текущей эксплуатации;

- подсистема обеспечения работоспособности СМИИБ (структура и характеристики компонентов)

- блок оценки надежности СЗИ, содержащий: модуль определения показателей надежности СЗИ; модуль накопления данных о нарушениях работы СЗИ; интерфейсы работы с администратором безопасности и ПОРС;

- результаты оценки эффективности работы СМИИБ, до и после внедрения ПОРС.

Перечисленные положения позволяют говорить о решении в диссертации важной научно-технической задачи повышения эффективности функционирования СМИИБ банка при выявлении инцидентов ИБ в АБС.

Работа выполнена в соответствии пунктами 1 и 3 паспорта специальности 05.25.05 («Информационные системы и процессы») и посвящена исследованиям в области разработки информационного обеспечения АБС и реализации процессов сбора, хранения, обработки, поиска и передачи информации, характеризующей ее деятельность.

Апробация результатов исследования. Основные результаты представлены на: 3-й Международной научно-практической конференции «Наука и устойчивое развитие общества. Наследие В.И. Вернадского» (г.Тамбов, 2008); 6-й Международной научно-практическая конференции "Наука на рубеже тысячелетий" (г.Тамбов, 2009); 6-й Международной научно-практической конференции «Прогрессивные технологии развития» (г. Тамбов, 2009); 2-й Международной научно-практической «Прогрессивные технологии и перспективы развития» (г.Тамбов, 2010); 4-й Межвузовской научно-практической ежегодной конференции «Новые технологии и инновационные разработки» (Тамбов, 2011); Международной научно-технической конференции «Современные информационные технологии» (Пенза, 2011); Всероссийской научной школе «Актуальные проблемы нано- и микроэлектроники» (Тамбов, 2011).

Публикации. Материалы, отражающие основные результаты работы, представлены в 13-ти публикациях, в том числе в 4-х статьях изданий, рекомендованных ВАК РФ.

Структура и объем работы.

Диссертация, общий объем которой составляет 236 страниц, состоит из введения, пяти глав, выводов по главам, заключения, аббревиатур и условных обозначений, списка использованной литературы, приложений. Основной материал изложен на 135 страницах текста, содержит 24 рисунка и 8 таблиц. Список литературы включает 134 наименования.

Заключение диссертация на тему "Повышение эффективности функционирования системы мониторинга инцидентов информационной безопасности банка на основе оценки надежности ее компонентов"

Выводы по пятой главе

1. Предложена структура подсистемы ПОРС, являющейся составной частью СМИИБ и позволяющей по данным текущей эксплуатации определять состояния функционирования СЗИ, обусловленные нарушениями их работоспособности или устранением таких нарушений.

2. Построена процедурная модель определения вероятностей состояний функционирования СЗИ по оперативным данным о текущей эксплуатации СМИИБ, поступающим из журналов работы компонентов СЗИ, которая предложена для реализации в рамках ПОРС.

3. Разработан блок БОНСЗИ (определена структура и характеристики работы составных компонентов), с помощью которого автоматизировано оцениваются вероятности состояний функционирования СЗИ, при этом используются регулярно обновляемые по данным текущей эксплуатации сведения о нарушениях в работе их компонентов.

4. Проведена оценка эффективности функционирования СЗИ в составе СМИИБ (на примере СКА) одного из банков, при этом в качестве критерия выбрано среднегодовое число ИИБ, выявляемых системой мониторинга (до и после внедрения ПОРС). Сравнение полученных значений показало рост числа ИИБ, выявленных СКА в течение года, на 1,46%, что соответствует годовому экономическому эффекту в размере около 2,5 млн. руб.

Библиография Попов, Сергей Викторович, диссертация по теме Информационные системы и процессы, правовые аспекты информатики

1. Алексеев, А.Е. Диагностика надежности автоматизированных систем: учеб. пособие / А.Е. Алексеев. Архангельск: Изд-во ГОУ АГТУ, 2004. -75 с.

2. Балабанов, В.Н. Надежность электроустановок: учеб.-метод. пособие / В.Н. Балабанов. Хабаровск: Изд-во ДВГУПС, 1999. 97 с.

