автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Разработка комплексной системы защиты электронного документооборота предприятия
Автореферат диссертации по теме "Разработка комплексной системы защиты электронного документооборота предприятия"
На правах рукописи
Киселев Антон Валерьевич
РАЗРАБОТКА КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА ПРЕДПРИЯТИЯ
Специальность: 05.13.19 - «Методы и системы защиты информации,
информационная безопасность»
АВТОРЕФЕРАТ
диссертации на соискание ученой степени кандидата технических наук
Москва - 2006
Работа выполнена в ФГУП "Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации".
Научный руководитель доктор технических наук,
Матюхин Владимир Георгиевич Официальные оппоненты доктор технических наук, профессор
Шубинский Игорь Борисович кандидат технических наук, доцент Шеин Анатолий Васильевич Ведущая организация Компания «РНТ»
Защита диссертации состоится « 30 » НЛрТ&- 2006 г. в часов на заседании диссертационного совета Д 219.007.02 в ФГУП "Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации" по адресу: 115114, г.Москва, 2-ой Кожевнический пер., д.8
С диссертацией можно ознакомиться в библиотеке ФГУП "Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации".
Автореферат разослан « 28 » февраля 2006 г.
Ученый секретарь диссертационного совета, кандидат технических наук Л Гордон М.Б.
Общая характеристика работы
Актуальность работы. Переход к электронным формам управления государственной и коммерческой деятельностью закономерен и обусловлен развитием экономики, социальной сферы и сферы управления. В условиях экспоненциального роста объемов информации, требуемой для обеспечения деятельности, бумажный документооборот не обеспечивает эффективности обмена, обработки, хранения и использования информации, все более сложным становится поиск и обработка документов, все больше места занимают архивы документов. Практика показывает, что естественным выходом в этом случае является переход к электронному документообороту
од).
Наличие в электронном документообороте сведений, составляющих коммерческую тайну, конфиденциальную информацию, порождает необходимость его защиты, однако зачастую подходы к защите ЭД носят фрагментарный характер. Требует совершенствования комплекс нормативного и научно-методического обеспечения организации работ с документированной информацией на различных уровнях управления, включая ее защиту.
«Исследование проблем создания и развитие защищенных информационно-телекоммуникационных систем, в том числе разработка методов выбора архитектуры и расчета параметров этих систем, математических моделей и технологий управления, системного и прикладного программного обеспечения с интеграцией функций защиты» признано одним из приоритетных направлений научных исследований в области информационной безопасности Российской Федерации («Приоритетные проблемы научных исследований в области информационной безопасности Российской Федерации». Одобрены секцией по информационной безопасности Научного совета при Совете Безопасности Российской Федерации, протокол от 28 марта 2001г. №1).
В условиях увеличения числа реализованных атак, а также изменения
РОС. НАЦИи?:*.*......
БИБЛИОТЕКА
с. Петербург /а \
актуальности различных угроз, использование в автоматизированных информационных системах предприятия одного или одновременно нескольких разнотипных средств защиты электронного документооборота является необходимым, но недостаточно эффективным решением по обеспечению безопасности его функционирования. Большинство актуальных угроз и атак можно предупредить и успешно отразить созданием комплексной автоматизированной системы защиты и эффективным управлением ею в процессе эксплуатации, что определяет актуальность диссертации.
Целью работы является разработка комплексной системы защиты электронного документооборота (КСЗЭД) предприятия и мероприятий по ее внедрению и управлению.
Объектом исследования в диссертации является предприятие, а предметом исследования - комплексная система защиты электронного документооборота предприятия.
Решаемые задачи. В соответствии с указанной целью в работе поставлены следующие научные задачи:
• на основе анализа условий функционирования автоматизированных информационных систем предприятия определить актуальные требования, предъявляемые к системе защиты электронного документооборота;
• разработать методику оценки эффективности защиты электронного документооборота предприятия, с помощью которой провести оценку степени соответствия механизмов защиты существующих автоматизированных информационных систем актуальным требованиям;
• разработать архитектуру системы защиты электронного документооборота предприятия адекватную актуальным требованиям и определить пути повышения ее эффективности;
• разработать практические рекомендации по созданию, внедрению и управлению системой защиты электронного документооборота.
Методы исследования. Методологическую основу исследования составляют системный анализ, метод сравнения и аналогии, метод статистических испытаний, методы сетевого программирования, теория массового обслуживания, методы моделирования действий персонала, методы оценки экономической эффективности и другие.
Научная новизна проведенных исследований и полученных в работе результатов заключается в следующем:
• разработана универсальная архитектура, позволяющая создавать комплексную систему защиты электронного документооборота предприятия, способную противостоять актуальным угрозам и атакам;
• показано, что архитектура системы защиты должна строиться исходя из требуемого уровня защиты, определяемого на основе требований руководящих документов ФСТЭК России, расширенных дополнительными требованиями, сформулированными на основе статистики осуществленных и прогнозируемых атак на автоматизированные информационные системы (АИС) предприятия;
• разработана методика количественной оценки эффективности защиты электронного документооборота предприятия, позволяющая использовать в расчетах данные статистики реализованных атак, удельную стоимость защищаемых электронных документов, стоимость механизмов системы защиты, а также производительность автоматизированной информационной системы;
• с использованием существующих международных стандартов и рекомендаций разработана система управления КСЗЭД, уточнены границы ответственности должностных лиц предприятия, а также определены их функции.
Практическая ценность полученных в работе результатов заключается в следующем:
• разработанная методика позволяет моделировать архитектуру комплексной системы защиты АИС предприятия в зависимости от
финансовых средств, выделяемых бюджетом предприятия на ее создание или развитие, а также допустимого снижения производительности АИС при внедрении новых механизмов защиты;
• разработанные рекомендации по выбору архитектуры комплексной системы защиты электронного документооборота предприятия позволяют повысить эффективность защиты электронного документооборота и вкладываемых денежных средств;
• разработанные мероприятия по внедрению и управлению КСЗЭД позволяют руководителям предприятия определять порядок ее создания, содержание работ и функции обслуживающего персонала.
На защиту выносятся следующие основные результаты работы:
• расширенный набор требований к защите электронного документооборота предприятия;
• методика оценки эффективности зашиты электронного документооборота предприятия на основе коэффициента защищенности;
• архитектура комплексной системы защиты электронного документооборота;
• практические рекомендации по построению комплексной системы защиты электронного документооборота предприятия и ее управлению.
Реализация и внедрение результатов работы. Выводы и рекомендации по построению КСЗЭД предприятия и управлению ею проверены в ходе разработки, внедрения и эксплуатации системы защиты в ЗАО "Московская межбанковская валютная биржа", ЗАО "ОКБ САПР" и ФГУП "Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации" (ВНИИПВТИ).
Апробация работы. Полученные в ходе диссертационного исследования научные выводы и положения докладывались на семинарах ВНИИПВТИ, а также на VIII и IX Международных научно-практических
конференциях «Комплексная защита информации» (Москва-Минск. ФСТЭК России, Государственный центр безопасности информации, 2004-2005 г.).
Публикации. Основные результаты диссертации опубликованы в 4-х печатных работах.
Структура и объем диссертации. Диссертация состоит из введения, трех глав, заключения, списка литературы и 16 приложений. Общий объем диссертационной работы составляет 126 страниц текста, включает 26 рисунков, 1 таблицу. Список литературы включает 139 наименований.
Основное содержание работы
В введении обосновывается актуальность темы диссертации, выделяются и формулируются цели и задачи исследования, описывается структурно-логическая схема диссертационного исследования.
В первой главе исследуются и уточняются методы и пути решения поставленной научной задачи, для чего проводится анализ условий, влияющих на организацию защиты документооборота, выявляются факторы, определяющие архитектуру системы защиты электронного документооборота.
Пути решения поставленной научной задачи можно объединить в три группы, касающиеся создания системы защиты электронного документооборота, ее внедрения и управления в процессе эксплуатации.
Изучение возможностей представленных на российском рынке средств защиты электронного документооборота, а также существующих АИС показало, что во многих продуктах форматы хранения служебной информации, порядок вызова функций, связанных с защитой электронного документооборота, реализованы исходя из предпочтений разработчика. Применение нескольких средств защиты от разных разработчиков, в составе системы защиты, может привести к выходу из строя одного из них, к выключению функций защиты от определенного вида атак и снижению эффективности защиты в целом. Например, одновременное использование
g
программных продуктов компаний McAfee и «Лаборатория Касперского» приводит к выходу из строя программного продукта СКЗИ «ВЕРБА-OW» компаний ЗАО «МО ПНИЭИ» и ООО «Валидата».
Выше приведенные недостатки можно исключить путем создания комплексной системы защиты электронного документооборота предприятия, в которой отдельные элементы защиты взаимодействуют друг с другом через реализованные стандартные интерфейсы взаимодействия, а также имеется возможность централизованного управления самой системой.
Исследование существующих практических подходов к созданию системы защиты электронного документооборота показало, что предлагаемые системы, как правило, представляют собой набор механизмов защиты. При этом, не учитываются взаимосвязи организационного и структурного построения системы защиты, а также условия функционирования электронного документооборота конкретного предприятия. Устранить эти недостатки можно путем предварительной разработки архитектуры системы защиты электронного документооборота для конкретного предприятия через ее функциональное, организационное и структурное построение.
Эффективность работы любой системы защиты электронного документооборота на всех стадиях ее жизненного цикла, в условиях изменения актуальности угроз и атак, должна постоянно проверяться периодическими исследованиями и соответствующими расчетами. Анализ содержания методик проведения подобных расчетов в области информационной безопасности (оценки экономических рисков, экспертных оценок, оценки на основе коэффициента защищенности) показал, что они не могут применяться в целом для оценки эффективности защиты электронного документооборота из-за отсутствия в них учета особенностей электронного документооборота предприятия. В работе также отмечено, что в них отсутствуют показатели, с помощью которых руководство предприятия может осуществлять планирование расходов на создание,
развитие и поддержку системы защиты. Эти недостатки можно устранить путем разработки соответствующей методики оценки эффективности защиты электронного документооборота.
Опыт построения систем защиты электронного документооборота предприятия показывает, что создание, внедрение и поддержка системы защиты требуют значительных финансовых затрат. В диссертации показано, что снизить эти затраты можно рационализацией архитектуры системы защиты от минимально достаточного до требуемого уровня защиты.
Анализ практических подходов к организации защиты электронного документооборота предприятия позволил выявить ряд недостатков, основными из которых являются: принятие решения на создание и эксплуатацию системы защиты возлагается на сотрудников, отвечающих за поддержку компьютерных сетей и программного обеспечения, при этом не определяются их функции; не определяются ответственность и функции должностных лиц управления предприятия в сфере защиты и другие. Устранить эти недостатки можно путем определения должностных обязанностей всех лиц, привлекаемых к разработке системы защиты электронного документооборота предприятия, ее внедрению и управлению.
Исследование статистики реализованных атак за последние 5 лет показало, что ежегодно в мире возникает множество новых видов атак, изменяется их значимость, растут объемы наносимого вреда. Рекомендации и требования различных нормативно-правовых актов и руководящих документов не могут своевременно отражать в своем содержании соответствующую реакцию. В этих условиях эффективность КСЗЭД предприятия можно поддерживать путем ее модернизации на основе результатов прогнозирования и проведенных специальных исследований в системе. Это позволит предотвратить или снизить на предприятии объемы ущерба от перспективных угроз и атак.
Анализ условий функционирования автоматизированных информационных систем, а так же статистики реализованных атак за
последние 5 лет позволил выявить недостатки существующих систем защиты и сформулировать расширенный набор требований к защите электронного документооборота предприятия.
Первую часть расширенных требований определило наличие в предприятии многопользовательских АИС, в которых одновременно обрабатываются и (или) хранятся документы с информацией разных уровней конфиденциальности и не все пользователи имеют право доступа ко всем документам. В соответствии с положениями Руководящего документа ФСТЭК России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования к защите информации» АИС предприятия относятся к 1-й группе автоматизированных систем и должны отвечать минимальной совокупности требований по защите от НСД класса защищенности 1 Г.
Вторую часть составляют дополнительные актуальные требования, основными из которых являются:
- во внешнем ЭД: должно осуществляться обнаружение и удаление вредоносных программ в электронных документах; должен осуществляться анализ передаваемого потока данных с целью выявления и предупреждения атак на почтовые и \уеЬ-сервисы; должен постоянно проводиться анализ корректности реквизитов документов установленным требованиям и удаление документов не соответствующих этим требованиям; должен осуществляться контроль числа одновременных соединений сервера АИС с серверами внешних получателей (отправителей) электронных документов и предупреждение недопустимых перегрузок; должно осуществляться выявление и блокирование внешнего сканирования серверов АИС предприятия;
- во внутреннем ЭД: должен осуществляться контроль корректности задаваемых паролей для субъектов доступа к защищаемым ресурсам; должна осуществляться регистрация атак на средства аутентификации; должен осуществляться контроль целостности программного обеспечения
АИС предприятия; должно осуществляться автоматическое обновление программного обеспечения из доверенных источников программного обеспечения; должна осуществляться регистрация событий деятельности субъектов доступа в корпоративной сети предприятия и блокирование несанкционированных действий и другие.
Таким образом, в результате анализа условий функционирования автоматизированных информационных систем предприятия был выявлены недостатки и определены актуальные требования, предъявляемые к системе защиты электронного документооборота. Реализация этих требований в составе КСЗЭД предприятия позволит обеспечить надежную защиту электронного документооборота.
Вторая глава посвящена разработке комплексной системы защиты электронного документооборота предприятия. В данной главе описывается архитектура КСЗЭД предприятия, порядок ее создания и взаимосвязь компонентов системы защиты.
На создание КСЗЭД необходимы финансовые затраты, размер которых зависит от сложности архитектуры и системы в целом, а также требуемого уровня защиты электронного документооборота. Высокая стоимость средств защиты предопределила необходимость поиска максимально требуемого и минимально достаточного решений по созданию системы защиты для предприятия, а также потребовала разработку специальной методики, получившей название в работе - «методика оценки эффективности защиты электронного документооборота предприятия». Сущность методики заключается в следующем. Вводится понятие «коэффициент защищенности» и определяются его пороговые значения, характеризующие минимальный и максимально требуемый уровни защиты. Исходя из заданных параметров системы защиты и удельной стоимости защищаемых электронных документов, проводится расчет соответствующего им коэффициента защищенности, значение которого сравнивается с пороговыми.
Показано, что эффективность защиты электронного документооборота (Т) зависит от удельной стоимости защищаемых электронных документов (С инф), вероятности взлома (рВ1л), стоимости средств защиты электронного документооборота (Цсз) и производительности автоматизированной информационной системы при внедрении средств защиты (По):
2 = АС1Юф,рв„,Цсз,Лс3) (1)
Удельная стоимость защищаемых электронных документов может быть определена как стоимость похищенных/искаженных/утерянных электронных документов или как затраты от невозможности получения доступа к электронному документу.
Расчет удельной стоимости защищаемых электронных документов ведется для каждого вида угроз (¡=1, ..., Поэтому общая стоимость защищаемых электронных документов есть множество стоимостей защищаемых электронных документов для каждого вида угроз.
Основным методом определения вероятности взлома защиты электронного документооборота предложен статистический метод, когда на основе статистики угроз конкретной автоматизированной информационной системы определяется вероятность взлома. Вероятность взлома автоматизированной информационной системы предприятия есть множество вероятностей реализации различных угроз.
Стоимость защиты и производительность автоматизированной информационной системы после внедрения средств защиты информации определяются путем задания ограничений:
ЦС3±Ц,а* И Пс, > Пш) На практике возможно задание ограничения по производительности не непосредственно в виде требуемой производительности системы, а как допустимое снижение производительности (<Шсз) автоматизированной информационной системы от установки средств защиты электронного
документооборота В этом случае ограничение будет выглядеть следующим образом:
дПп < с)П ш11
Использование в (1) показателей СИНф, резл, Исз> Псз пе дает возможности проведения количественной оценки эффективности защиты электронного документооборота. В связи с этим предложено заменить С„Яф и рвш на некоторый параметр, показывающий соотношение этих показателей при вводе дополнительных средств защиты в автоматизированную информационную систему предприятия В качестве такого параметра защищенности введено понятие «коэффициент защищенности» (Б), показывающий относительное уменьшение риска в защищенной системе (Л,аш) по сравнению с незащищенной системой (ЯНС1):
Я,
£ = 1-
защ
При этом задача повышения эффективности защиты электронного документооборота предприятия может быть выражена следующим образом:
■Цс^Ц,а,> (2)
пС1>л,а11
или, если задано снижение производительности АИС, выражение (2) будет выглядеть следующим образом:
ЩС.шф'Р^'+тах
Цсз^Ц^ апс,<апш
Расчет коэффициента защищенности (Б) проводится по формуле::
tc.-Q.-a-p,) ¿с,ч-0-л)
£> = 1_1±!___-= --(3)
¿с, & ¿с, я,
;=1 1=1
где: w - количество видов угроз, воздействующих на систему; C,(i - 1,..., w) _ стоимость (потери) от взлома i-oro вида; Л (i = 1 нЛ
л 1>> - интенсивность потока взломов 1-ого вида;
Q,(i - t-.w) _ вер0ЯТН0СТЬ появления угроз i-oro вида в общем потоке попыток преодоления защиты электронного документооборота, причем
а4;
Л
p,(i = 1,...,w) - вероятность отражения угроз i-oro вида защитой электронного документооборота.