3. Банковские информационные системы: учеб. / Под ред. В.В. Дика. М: Маркет ДС, 2006. - 816 с.

4. Беляев, Ю.К. Надежность технических систем: Справ. / Ю.К. Беляев, В.А. Богатырев, В.В. Болотин и др.; Под ред. И.А. Ушакова. М.: Радио и связь, 1985.-608 с.

5. Борисов, В.И. Организация системы антивирусной защиты банковских информационных систем Электронный ресурс. / В.И. Борисов, М.Ю. Забулонов // CIT Forum. Электрон, дан. - 2002. - Режим доступа: http://citforum.ru/security/virus/bank/ - Загл. с экрана.

6. Боровков, A.A. Теория вероятностей / A.A. Боровков. М.: Наука, 1976. -352 с.

7. Варганов, Д.С. Состояние и перспективы развития технологии защиты программных продуктов / Д.С. Варганов // Безопасность информационных технологий. 2008. - №1. - С. 59-67.

8. Васильев, Р. Изучаем теневое копирование Электронный ресурс. / Р. Васильев // Системный администратор, 2008, №5. Электрон, дан. -2008. - Режим доступа: http://samag.ru/archive/article/808 - Загл. с экрана.

9. Вентцель, Е.С. Теория вероятностей: учеб. для втузов / Е.С. Вентцель. -4-е изд., стер. М: Наука, 1969. - 576 с.

10. Гайкович, В. Безопасность электронных банковских систем / В. Гайко-вич, А. Першин. М.: Компания Единая Европа, 1994. - 331 с.

11. Галицкий, A.B. Защита информации в сети анализ технологий и синтез решений / A.B. Галицкий, С.Д. Рябко, В.Ф. Шаньгин. - М.: ДМК Пресс, 2004.-616 с.

12. Гамза, В.А. Безопасность банковской деятельности: учеб. / В.А. Гамза, И.Б. Ткачук. М.: Маркет ДС, 2008. - 408 с.

13. Гамза, В.А. Система информационной безопасности в банке: текущая практика и тенденции / В.А. Гамза, И.Б. Ткачук, М.К. Чокпаров // Управление в кредитной организации. 2009. - №3. - С. 23-28.

14. Гарусев, М. Системы корреляции событий: революция или эволюция? / М. Гарусев // Сетевой online. 2003. - №7. - С. 7-11.

15. Головко, Н.И. Применение моделей СМО в информационных сетях / Н.И. Головко, В.В. Катрахов. Владивосток: Изд-во Тихоокеан. гос. эконом, ун-та, 2008. - 272 с.

16. ГОСТ Р ИСО 9001 2008. Системы менеджмента качества. Требования Текст. - Взамен ГОСТ Р ИСО 9001 - 2001; введ. 2009-11-13. - М.: Стандартинформ, 2009. - 65 с.

17. ГОСТ Р ИСО/МЭК ТО 18044 2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности Текст. - Введ. 2007-12-27. - М.: Стандартинформ. - 2009. - 46 с.

18. Давлетханов, М. Защита от инсайдеров с помощью системы Zlock Электронный ресурс. / М. Давлетханов // WindowsFAQ. Электрон, дан. -2009. - Режим доступа: http://www.windowsfaq.ru/content/ view/807/ -Загл. с экрана.

19. Деднев, М.А. Защита информации в банковском деле и электронном бизнесе / М.А. Деднев, Д.В. Дыльнов, М.А. Иванов. М.: КУЦИД-ОБРАЗ, 2004.-512 с.

20. Диагностирование нарушений и аварийных ситуаций в технических системах Электронный ресурс. // МЧС. Электрон, дан. - 2004. - Режим доступа: http://obzh.ru/nad/9-7.html - Загл. с экрана .

21. Дмитриев, И. Контент-анализ: сущность, задачи, процедуры Электронный ресурс. / И. Дмитриев // Пси-Фактор. Электрон, дан. - 2005. - Режим доступа: http://www.psyfactor.org/lib/k-a.htm - Загл. с экрана.