Как видно из (3) для расчета D необходимо задать значения показателей С„ Q„ р„ X,. В настоящее время существует несколько методов задания их исходных значений:
• метод статистической оценки, исходными данными для которого являются показатели из публикуемой статистики;
• оптимистически-пессимистический метод - в рамках данного метода предусмотрено два разных способа задания исходных значений:
- способ равных интенсивностей - VÁ, =а,а = const;
- способ пропорциональности потерям - Л, = а -С,,а = const;
• метод экспертной оценки.
Весь алгоритм оценки эффективности защиты электронного документооборота можно свести к следующим шагам:
1 шаг. Расчет показателей С„ Х„ р, для оценки защищенности по
исходным данным.
2 шаг. Расчет критерия защищенности D, показателей Цсз, Псз (<ШСз)
для каждого варианта защиты электронного документооборота.
3 шаг. Выбор варианта защиты электронного документооборота с
максимальным значением коэффициента защищенности D, при
заданных ограничениях по стоимости ЦСз и производительности Псз.
4 шаг. Анализ результатов моделирования изменения коэффициента защищенности (АО) при задании приращений для показателей ЛЦсз и ДПСз методом последовательного выбора уступок, с оценкой целесообразности выбора схемы защиты электронного документооборота, удовлетворяющей новым ограничениям
Электронный документооборот считается защищенным, когда при заданных ЦСз и Псз (сИ1сз) коэффициент защищенности принимает следующие значения:
£>>0,99
Описанная методика позволяет оценивать эффективность защиты электронного документооборота предприятия, определять необходимость новых дополнительных механизмов защиты в КСЗЭД предприятия, а также осуществлять комплектацию последних, исходя из соотношения цены механизмов и эффективности системы защиты.
Проведенные расчеты показали, что значение коэффициента защищенности, при котором системой защиты обеспечивается минимальный уровень защиты электронных документов, сформулированный в руководящих документа ФСТЭК России, составляет 0,942474.
Разработка архитектуры и внедрение КСЗЭД предприятия с учетом всех актуальных требований позволяет создавать систему защиты высокого уровня с коэффициентом защищенности свыше 0,99, но требует значительных финансовых затрат. Последнее обстоятельство вызвало необходимость проведения ранжирования дополнительных механизмов защиты, по значимости и финансовым затратам, которое позволило определить пути совершенствования КСЗЭД предприятия и последовательность ее модернизации.
Программная часть АИС предприятия
Модуль шифрования передаваемых данных
Модуль контроля корректности загружаемых данных
Интерфейс взаимодействия
Подсистема управления ЭД
Модуль управления ПО сервера
Модуль обеспечения защиты внешнего ЭД
Модуль управления защитой ЭД предприятия
Журналы системы _ безопасности
Модуль ведения журналов
Модуль идентифи' кации и аутентификации
База данных учетных записей поль-_ зователей ,
/
Модуль шифрования трафика
Модуль управления ЭЦП
Банк ЭЦП
Модуль обеспечения защиты внутреннего ЭД
Модуль шифрования электронных документов
Модуль контроля защиты ЭД предприятия
Предприятие
И нтеллектуальное средство фильтрации входящего трафика
Пользователи
3
Обслуживающий персонал
Рис. 1. Механизмы обеспечения защиты электронного документооборота предприятия.
в
Поскольку система защиты электронного документооборота предприятия является функциональной подсистемой автоматизированной информационной системы предприятия, то ее архитектура должна состоять из функционального, организационного и структурного построения.
Функциональное построение КСЗЭД предприятия предлагается интерпретировать как организованную совокупность функций обеспечения защиты электронного документооборота, общей организации системы защиты, управления механизмами обеспечения защиты электронного документооборота.
Организационное построение КСЗЭД предприятия состоит из трех частей: механизмов обеспечения защиты электронного документооборота (рис. 1), механизмов управления механизмами обеспечения защиты (рис. 2) и механизмов общей организации работы системы (рис. 3).
Структурное построение КСЗЭД предприятия должно иметь вид, представленный на рис.4.
Рис. 2. Механизмы управления механизмами обеспечения защиты электронного документооборота предприятия.
Рис. 3. Механизмы общей организации работы комплексной системы защиты электронного документооборота предприятия.
I
Человеческий компонент
1 . 1
Пользователи Администрация АИС Диспетчеры и операторы АИС | Администраторы банков ' данных Обслуживающий персонал Системные программисты
Служба информационной безопасности
Комплексная система защиты электронного документооборота предприятия
Организационно-правовое обеспечение
_
о 1 О
X ©
I . £
5 £ и Ь О в
т » Ф 5. а
о 9 £
н в 2 £ X •з
X X 1 Я X X
О I
I
Ресурсы информационно-вычислительной системы
Рис. 4 Структурная схема комплексной системы защиты электронного документооборота предприятия.
Результаты расчетов показали, что предложенная в работе архитектура КСЗЭД предприятия обладает высокой эффективностью (-О = 0,999 > 0,99)
и удовлетворяет всем актуальным требованиям, предъявляемым к защите электронного документооборота, в том числе и на перспективу в ближайшие 5 лет.
Исследование различных вариантов архитектуры КСЗЭД предприятия, позволило определить пути совершенствования системы защиты с эффективностью от минимально достаточной до максимально требуемой, а также последовательность ее модернизации. Создание и внедрение КСЗЭД предприятия, обладающей минимально достаточной эффективностью защиты, позволяет снизить первоначальные затраты предприятия, а также проводить модернизацию и поэтапное наращивание возможностей системы, в зависимости от наличия финансовых средств в процессе эксплуатации. В перечень механизмов, необходимых для создания КСЗЭД предприятия с минимально достаточной эффективностью, входят:
• механизм предотвращения несанкционированного доступа к информационным ресурсам;
• механизм предотвращения получения вирусов;
• механизм предотвращения раскрытия и модификации трафика;
• механизм предотвращения перехвата документов внешнего электронного документооборота;
• механизм предотвращения раскрытия и модификации данных в электронных документах;
и, дополнительно, один из ниже приведенных механизмов:
• механизм предотвращения несанкционированного доступа к документам внешнего электронного документооборота;
• механизм предотвращения фальсификации документов;
• механизм предотвращения раскрытия конфигурации автоматизированной информационной системы;
• механизм предотвращения краж носителей информации;
• механизм предотвращения разрушения архивных электронных документов.
В третьей главе рассматриваются аспекты реализации комплексной системы защиты электронного документооборота предприятия, которые включают в себя разработку практических рекомендаций по построению КСЗЭД предприятия и ее управлению.
Как показывает практика, высокая эффективность работы КСЗЭД предприятия обеспечиваются не только количественно-качественным увеличением механизмов и средств защиты, но и способностью соответствующих органов управления предприятия правильно организовывать защиту, управлять действиями служб и служащих подразделений, привлекаемых для выполнения задач в сфере защиты электронного документооборота.
Для обеспечения эффективной работы системы защиты электронного документооборота в диссертации, в зависимости от категории предприятия, предложены варианты организации служб и подразделений, на которые возложены соответствующие функции. Так, для крупного предприятия предложено создать отдел собственной безопасности, в который организационно входят служба физической охраны, основной функцией которой является охрана самого предприятия, выпускаемой им продукции и других материальных средств, а также служба информационной безопасности, в составе которой имеется секция защиты автоматизированных информационных систем, сотрудники которой отвечают за исправную работу КСЗЭД предприятия.
На малом предприятии, где ввод отдельного подразделения экономически не целесообразен, функции по обеспечению эффективной работы системы защиты предложено возложить на сотрудников подразделения, обеспечивающих работу вычислительной сети.
Практические рекомендации по управлению системой защиты электронного документооборота предприятия в работе приводятся:
• при проведении регламентных работ на автоматизированной информационной системе;
• при проведении исследований, связанных с изучением защищенности электронного документооборота на предприятии;
• при возникновении события атаки на электронный документооборот предприятия.
При выполнении перечисленных мероприятий и работ в диссертации определено их содержание, уточнены границы ответственности и функции должностных лиц, сотрудников служб, обеспечивающих исправную работу системы защиты, а также порядок их взаимодействия при возникновении угроз и атак на электронный документооборот. Разработан перечень нормативно-распорядительной документации КСЗЭД предприятия.
В заключении обобщаются результаты проделанной работы, а также определяются направления дальнейших исследований.
Основные результаты исследования:
1. Сформулирован расширенный набор требований к защите электронного документооборота предприятия, как совокупность минимальных требований, определенных руководящими документами ФСТЭК России, и 12 дополнительных актуальных требований.
2. Разработана методика оценки эффективности защиты электронного документооборота, позволяющая количественно оценить уровень защиты электронного документооборота предприятия, определить необходимость в новых дополнительных механизмах защиты, а также осуществлять комплектацию последних, исходя из соотношения цены механизмов и эффективности системы защиты.
3. Разработан вариант архитектуры комплексной системы защиты, при котором электронный документооборот считается защищенным (О > 0,99),
стоимость разработки и внедрения которой на 40% меньше, чем системы, отвечающей всем актуальным требованиям, а эффективность - на 5,1% выше, чем у системы защиты, удовлетворяющей минимальным требованиям.
4. Разработаны практические рекомендации по построению КСЗЭД предприятия и управлению ею в различных условиях. Уточнены границы « ответственности и функции руководства предприятия и сотрудников служб, обеспечивающих исправную работу системы защиты, определен перечень
ш
нормативно-распорядительных документов.
По теме диссертации опубликованы следующие работы:
1. Киселев A.B. Электронная цифровая подпись как один из способов защиты электронного документооборота // Комплексная защита информации. Материалы VIII Международной конференции 23-26 марта 2004 года, Валдай (Россия). - Мн.: ОИПИ HAH Беларуси, 2004. -С. 97-100
2. Киселев A.B. О соответствии систем автоматизации электронного документооборота требованиям ФСТЭК России // Комплексная защита информации. Материалы IX Международной конференции 1-3 марта 2005 года, Раубичи (Беларусь). - Мн.: ОИПИ HAH Беларуси, 2005. -С.74-77
3. Киселев A.B. Методы фильтрации "спама" во входящих электронных документах // Комплексная защита информации. Материалы IX Международной конференции 1-3 марта 2005 года, Раубичи (Беларусь). - Мн.: ОИПИ HAH Беларуси, 2005. - С. 127-129
4. Киселев A.B. К вопросу обеспечения безопасности электронного документооборота // Проблемы безопасности и чрезвычайных
»
ситуаций. Научный информационный сборник. -М.: ВИНИТИ, 2005. -№2 - С.59-63
Киселев Антон Валерьевич
РАЗРАБОТКА КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТ А ПРЕДПРИЯТИЯ
Подписано в иеча!ь 20 02 2006 Формат 60x84 1/16 Бума! а писчая Печать цифровая Уел неч л 1,34 Тираж 100 экз.
Лее?6А
,-- 4 4 7 »
♦
i
i
i
Оглавление автор диссертации — кандидата технических наук Киселев, Антон Валерьевич
ВВЕДЕНИЕ.
Глава первая. АНАЛИЗ ТРЕБОВАНИЙ К ОРГАНИЗАЦИИ ЗАЩИТЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА ПРЕДПРИЯТИЯ.
1.1. Анализ условий, влияющих на организацию защиты электронного документооборота предприятия.
1.2. Факторы, определяющие структуру системы защиты электронного документооборота предприятия.
1.3. Угрозы и атаки, учитываемые при формировании архитектуры системы защиты электронного документооборота.
Выводы.
Глава вторая. РАЗРАБОТКА ЭФФЕКТИВНОЙ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА ПРЕДПРИЯТИЯ.
2.1. Методика оценки эффективности защиты электронного документооборота предприятия.
2.2. Разработка функционального, организационного и структурного содержания архитектуры комплексной системы защиты.
2.3. Основные пути повышения эффективности защиты электронного документооборота.
Выводы.
Глава третья. ПРАКТИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ПОСТРОЕНИЮ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА ПРЕДПРИЯТИЯ И ЕЕ УПРАВЛЕНИЮ.
Введение 2006 год, диссертация по информатике, вычислительной технике и управлению, Киселев, Антон Валерьевич
В современных условиях быстрота принятия решений и их оперативная реализация выступают решающими факторами успешной работы и достижения поставленных целей, а наличие и широкое использование информационно-телекоммуникационных систем становится залогом эффективной работы любого предприятия.
В условиях экспоненциального роста объемов информации, требуемой для обеспечения коммерческой деятельности, переход предприятий к электронным формам управления и электронному документообороту позволил получить ряд преимуществ:
- повысить эффективность управления бизнес-процессами за счет улучшения исполнительской дисциплины, оптимизации контроля выполнения задач, анализа организационно-распорядительной деятельности;
- повысить оперативность и качество управленческих решений;
- повысить эффективность работы и надежность функционирования предприятия;
- сократить непроизводительные затраты рабочего времени сотрудников;
- создать единое информационное пространство предприятия (организации);
- обеспечить надежность учета и хранения документов;
- организовать эффективный контроль различных направлений деятельности предприятия (организации) и другие.
Информационные ресурсы и информационные системы относятся к ряду основных защищаемых элементов во всех сферах жизнедеятельности современных предприятий. Сегодня активно развиваются средства негативного информационного воздействия на эти элементы, противодействие которым требует широких разноплановых исследований и разработок соответствующих концепций, программ организации конкретных работ в области создания средств, методов и методик обеспечения информационной безопасности. Создание и организация функционирования любых современных структур и систем, прежде всего, требует обеспечения их информационного взаимодействия с внешней средой. Это взаимодействие должно быть максимально надежно и безопасно, что в условиях отмечаемого экспертами экспоненциального ежегодного роста числа признанных инцидентов становится сложной задачей (по данным международного координационного центра CERT в 2000 году официально заявлено о 21756 успешных атаках, в 2001 г. - 52658, в 2002 г. - 82094 и в 2003 г. - 137529).
Незаконное (несанкционированное) использование, хищение или искажение деловой (банковской, коммерческой, статистической) информации неизбежно ведет к значительным экономическим потерям (по оценкам mi2g в результате проведенных успешных атак в 2003 году мировая экономика потеряла 254 млрд. долларов, а в 2004 - 507 млрд. долларов). Именно поэтому «Исследование проблем создания и развитие защищенных информационно-телекоммуникационных систем, в том числе разработка методов выбора архитектуры и расчета параметров этих систем, математических моделей и технологий управления, системного и прикладного программного обеспечения с интеграцией функций защиты» признано одним из приоритетных направлений научных исследований в области информационной безопасности Российской Федерации («Приоритетные проблемы научных исследований в области информационной безопасности Российской Федерации». Одобрены секцией по информационной безопасности Научного совета при Совете Безопасности Российской Федерации, протокол от 28 марта 2001г. №1).
Крупный вклад в развитие теории и практики безопасности сложных информационных систем, информационного взаимодействия, защиты технических, программных и информационных ресурсов внесли отечественные ученые. В их числе академики Н. А. Кузнецов, В. А. Садовничий, К. В. Фролов, а также такие известные ученые, как В. А. Герасименко, А. А. Грушо, П. Д. Зегжда, В. А. Конявский, Г. О. Крылов, А. А. Малюк, Б. А. Погорелов, С. П. Расторгуев, В. Н. Саблин, А. А. Стрельцов, М. П. Сычев, А. Ю. Щербаков и другие. Ими была сформирована теоретическая и практическая база для разработки теоретических положений и практического использования средств защиты информации, электронных документов и информационных технологий электронного документооборота.
В научных исследованиях в области информационной безопасности вышеперечисленных ученых выделяются два качественно разных направления. Первое - это защита информации в форме сведений на традиционном носителе (бумажном, магнитном, оптическом). Второе -защита процессов преобразования информации - технологий, инвариантных к содержанию защищаемой информации. Несмотря на значительные достоинства каждого из этих направлений, проблема комплексного применения методов и средств защиты обоих направлений к настоящему времени недостаточно полно изучена и освещена, отсутствуют методики оценки эффективности системы защиты электронного документооборота на предприятиях.