22. Додонова, И.В. Автоматизированная обработка банковской информации: учеб. пособие / И.В. Додонова, О.В. Кабанова. М.: КНОРУС, 2008. -176 с.

23. Завгородний, В.И. Комплексная защита информации в компьютерных системах: учеб. пособие / В.И. Завгородний. М.: Логос, 2001. — 262с.

24. Запечников, C.B. Контроль целостности информационных ресурсов при распределенном хранении данных / C.B. Запечников // Безопасность информационных технологий. 2008. - №2. - С.86-91.

25. Запечников, C.B. Контроль целостности функциональных ресурсов средств защиты информации в распределенной среде /C.B. Запечников // Безопасность информационных технологий. 2009. - №1. - С. 37-44.

26. Идов, Р. Утечки информации: экономические эффекты Электронный ресурс. / Р. Идов // Корпоративный менеджмент. Электрон, дан. - 2011. - Режим доступа: http://www.cfin.ru/appraisal/info leakage.shtml

27. Инсайдерские угрозы в России '09 Электронный ресурс. // Perimetrix. -Электрон, дан. 2009. - Режим доступа: http://www.perimetrix.ru/down-loads/rp/PTX Insider Security Threats in Russia 2009.pdf-Загл.с экрана.

28. Карповский, Е.Я. Надежность программной продукции / Е.Я. Карпов-ский, С.А. Чижов. Киев: Тэхника, 1990. - 160 с.

29. Кирпичников, А.П. Прикладная теория массового обслуживания / А.П. Кирпичников. Казань: Изд-во Казан, гос. ун-та, 2008. - 118 с.

30. Козлов, Б.А. Справочник по расчету надежности аппаратуры радиоэлектроники и автоматики / Б.А. Козлов, И.А. Ушаков. М.: Советское радио, 1975.-472 с.

31. Контур информационной безопасности Searchlnform Электронный ресурс. // Searchlnform. Электрон, дан. - 2010. - Режим доступа:http://www.searchinform.m/search-download/infosecuritybroshure full.pdf Загл. с экрана.

32. Королева, H.A. Экспертная система поддержки принятия решений по обеспечению информационной безопасности организации: дис. . канд. техн. наук : 05.25.05 / Королева Наталия Александровна. Тамбов, 2006. -199 с.

33. Кочнев, В.Ф. Обнаружение нелегального пользователя компьютерной системы: учеб. пособие / В.Ф. Кочнев, Е.В. Титов, С.А. Филиппов. М.: МНИТ, 2003.-48 с.

34. Кузьмин, И.В. Аппаратный контроль электронных цифровых вычислительных машин / И.В. Кузьмин, Р.Г. Бурназян, A.A. Ковергин. М.: Энергия, 1974. - 72 с.

35. Курило, А.П. Аудит информационной безопасности / А.П. Курило, C.JI. Зефиров, В.Б. Голованов. М.: Издат. группа БДЦ Пресс, 2006. - 304 с.

36. Курило, А.П. О новой редакции Стандарта Банка России «Обеспечение информационной безопасности организации банковской системы Российской Федерации. Общие положения» / А.П. Курило // Деньги и кредит. 2009. - №2(1093). - С. 3-7.

37. Курило, А.П. Основы информационной безопасности автоматизированных банковских систем: учеб. пособие / А.П. Курило, Н.Г. Милослав-ская, С.Ф. Михайлов, А.И. Толстой. -М.: МИФИ, 2001.-100 с.

38. Кучук, Е. Брандмауэр-системы. Элементы. Часть 1 Электронный ресурс. / Е. Кучук // Компьютерная газета, 2007, №26. Электрон, дан. -2007. - Режим доступа: http://www.nestor.minsk.by/kg/2007/26/kg-72606.html - Загл. с экрана.

39. Лебедь, C.B. Межсетевое экранирование. Теория и практика защиты внешнего периметра / C.B. Лебедь; под ред. И.А. Шеремета. М.: Изд-во МГТУ им. Н.Э.Баумана, 2002. - 304 с.

40. Левин, Б.Р. Теория надежности радиотехнических систем (математические основы) / Б.Р. Левин. М. : Сов. радио, 1978. - 264 с.

41. Лонгботтом, Р. Надежность вычислительных систем: пер. с англ. П.П. Пархоменко / Р. Лонгботтом. М.: Энергоатомиздат, 1985. - 288 с.

42. Лукацкий, A.B. Обнаружение атак / A.B. Лукацкий. СПб.: БХВ-Петербург, 2001. - 624 с.

43. Мельников, В.В. Безопасность информации в автоматизированных системах / В.В. Мельников. М.: Финансы и статистика, 2003. - 368с.

44. Мельников, Ю.Н. Возможности нападения на информационные системы банка из Интернета и некоторые способы отражения этих атак. 4.1 / Ю.Н. Мельников, A.A. Теренин // Банковские технологии. 2003. — №1. - С.42-48.

45. Минин, Ю.В. Информационная система поддержки принятия решений, оптимизирующих коммерческую деятельность банка: дис. .канд. техн. наук : 05.25.05 / Минин Юрий Викторович. Тамбов, 2008. - 200 с.

46. Муромцев, Д.Ю. Анализ и синтез радиосистем на множестве состояний функционирования / Д.Ю. Муромцев, Ю.Л. Муромцев // Вестн. Тамб. гос. техн. ун-та. 2008. - Т. 14, № 2. - С. 241-251.

47. Муромцев, Ю.Л. Моделирование и оптимизация сложных систем при изменениях состояния функционирования / Ю.Л. Муромцев, Л.Н. Ляпин, О.В. Попова. Воронеж: Изд-во ВГУ, 1992. - 164 с.

48. Муромцев, Ю.Л. Теоретические основы исследования сложных систем с учетом надежности / Ю.Л. Муромцев, Л.Н. Ляпин, В.Н. Шамкин и др. -М.: МИХМ, 1987.-116 с.

49. Надежность автоматизированных систем управления : учеб. пособие для вузов / И.О. Атовмян, и др. ; под ред. Я.А. Хетагурова. М.: Высш. школа, 1979.-287 с.

50. Надежность и эффективность в технике: справ. В 10 т. Т.1. Методология. Организация. Терминология / Под ред. А.И. Рембзы. М.: Машиностроение, 1986. - 224 с.

51. Насыров, Р.И. Математические модели надежности и технического обслуживания систем защиты информации: дис. .канд. тех. наук : 05.13.18 / Насыров Рамиль Ильгизович. Казань, 2008. - 199 с.

52. Обеспечение информационной безопасности бизнеса / В.В. Андрианов и др.; под ред. Курило А.П. 2-е изд. - М.: ЦИПСиР: Альпина Пабли-шерз, 2011.-373 с.

53. Ott, А. О контентной фильтрации Электронный ресурс. / А. Отт // Jetinfo. Электрон, дан. - 2006. - Режим доступа: http://www.ietinfo.ru/ 2006 detail/?pid-lcbe52cllcecade331f50e34cdc2f6b5&nid=3dl031ce6c077 c98fa75a7238aad4d0b&alias=2006 - Загл. с экрана.

54. Палюх, Б.В. Надежность программных средств экономических информационных систем: учеб. пособие / Б.В. Палюх, В.К. Кемайкин, А.Д. До-рожкин. Тверь: Твер. гос. техн. ун-т, 2008. - 128 с.

55. Парамонов, A.A. Методика оценки эффективности информационных систем с использованием технологии открытых систем: На примере сетевой среды филиала банка: дис. .канд. техн. наук : 05.13.15, 05.13.13 / Парамонов Александр Александрович. М., 2006 - 147 с.

56. Перегуда, А.И. Математическая модель надежности систем защиты информации / А.И. Перегуда, Д.А. Тимашов // Информационные технологии.-2009. №8. - С. 10-17.

57. Попов, C.B. Алгоритм выявления инцидентов безопасности в информационной системе / С.В. Попов, В.Н. Шамкин // Всерос. науч. шк. «Актуальные проблемы нано- и микроэлектроники». Тамбов, 7-8 июля 2011 г. Тамбов: Изд-во Першина Р.В., 2011. - С. 223-224.