На практике, на большинстве предприятий и в организациях существуют два основных подхода к созданию защищенных автоматизированных информационных систем: фрагментарный и комплексный. При фрагментарном подходе вначале организуется защита от одной угрозы, затем от другой и т. д. При этом внимание уделяется только одному из направлений: защита информации в форме сведений на носителе или защита технологий преобразования информации. Основной недостаток фрагментарного подхода очевиден - при применении этого подхода подсистема защиты автоматизированной информационной системы (АИС) представляет собой набор разрозненных программных, аппаратных и программно-аппаратных продуктов, поступающих, как правило, от разных производителей. Эти продукты работают независимо друг от друга, организовать их тесное взаимодействие практически невозможно. Кроме того, отдельные элементы такой подсистемы защиты могут некорректно работать в присутствии друг друга, что приводит к снижению надежности системы. Поскольку подсистема защиты, созданная на основе фрагментарного подхода, не является неотъемлемой компонентой АИС, при отключении отдельных защитных функций в результате несанкционированных действий пользователя-злоумышленника, остальные элементы АИС продолжают нормально работать, что еще более снижает надежность защиты.
При комплексном подходе защитные функции внедряются в АИС на этапе ее разработки и развертывания, и являются ее неотъемлемой частью, при этом защищается не только информация в форме сведений на носителе, но и процессы преобразования информации. Отдельные элементы подсистемы защиты, созданной на основе комплексного подхода, тесно взаимодействуют друг с другом при решении различных задач, связанных с организацией защиты электронного документооборота. Поскольку вся подсистема защиты разрабатывается и тестируется в совокупности, конфликты между ее отдельными компонентами исключены. Подсистема защиты, созданная на основе комплексного подхода, может быть устроена так, что при фатальных сбоях в функционировании ее ключевых элементов она все равно остается способной не допустить проникновение злоумышленника путем отключения АИС или автоматического ввода в строй запасных элементов защиты взамен поврежденных.
Несмотря на свои достоинства второй подход имеет существенный недостаток — он не обеспечивает полную и достаточную защиту информационной системы предприятия от новых и перспективных угроз. Он не дает возможности персоналу предприятия самостоятельно, в короткий период времени, изменять архитектуру системы защиты, адекватную воздействию новых видов атак. Этот недостаток можно исключить путем создания стандартизованных интерфейсов взаимодействия элементов системы защиты АИС предприятия. Тогда становится возможным подключение новых механизмов защиты, поддерживающих этот стандартный интерфейс взаимодействия и предотвращающих нанесение вреда от новых видов угроз, а так же изменение конфигурации архитектуры системы защиты электронного документооборота предприятия в короткий промежуток времени.
В практической деятельности по обеспечению режима информационной безопасности предприятия уделяют основное внимание выполнению требований и рекомендаций соответствующей российской нормативно-методической базы в области защиты информации. Однако расчетами, проведенными в настоящем исследовании, установлено, что выполнение требований существующих руководящих документов позволяет обеспечить только минимальный уровень защиты электронных документов и электронного документооборота в целом. Поэтому многие ведущие отечественные предприятия сегодня используют дополнительные инициативы, направленные на обеспечение устойчивости и стабильности функционирования корпоративных информационных систем для поддержки непрерывности бизнеса в целом.
Необходимость взаимной оценки и увязки разных по содержанию направлений и практических подходов к построению эффективных систем защиты электронного документооборота на предприятии, с использованием современных научных достижений, определяют актуальность темы диссертации.
Создание комплексной системы защиты электронного документооборота и поддержка ее функционирования на предприятии предусматривает совместное использование физических, организационно-технических мер и мероприятий, юридических и законодательных норм и др.
Целью диссертации является разработка комплексной системы защиты электронного документооборота (КСЗЭД) предприятия и мероприятий по ее внедрению и управлению. Исследование посвящено поиску и обоснованию повышения эффективности КСЗЭД в рамках существующих автоматизированных систем предприятий. Объектом исследования в диссертации является предприятие, а предметом исследования - комплексная система защиты электронного документооборота предприятия.
Для достижения поставленной цели в работе решались следующие задачи:
• на основе анализа условий функционирования автоматизированных информационных систем предприятия определить актуальные требования, предъявляемые к системе защиты электронного документооборота;
• разработать методику оценки эффективности защиты электронного документооборота предприятия, с помощью которой провести оценку степени соответствия механизмов защиты существующих автоматизированных информационных систем актуальным требованиям;
• разработать архитектуру системы защиты электронного документооборота предприятия адекватную актуальным требованиям и определить пути повышения ее эффективности;
• разработать практические рекомендации по созданию, внедрению и управлению системой защиты электронного документооборота.
Методологическую основу исследования составляют системный анализ, метод сравнения и аналогии, метод статистических испытаний, методы сетевого программирования, теория массового обслуживания, методы моделирования действий персонала, методы оценки экономической эффективности и другие.
Научная новизна проведенных исследований и полученных в работе результатов заключается в следующем:
• разработана универсальная архитектура, позволяющая создавать комплексную систему защиты электронного документооборота предприятия, способную противостоять актуальным угрозам и атакам;
• показано, что архитектура системы защиты должна строиться исходя из требуемого уровня защиты, определяемого на основе требований руководящих документов ФСТЭК России, расширенных дополнительными требованиями, сформулированными на основе статистики осуществленных и прогнозируемых атак на АИС предприятия;
• разработана методика количественной оценки эффективности защиты электронного документооборота предприятия, позволяющая использовать в расчетах данные статистики реализованных атак, удельную стоимость защищаемых электронных документов, стоимость механизмов системы защиты, а также производительность автоматизированной информационной системы;
• с использованием существующих международных стандартов и рекомендаций разработана система управления КСЗЭД, уточнены границы ответственности должностных лиц предприятия, а также определены их функции.
Практическая значимость работы заключается в следующем:
• разработанная методика позволяет моделировать архитектуру комплексной системы защиты АИС предприятия в зависимости от финансовых средств, выделяемых бюджетом предприятия на ее создание или развитие, а также допустимого снижения производительности АИС при внедрении новых механизмов защиты;
• разработанные рекомендации по выбору архитектуры комплексной системы защиты электронного документооборота предприятия ' позволяют повысить эффективность защиты электронного документооборота и вкладываемых денежных средств;
• разработанные мероприятия по внедрению и управлению КСЗЭД позволяют руководителям предприятия определять порядок ее создания, содержание работ и функции обслуживающего персонала.
Проведенные исследования и полученные результаты могут быть использованы для создания, внедрения и управления комплексной системой защиты электронного документооборота на предприятии.
Структурно диссертационная работа состоит из введения, трех глав, заключения и приложений.