58. Попов, С.В. О влиянии состояний функционирования средств защиты информации на эффективность мониторинга инцидентов информационной безопасности банка / С.В. Попов, В.Н. Шамкин // Вестник Тамб. гос. техн. ун-та. 2011. - Т.17, №2. - С.297-303.

59. Попов, C.B. Оценка работоспособности средств защиты информации / C.B. Попов, В.Н. Шамкин // Прогрессивные технологии и перспективы развития: сб. материалов 2-й междунар. науч.-практ. конф., Тамбов, 5 нояб. 2010. -Тамбов: ООО ТР-Принт, 2010. С. 50-51.

60. Попов, C.B. Факторы, влияющие на эффективность мониторинга инцидентов информационной безопасности в автоматизированной банковской системе / C.B. Попов, В.Н. Шамкин // Казанская наука. — Казань: Изд-во Казан. Издат. Дом, 2010. №8, вып.1. - С.178-181.

61. Русский рынок компьютерных преступлений в 2010 году: состояние и тенденции Электронный ресурс. // Group IB. Электрон, дан. - 2011. — Режим доступа: www.group-ib.ru/wp-content/uploads/201 l/03/GIB-Issl-rynka 2010.pdf- Загл. с экрана.

62. Семенов, Ю.А. Сетевая безопасность, состояние и перспективы / Ю.А. Семенов // Информационные технологии и вычислительная техника. -2007. №4. - С.70-87.

63. Сердюк, В.А. Новое в защите от взлома корпоративных систем / В.А. Сердюк. М.: Техносфера, 2007. - 360 с.

64. Сравнение решений по контролю доступа к USB и беспроводным устройствам Электронный ресурс. // MosQIt. Электрон, дан. - 2008. - Режим доступа: http://www.mosqit.ru/articles/87-sravnenie-resheniii-po-kont-roliu-dostupa-k-usb-i.html - Загл. с экрана.

65. Стандарт Банка России СТО БР ИББС-1.0-2008 "Обеспечение информационной безопасности организаций банковской системы Российской федерации. Общие положения" // Вестник Банка России. 2009. - №2 (1093)-С. 4-35.

66. Тейер, Т. Надежность программного обеспечения / Т.Тейер, М.Липов, Э.Нельсон.-М.: Мир, 1981.-328 с.

67. Теория надежности радиоэлектронных систем в примерах и задачах. Учеб. пособие / Г.В. Дружинин и др.; под ред. Г.В. Дружинина. М.: Энергия, 1976.-448 с.

68. Толковый словарь по вычислительным системам / Под ред. В. Иллингу-орта и др.; Пер. с англ. А.К. Белоцкого и др.; Под ред. Е.Г. Масловского. М.: Машиностроение, 1990. - 560 с.

69. Тютюнник, A.B. Информационные технологии в банке / A.B. Тютюнник, A.C. Шевелев. М.: БДЦ Пресс, 2003. - 368 с.

70. Шамкин, В.Н. Дестабилизационное управление сложными технологическими объектами. Т.1 : дис. .д-ра техн. наук : 05.13.07 / Шамкин Валерий Николаевич. Тамбов, 1997. - 440 с.

71. Шелудько, И.А. Разработка и исследование системы оперативного сетевого мониторинга событий безопасности: дис. . канд. техн. наук : 05.13.19 / Шелудько Игорь Александрович. Таганрог, 2004. - 179 с.

72. Шубин, Ю.М. Метод и модель обоснования профиля защиты в банковских информационных системах: дис. .канд. техн. наук : 05.13.19 / Шубин Юрий Михайлович. Санкт-Петербург, 2008. - 102 с.

73. Щербаков, Н.С. Достоверность работы цифровых устройств / Н.С. Щербаков. М.: Машиностроение, 1989. - 223 с.

74. Ястребенецкий, М.А. Надежность автоматизированных систем управления технологическими процессами: учеб. пособие / М.А. Ястребенецкий, Г.М. Иванова. М.: Энергоатомиздат, 1989. - 264 с.

75. Alberts, С. J. Managing Information Security Risks: The OCTAVE Approach / C. J. Alberts, A J. Dorofee. Addison-Wesley, 2002. - 512 p.

76. Badger, M. Zenoss Core Network and System Monitoring / M. Badger. -Birmingham: Packt Publising, 2008. 261 p.

77. Buttcher, S. Information Retrieval. Implementing and Evaluating Search Engines / S. Buttcher, C. Clarke, G. Cormack. Cambridge: The MIT Press, 2010.-631 p.

78. Cheswick, W.R. Firewalls and Internet Security: Repelling the Wily Hacker / W.R. Cheswick, S.M. Bellovin, A.D. Rubin. 2nd ed. - Addison-Wesley, 2003.-455 p.

79. Chuvakin, A. Security Warrior / A. Chuvakin, C. Peikari. O'Reilly, 2004. -552 p.

80. Cisco PIX Firewall System Log Messages Электронный ресурс. // Cisco. -Электрон, дан. — 2010. Режим доступа: http://www.cisco.com/en/US/ docs/security/pix/pix63/system/message/63 ermsg.pdf- Загл. с экрана.

81. Cisco Security Advisory: Multiple Vulnerabilities in Firewall Services Module Электронный ресурс. // Cisco. Электрон, дан. - 2007. - Режим доступа: http://www.cisco.com/warp/public/707/cisco-sa-20070214-fwsm.shtml- Загл. с экрана.

82. Cisco Security Advisory: Multiple Vulnerabilities in Firewall Services Module Электронный ресурс. // Cisco. Электрон, дан. - 2007. - Режим доступа: http://www.cisco.com/wan3/public/707/cisco-sa-20071017-fwsm. shtml- Загл. с экрана.

83. Computer Crime and Security Survey 2010/2011 Электронный ресурс. // Computer Security University. Электрон, дан. - 2010. - Режим доступа: https://cours.etsmtl.ca/log619/documents/divers/CSIsurvey2010.pdf

84. Cost of Data Breach Study 2011. United States Электронный ресурс. // Symantec. Электрон, дан. - 2012. - Режим доступа: http://www.svman-tec.com/content/en/us/about/media/pdfs/b-ponemon-2011-cost-of-data-breach -us.en-us.pdf

85. DeviceLock. Программный комплекс защиты от утечек данных с корпоративных компьютеров Электронный ресурс. // SmartLine Inc. Электрон. дан. - 2011. - Режим доступа: http://www.devicelock.com/ ru/dl/devi-celock ru.pdf- Загл. с экрана.

86. Fry, Ch. Security Monitoring / Ch. Fry, M. Nystrom. O'Reilly, 2009-227 p.

87. Handbook of Global Optimization. Vol.1 /Ed. by R. Horst, P. M. Pardalos. -Dordrecht: Kluwer Academic Publishers, 1995. 569 p.

88. Hutton, N. Preparing for Security Event Management Электронный ресурс. / N. Hutton // 360 IS. Электрон, дан. - 2007. - Режим доступа: http:// www.windowsecuritv.com/uplarticle/NetworkSecuritv/360is-prep-sem.pdf -Загл. с экрана.

89. Ingham, К. A History and Survey of Network Firewalls Электронный ресурс. / К. Ingham, S. Forrest // The University of New Mexico. Электрон, дан. - 2002. - Режим доступа: http://www.cs.unm.edu/~treport/ tr/02-12/firewall.pdf - Загл. с экрана.

90. ISO/IEC IS 27001-2005. Information technology. Security techniques. Information security management systems. Requirements.-Bвeд.2005-10-15.-34 c.

91. Юб.Катага, S. Analysis of Vulnerabilities in Internet Firewalls Электронный ресурс. / S.Kamara [and oth.] // Purdue University. Электрон, дан. - 2003. - Режим доступа: http://www.cs.purdue.edu/homes/fahmy/papers/firewall-analysis.pdf - Загл. с экрана.

92. Kocjan, W. Learning Nagios 3.0 / W. Kocjan. Packt Publishing, 2008. -316p.

93. Morville, P. Information Architecture for the World Wide Web / P. Morville, L.Rosenfeld. O'Reilly Media, 1998. - 224 p.