Заключение диссертация на тему "Разработка комплексной системы защиты электронного документооборота предприятия"
1. Для управления КСЗЭД предприятия, в зависимости от штатной
численности сотрудников необходимо иметь специальные органы
управления. В круппых предприятиях (штат свыше 1000 человек), в службе
информационной безопасности отдела собственной безопасности
необходимо иметь: секцию защиты локальной сети; секцию защиты
серверов предприятия и секцию защиты АИС предприятия. На малом производстве (штатная численность до 100 человек) где
отсутствует отдел собственной безопасности предприятия возможно
совмещение ряда функций сотрудниками службы администрирования. Анализ взаимодействия секции защиты АИС службы информационной
безонасности с различными подразделениями предприятия позволил выявить
восемь основных информационных нотоков, необходимых для обеспечения
ее деятельности. Форма и содержание предоставляемой информации этими
подразделениями в секцию защиты АИС, как правило, определяются общими
требованиями, разработанными на данном нредприятии. 2. На основе выявленных особенностей защиты информации,
предлагается организацию КСЗЭД предприятия осуществлять
применительно к современной системе информационной безопасности в
соответствии с требованиями международного стандарта ISO 17799. Для чего
уточнены содержание работы должностных лиц службы информационной
безопасности, ряда этапов организации КСЗЭД; предложена
соответствующая методика работы сотрудников секций службы и
взаимодействующих подразделений предприятия; уточнено содержание
информации и работ, согласуемых в интересах обеспечения защиты
электронного документооборота между различными должностными лицами
предприятия; определены границы ответственности каждого из сотрудников
службы безопасности предприятия, порядок выполнения ими различных
задач и взаимодействия в различных ситуациях. 3. Функционирование КСЗЭД предприятия определяется следующими
нормативно-распорядительными документами:
• политикой информационной безопасности;
• общими требованиями к системе обеспечения информационной
безопасности;
• перечнем конфиденциальных электронных документов;
• архитектурой системы обеспечения информационной
безопасности;
• специализированными политиками информационной
безопасности;
• правилами и процедурами информационной безопасности в том
числе:
правилами и процедурами проведения регламентных работ;
правилами и процедурами реагирования на попытки НСД к
электронным документа;
правилами и процедурами управления доступом сотрудников
к информационным ресурсам, содержащим ЭлД;
• инструкциями администраторам;
• инструкциями пользователям;
• журналами регистрации и учета событий;
• отчетами но событиям. 4. Функционирование механизмов КСЗЭД предприятия обеспечивается
проведением регламентов технического обслуживания, которые должны
включать в себя следующий перечень работ:
• анализ файлов-журналов учета событий, определение отклонений
в работе системы и устранение ошибок (не реже 1 раза в сутки);
• протоколирование всех проводимых работ на АИС предприятия,
обеснечивающего ЭД (регистрация новых сотрудников; удаление
права доступа для уволенных сотрудников);
• обновление ПО, связанного с защищенным ЭД предприятия;
• создание резервных коний ЭлД, конфигураций программ,
связанных с ЭД и его защитой;
• составление отчетов о функционировании КСЗЭД предприятия за
определенные отчетные промежутки времени (неделя, месяц,
квартал, год) и предоставление этих отчетов начальнику службы
информационной безопасности. ЗАКЛЮЧЕНИЕ
Успешность функционирования нреднриятия зависит от его
способности оперативно реагировать на динамично изменяющийся рынок и
удовлетворять все потребности потребителей. Для этого необходимо не
только развивать сам процесс производства, но и все сопутствующие
процессы, в частности документооборот. Усложнение технологии
производства, рост номенклатуры и объемов выпускаемой продукции,
оказание сопутствующих услуг потребителю - все это становится причиной
роста объема документооборота на предприятии. В результате без средств
автоматизации сотрудники предприятия перестают справляться с таким
объемом документооборота. Благодаря стремительному процессу развития информационных
технологий стал возможным переход от традиционного бумажного
документооборота к электронному с использованием вычислительной
техники и специальных программ в качестве средств автоматизации. В
отличие от традиционного, электронный документооборот позволяет
получить предприятию ощутимые преимущества. Именно поэтому полный
отказ от традицион1юго документооборота в пользу электронного для
нредприятий оказывается экономически выгодным. Однако при переходе к
электронному документообороту возникает необходимость в его защите. Основными причинами этого являются:
- электронные документы предприятия могут содержать в себе
сведения, разглашение или утеря которых нриводит к значительному
ущербу;
- электронные документы всегда можно копировать, изменять
содержание, удалять безвозвратно;
- передача электронных документов, как правило, осуществляется по
открытым линиям связи;
- наличие возможиости у злоумышлеиников проникать во внутренние
сети и базы данных нреднриятия для кражи или норчи документов, находясь
вне его пределов и другие. В настоящее время задача защиты электронного документооборота
нреднриятия решается по нескольким направлениям:
• защита электронного документооборота, как потока информации;
• защита технологий, обеснечивающих электронный
документооборот;
• защита информационно-телекоммуникационных сетей, но
которым нередаются электронные документы;
• защита компьютеров, участвующих в электронном
документообороте. При этом стоит отметить, что в настоящее время организации системы
комплексной защиты электронного документооборота уделяется
недостаточное внимание. В диссертации была ноставлена и решена задача
разработки комнлексной системы защиты электронного документооборота
предприятия и мероприятий но ее внедрению и унравлению. В ходе исследования выделены и решены следующие задачи:
• онределены нуги решения поставленной научной задачи;
• определены основные факторы, влияющие на организацию и
осуществление защиты электронного документооборота предприятия;
• определены актуальные требования, предъявляемые к системе защиты
электронного документооборота, и ее задачи;
• разработана методика оценки эффективности комнлексной системы
защиты электронного документооборота предприятия и степени ее соответствия
современным требованиям защиты;
• проведена оценка современного состояния систем автоматизации
электронного документооборота но требованиям защиты и онределены
основные нанравления совершенствования их архитектуры;
• разработан вариант архитектуры комплексной системы защиты
электронного документооборота, как совокунности функциональных,
организационных и структурных элементов;
• определены способы и методы организации защиты электронного
документооборота на предприятии;
• выявлены наиболее эффективные нути организации комплексной
системы защиты электрош1ого документооборота предприятия;
• разработаны практические рекомендации по разработке, внедрению и
управлению комплексной системы защиты электронного документооборота
предприятия. В результате проведенного исследования получены следующие
результаты. 1. На систему защиты электронного документооборота предприятия
оказывают существенное влияние внутренние и внешние факторы. Причем
эти факторы оказывают свое воздействие на все характеристики систем
защиты электронного документооборота, изменяя их в достаточно широких
нределах. Среди их многообразия можно выделить:
• содержание электронного документооборота;
• линии связи, используемые в электронном документообороте;
• наличие возможности подключения к глобальной сети Интернет и
использования электронной почты;
• наличие на предприятии документов, содержащих сведения
конфиденциального характера;
• наличие финансовых средств для нриобретения программ1юго
обеспечения и техники для организации защиты электронного
документооборота и другие. Для обеспечения деятельности предприятия в электронном
документообороте применяются различные финансовые, производственные,
маркетинговые, кадровые и другие автоматизированные информационные
системы. Разновидность электронных документов, циркулирующих в них,
требует организации соответствующей степени защищенности. Кроме этого,
наличие на предприятии внещнего и внутреннего электронного
документооборота, имеющих свои принципиальные отличия, также
оказывает влияние на организацию и осуществление защиты электронного
документооборота. Во внутреннем электронном документообороте (документооборот,
циркулирующий внутри самого предприятия) документы нередаются в
форме должностных инструкций, расписаний, нриказов, расноряжений,
служебных записок, докладных записок и так далее. Во внешнем электронном документообороте (документооборот,
циркулирующий между предприятием и внешними но отношению к нему
контрагентами) оборот документов осуществляется в форме писем,
протоколов, справок, отчетов, сводок и других документов,
В качестве субъектов, оказывающих влияние на структуру
электронного документооборота, выделяются следующие группы
сотрудников: канцелярия, руководители, исполнители, разработчики
автоматизированной информационной системы, системные администраторы. Список сведепий, содержащихся в электронных документах,
определяемых категориями "конфиденциальная информация", "коммерческая
тайна" и подлежащих защите, определен в рядом нормативно-правовых
документов. Требования по защите таких электронных документов
сформулированы в Руководящих документах ФСТЭК России, Согласно этим
требованиям система защиты электронного документооборота нредприятия
должна состоять не менее чем из трех базовых подсистем: подсистемы
управления доступом, подсистемы регистрации и учета, подсистемы
обеспечения целостности,
В ходе анализа статистики успешных атак на электронный
документооборот предприятий за последние 5 лет, была определена
недостаточность требований ФСТЭК России по защите электронного
документооборота и составлена классификация 23 угроз и 22 атак на
электронный документооборот нреднриятия, из числа которых выделено 8
наиболее значимых вероятных угроз электронному документообороту
нредприятия:
• НСД к документам внешнего ЭД;
• раскрытие, модификация и нодмена трафика данных, нолучаемых
(отнравляемых) сервером АИС нредприятия;
• получение программ-вирусов через внешние линии связи;
• фальсификация документов, отказ от факта нолучения документа,
изменение времени его приема;
• перехват документов внешнего ЭД;
• раскрытие конфигурации и настроек АИС, обеспечивающих
внешний ЭД;
• НСД к информационным ресурсам;
• раскрытие и модификация информации, содержаш,ейся в ЭлД и
ПО, обеспечиваюш,его ЭД.
Не отрицая значимость и актуальность прежних угроз и атак,
требования, определенные в руководяш;их документах ФСТЭК России по
заш,ите ипформации были определены как исходные минимальные. Вместе с
тем, результаты расчетов, проведенных в ходе исследований позволили
сделать вывод о том, что комплексная система защиты электронного
документооборота должна отвечать донолнительным требованиям,
позволяющим повысить эффективность защиты ЭД предприятия и
отвечающим актуальным условиям. Для внешнего ЭД донолнительными
требованиями к комнлексной системе защиты являются:
• обязательное наличие средства антивирусной защиты с
автоматически обновляемым сниском вредоносных нрограмм;
• наличие средств идентификации атак с реализованным
алгоритмом ответных действий;
• наличие механизма контроля корректности загруженных в
намять компьютера данных;
• наличие механизма предотвращения перегрузки АИС от
множественных запросов;
• наличие средства нредотвращения внешнего сканирования АИС;
• наличие средства предотвращения раскрытия информации,
содержащей коммерческую тайну и передаваемой в электронных
документах внешним корреспондентам. Дополнительные требования к защите внутреннего ЭД следующие:
• наличие механизма проверки правильности задаваемых паролей
для доступа к защищаемым ресурсам;
• паличие механизма идентификации атак на средства
аутентификации, с реализованным алгоритмом ответных
действий;
• наличие механизма контроля целостности ИО;
• наличие механизма автоматического обновления;
• наличие средства управляющего правами доступа к различным
услугам и сервисам;
• наличие средства предотвращения внутреннего сканирования
2. Для проведения количественно-качественной оценки системы
защиты электронного документооборота, оценки эффективности
планируемых мероприятий по изменению ее архитектуры разработана
методика, позволяющая, в отличии от существующих, использовать в
единстве такие показатели как стоимость защищаемых электронных
документов, вероятность взлома, стоимость СЗИ и производительность АИС,
которые объективно и с достаточной точностью определяют полноту и
качество защиты электронного документооборота, количественно оценивают
вклад в общую систему защиты каждого вводимого нового механизма. Отличительной особениостью данной методики является возможность
количественной оценки стенени защищенности, а так же варьирование
основных параметров, характеризующих комплексную систему защиты ЭД
предприятия, с целью снижения затрат на разрабатываемую систему защиты. Проведенные расчеты по методике оценки эффективности защиты ЭД
предприятия на основе коэффициента защищенности показали, что степень
защищенности АИС, обеспечивающей защищенность ЭД согласно
требованиям ФСТЭК России составляет 0,94, в то время как система защиты
является эффективной при степени защищенности 0,99 и выше. Что
подтверждает необходимость выполнения дополнительных требований по
защите ЭД предприятия. 3. Совершенствование системы защиты электронного
документооборота предприятия предлагается осуществить
организационными и техническими мероприятиями объединенными в три
комплекса: модификация архитектуры КСЗЭД; количественно-качественное
изменение механизмов защиты; совершенствование методов и способов
управления КСЗЭД.
На основе проведенных расчетов, и сформулированных требований,
разработана новая архитектура КСЗЭД предприятия, представляющая собой
совокупность функционального, организационного и структурного
построения. Как показали расчеты она удовлетворяет всем современным
требованиям и является самой защищенной - степень защищенности
составляет 0,999. В связи с тем, что при создании такой архитектуры КСЗЭД
предприятия потребуются значительные финансовые ресурсы, были
определены пути снижения затрат за счет перераспределения использовапия
отдельных механизмов защиты. При этом выявлено, что степень
защищенности допустимо снижать без ущерба, до значений от 0,990753 до
0,993164. Это позволяет при организации КСЗЭД выбирать из нескольких
вариантов архитектуры один, исходя из имеющихся финансовых средств без
ущерба снижения эффективности защиты, планировать доиолнительные
мероприятия по ее наращиванию. КСЗЭД предприятия в своем составе должна иметь: механизмы
обеспечения защиты ЭД, механизмы управления механизмами защиты и
механизмы общей организации работы системы. Разработанная архитектура КСЗЭД предприятия обеспечит
информациоппую совместимость всех ее составных элементов,
автоматизированное управление процессами защиты по времени, близкому к
реальному, системное взаимодействие служб предприятия, привлекаемых
для обеспечения защиты информации, возможность наиболее эффективной
защиты электронных документов предприятия. 4. На основе выявленных особенностей защиты электронного
документооборота, предлагается организацию КСЗЭД предприятия
осуществлять применительно к современной системе информационной
безопасности в соответствии с требованиями международного стандарта ISO
В диссертации уточнены содержание работы должностных лиц службы
информационной безопасности, ряда этапов организации КСЗЭД;
разработана соответствующая методика работы сотрудников секций службы
и взаимодействующих подразделений предприятия; уточнено содержание
информации и работ, согласуемых в интересах обеспечения защиты
электронного документооборота между различными долл^ностпыми лицами
предприятия; определены границы ответственности каждого из сотрудников
службы безопасности предприятия, порядок выполнения ими задач и
взаимодействия в различных ситуациях, уточнена иерархия и содержание
нормативно-распорядительной документации системы обеспечения
информационной безопасности комплекса информационных систем. В целом, реализация практических рекомендаций по
совершенствованию организации комплексной системы защиты
электронного документооборота предприятия обеспечит достаточную защиту
электронного документооборота предприятия, и с учетом тенденции роста
угроз в ближайшие 3-5 лет, позволит увеличить эффективность защиты на 5-
10% и сократить время реагирования на атаки злоумышленников. В диссертации исследованы лишь основные процессы,
непосредственно связанные с организацией комнлексной системы защиты
электронного документооборота предприятия. Некоторые выдвинутые в
работе предложения требуют дальнейшего изучения и развития. Основные результаты исследования докладывались на VIII и IX
Международных научно-практических конференциях "Комплексная защита
информации" в 2004 и 2005 годах, а так же на семинарах ВНИИПВТИ,
основные результаты диссертации опубликованы в 4-х печатных работах. Выводы и рекомендации по организации и осуществлению защиты
электронного документооборота предприятия проверены в ходе разработки,
внедрения и эксплуатации системы защиты в ЗАО "Московская
межбанковская валютная биржа", ЗАО "ОКБ САПР" и ФГУП ВНИИПВТИ.
Рекомендации по организации комплексной системы защиты
электронного документооборота предприятия и управлению защитой в
процессе производства, могут быть использованы при разработке и
совершенствовании существующих систем защиты электронного
документооборота предприятия, а также в учебном процессе высших
учебных заведений Российской Федерации и при разработке научно исследовательских работ. •
Некоторые нредложения и рекомендации нуждаются в
дополнительном уточнении и проверке на практике. Аспирант ВНИИПВТИ
Киселев А.В.
Библиография Киселев, Антон Валерьевич, диссертация по теме Методы и системы защиты информации, информационная безопасность
1. Конституция Российской Федерации Принята всеиар.голосоваиием 12.12.93. -Спб: Маиускриит, 1996. 47 с. Доктрина информационной безонасности Российской Федерации. М.: Ось-89, 2004. 47 с. Указ Президента РФ от 6 марта 1997 года 188 «Об утверждении перечня сведений конфиденциального характера» Электронная справочная система Гарант Платформа F1 -М.: НПП Гарант-Сервис, 2
2. Федеральный закон Российской Федерации от 20 февраля 1995 года N2 24-ФЗ «Об информации, информатизации и защите информации» Электронная справочная система Гарант Платформа F1 -М.: НПП Гарант-Сервис, 2
3. Федеральный закон от 29 июля 2004 года ]\Г298-Ф3 «О коммерческой тайне» Электронная справочная система Гарант Платформа F1 -М.: НПП Гарант-Сервис, 2
4. Федеральный закон от 29 декабря 1994 года 77-ФЗ «Об обязательном экземпляре документов» Электронная справочная система Гарант Платформа F1 -М.: ППП Гарант-Сервис, 2
5. Закон Российской Федерации от 23 сентября 1992 года J f 3523-1 «О Se правовой охране программ для электронных вычислительных машин и баз данных» Электронная справочная система Гарант Платформа F1 -М.: ИПП Гарант-Сервис, 2
6. Федеральный закон Российской Федерации от 16 февраля 1995 года 15-ФЗ «О связи» Электронная справочная система Гарант Платформа F1 -М.: НПП Гарант-Сервис, 2
7. Федеральный закон Российской Федерации от 04 июля 1996 года 85-ФЗ «Об участии в международном информационном обмене» Электронная справочная система Гарант Платформа F1 -М.: НПП Гарант-Сервис, 2005. 4. 5. 6. 7. 8. 9.
8. Федеральный закон от 10 января 2002 года 1-ФЗ «Об электронной цифровой подписи» Электронная справочная система Гарант Платформа F1 -М.: НПП Гарант-Сервис, 2005.
9. Постановление Правительства Российской Федерации от 23 сентября 1998 года JT 691 «О лицензировании отдельных видов деятельности» S» Электронная справочная система Гарант Платформа F1 -М.: НПП Гарант-Сервис, 2005.
10. Руководящий документ «Положение по аттестации объектов информатизации по требованиям безопасности информации» (Утвержден Председателем Гостехкомиссии России 25 ноября 1994 г.).
11. Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования к защите информации» (Гостехкомиссия России, 1997 г.).