94. Payment Card Industry (PCI) Data Security Standard. Version 2.0 Электронный ресурс. // PCI Security Standards Council. Электрон, дан. -2010. - Режим доступа: https://www.pcisecuritystandards.org/documents/ pci dss v2.pdf- Загл. с экрана.

95. Sarbanes-Oxley Act of 2002 Электронный ресурс. // Congress of the United States of America. Электрон, дан. - 2002. - Режим доступа: http://fhvebgate.access.gpo.gov/cgi-bin/getdoc.cgi?dbname=107 cong bills&docid=f:h3763enr.tst.pdf- Загл. с экрана.

96. Scarfone, К. Guide to Intrusion Detection and Prevention Systems (IDPS) Электронный ресурс. / К. Scarfone, P. Meli // NIST. Электрон, дан. -2007. - Режим доступа: http://csrc.nist.gov/publications/nistpubs/80Q-94/ SP800-94.pdf-Загл. с экрана.

97. Schneier, В. Managed security monitoring: network security for 21th century / B.Schneier. Counterpane Internet Security, Inc., 2005. - 6 p.

98. Schubert, M. Nagios 3 Enterprise Network Monitoring / M. Schubert, D. Bennett, J. Gines. Syngress, 2008. - 338 p.

99. Special Online Fraud Report: What to Expect in 2010 Электронный ресурс. // RSA. Электрон, дан. - 2009. - Режим доступа: http://docs. bankinfosecurity.com/files/whitepapers/pdf/316THREATWP0110.pdf -Загл. с экрана.

100. Szor, P. The Art of Computer Virus Research and Defense / P. Szor. Addison Wesley Professional, 2005. - 744 p.

101. The New World of eCrime: Targeted Brand Attacks and How to Combat Them // MarkMonitor. Электрон, дан. - 2009. - Режим доступа: http://docs.bankinfosecurity.eom/files/whitepapers/pdf/219 markmonitor wpeCrime.pdf- Загл. с экрана.

102. The Top Ten Insider Threats and How to Prevent Them Электронный ресурс. // Prism Microsystems. Электрон, дан. - 2010. - Режим доступа: http://www.bankinfosecurity.com/whitepapers.php?wpid=432 - Загл. с экрана.

103. Threats and countermeasures Электронный ресурс. // Microsoft Электрон. дан. - 2003. - Режим доступа: http://msdn.microsoft.com/en-us/lib-гагу/ aa302418.aspx. - Загл. с экрана.

104. Ulvila, J.W. Evaluation of Intrusion Detection Systems Электронный ресурс. /J.W. Ulvila, J.E. Gaffney // NIST. Электрон, дан. - 2007. - Режим flocTvna:http://nvl.nist.gov/pub/nistpubs/jres/108/6/i86ulv.pdf- Загл.с экрана.

105. Verizon Data Breach Investigations Report 2011 Электронный ресурс. // Verizon. Электрон, дан. - 2011. - Режим доступа: http://www.verizon business.com/resources/reports/rpdata-breach-investigations-report2011 en xg.pdf

106. West-Brown, M.J. Handbook for Computer Security Incident Response Teams (CSIRTs) / M.J. West-Brown, D. Stikvoort, K.P. Kossakowski. -Pittsburgh: Carnegie Mellon Software Engineering Institute, 2003. 201 p.

107. Wotring, B. Host Integrity Monitoring: Best Practises for Deployment Электронный ресурс. / B.Wotring // SecurityFocus. Электрон, дан. - 2004. -Режим flocTvna:http://www.securityfocus.com/infocus/1771- Загл. с экрана.

108. Xue, F. Attacking Antivirus Электронный ресурс. / F.Xue // Nevis Networks Inc. Электрон, дан. - 2008. - Режим доступа: http://www.black hat.com/presentations/bh-europe-08/Feng-Xue/Whitepaper/bh-eu-08-xue-WP.pdf- Загл. с экрана.

109. Zwicky, E.D. Building Internet Firewalls / E.D. Zwicky, S. Cooper, D. B.

110. Chapman. 2nd ed. - O'Reilly Media, 2000. - 896 p.