12. Положения о сертификации средств защиты информации по требованиям безопасности информации, утвержденного Постановлением Правительства РФ от 26 июня 1995 года N2 608 "О сертификации средств защиты информации".
13. Руководящий документ «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от ПСД к информации» (Гостехкомиссия России, 1992 г.).
14. Руководящий документ «Концепция защиты средств вычислительной техники от НСД к информации» (Гостехкомиссия России, 1992 г.).
15. Руководящий документ «Защита от ПСД к информации. Термины и определепия» (Гостехкомиссия России, 1992 г.).
16. Руководящий документ «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от ПСД в АС и СВТ» (Гостехкомиссия России, 1992 г.).
17. Руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от ПСД к информации. Показатели 18. Руководящий документ «Защита от несанкционированного доступа к информации. Часть
19. Программное обеспечение средств защиты информации. Классификация но уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.).
20. Руководящий документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (Гостехкомиссия России, 2001г.). 27. ISOIEC 17799-2000 «Информационная технология. Практический кодекс по менеджменту информационной безопасности» Пер. с англ. М: GlobalTrust Solutions, 2005. 85 с.
21. Аграновский А.В. Конфиденциальный доступ и защита информации в информационно-вычислительных сетях/ А.В.Аграновский, Н.П.Костечко. -М.: Радио и связь, 2004. 238 с.
22. Альбеков А.Ш. Правовые основы защиты информации Учеб. пособие/ А.Ш.Альбеков, А.С.Омельченко. -Краснодар: "Юж. ин-т менеджмента", 2002.-94 с
23. Анин Б.Ю. Защита компыотерпой информации -СПб: БХВ-СанктПетербург, 2000. 368 с.
24. Анкета для оценки надежности хранения информации. Подход фирмы ИВМ: Пер. с англ. М.: ВЦП, 1986. 24 с.
25. Амарян Р.А. Защита информации в интегрированной информационно-вычислительной сети при ее взаимодействии с внешними сетями Учеб.пособие/ Р.А.Амарян, М.Чудинов; Под общ.ред. Р.А.Амаряна. -М.: ГОУ "Мартит", 2001. 59 с.
26. Астахов А.В. Анализ защищенности корпоративных автоматизированных систем Jet info. 2002. №7. 3 28.
27. Астахов А.В. ПТ-АУДПТ в соответствии со стандартом COBIT "Information security. Информационная безопасность." 2004. №2, апрель. -С. 15 -20.
28. Барченков А.И. Документоведение и защита конфиденциальной информации Учеб. пособие/ А.И. Барченков. -СПб.: Изд-во СПбГПУ, 2003.- 154 с. 36. "Белая книга" Интернет. Пруденциальные последствия. Франция, декабрь 2000.
29. Бобылева М.П. Эффективный документооборот: от традиционного к электронному/ М.П. Бобылева. -М.: Изд-во МЭИ, 2004. 172 с.
30. Завгородний В.И. Комплексная защита информации в компьютерных системах Учеб.пособие для студентов вузов -М.: Логос, 2001.-263 с.
31. Замула А.А. Методология анализа рисков и управления рисками. Радиотехника: Всеукр. межвед. науч.-техн. сб. 2002. Вып. 126.
32. Защита объектов и информации от несанкционированного доступа/ В.И.Дикарев, В.А.Заренков, Д.В.Заренков, Б.В.Койнаш; Под ред. В.А. Заренкова. -СПб.: Стройиздат СПб., 2004. 319 с.
33. Захаров А.П. Методология оценки информационной безопасности профиля защиты, http://beda.stup.ac.ru/rv-conf/
34. Израйлев А.И. Электронный документооборот: перспективы па 2005 год Information security. Информационная безопасность. 2004. 25, ноябрь. С 14.
35. Инструкция по безопасности информации. документу С 2001-70, редакция 1-0 от 06.08.2
37. Информационная безопасность. Защита информации от компьютерных вирусов в сетях ЭВМ Учеб. пособие/ В.Молотков, Д.П.Зегжда, Ю.И.Мазничка, В.А.Петров. -М., 1993. 68 с.
38. Информационная безопасность: экономические аспекты Jet info. 2003.№10.-С. 3 2 4
39. Информационные ресурсы развития Российской Федерации: Правовые проблемы Ин-т государства и права. М.: Паука, 2003. 403 с.
40. Календарев А.С. Защита корпоративных сетей Учеб. пособие/ А.С.Календарев, М.Г.Пантелеев. -СПб, 1999. 63 с.
41. Киселев А.В. О соответствии систем автоматизации электронного документооборота требованиям ФСТЭК России. IX Международная конференция "Комплексная защита информации": материалы конференции (1-3 марта 2005 года, Раубичи (Беларусь)). Мн.: ОИПИ ПАП Беларуси, 2005. 74-77
42. Киселев А.В. Методы фильтрации "спама" во входящих электронных документах. IX Международная конференция "Комплексная защита информации": материалы конференции (1-3 марта 2005 года, Раубичи (Беларусь)). Мн.: ОИПИ ПАП Беларуси, 2005. 127-129
43. Киселев А.В. Электронная цифровая подпись, как один из способов защиты электронного документооборота. VIII Международная конференция "Комплексная защита информации": материалы
44. Киселев А.Н. Информационные системы управления промышленными предприятиями. Учебное пособие А.Н.Киселев, А.А.Копанев, Р.Э.Францев Издание второе, переработанное. СИб.: СПГУВК,2001-128с.
45. Клименко С В Электронные документы в корпоративных сетях: второе пришествие Гутенберга В.Клименко, И.В.Крохин, В.М.Кущ, Ю.Л.Лагунин -М.: Эко-Трендз, 1999. 272 с.
46. Кобзарь М., Сндак А. Методология оценки безопасности информационных технологий по общим критериям Jet info. 2004. №6.-С. 2-16.
47. Компьютерная преступность и информационная безопасность Под общ. ред. А.П.Леонова -Мн: АРИЯ, 2000.— 552 с.
48. Конеев И.Р., Беляев А.В. Информационная предприятия. СПб: БХВ-Петербург, 2003. 752с. безонасность
49. Конявский В.А. Основы понимания феномена электронного обмена информацией В.А. Конявский, В.А. Гадасин -Мн: "Беллитфонд", 2004. 282 с.
50. Конявский В.А. Техническая защита электронных документов в компьютерных системах Управление защитой информации 2003. Том 7, 4 С 437-443.
51. Конявский В.А. Управление защитой информации на базе СЗИ ИСД "Аккорд" -М.: Радио и связь, 1999. 324 с.
52. Коул Э. Руководство по защите от хакеров: Пер. с англ. -М.: Вильяме, 2002. 634 с.
53. Кузьминов Т.В. Криптографические методы защиты информации/ Т.В.Кузьминов; Отв.ред. В.А.Евстигнеев. -Новосибирск: Наука. Сиб.предприятие РАН, 1998. 185 с.
54. Куликов Г.Г. Системы управлепия деловыми процессами и документами в унравлении безопасностью и риском Г.Г. Куликов, О.М. Куликов, И.У. Ямалов -Уфа УГАТУ, 2000. 121с.
55. Лиховидов М.В., Полещенко В.Я. Применение цифровой подписи в системах электронного документооборота Управление защитой информации 2004. Том 8, .№1. 63 68.
56. Макклуре Секреты хакеров. Проблемы и решения сетевой защиты/ Макклуре, Д.Скембрэй, Д.Куртц.: Пер. с англ. -М.: ЛОРИ, 2001. 434 с.
58. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации Учеб. пособие -М.: Горячая линия-Телеком, 2004.-280 с,
59. Малюк А.А. Основы защиты информации А.А. Малюк, В.А. Герасименко -М.: МИФИ, 1997. 542 с.
60. Малюк А.А. Теоретические основы формализации прогнозной оценки уровня безопасности информации в системах обработки данных/ А.А.Малюк. -М., 1998.-39 с.
61. Мельников П.И. Защита информации в автоматизированных системах финансовых и коммерческих организаций Учеб.пособие/ П.П.Мельников. -М., 1998. 73 с.
62. Мельников В.В. Защита информации в компьютерных системах -М.: Финансы и статистика; Электронинформ, 1997,-364 с.
63. Милославская Н.Г. Практические рекомендации по построению системы защиты информации для интрасетей/ П.Г.Милославская, А.И.Толстой. -М., 1999. 89 с.
64. Михайлов Ф. Информационная безопаспость. Защита информации в автоматизированных системах. Основные концепции Учеб.нособие/ Ф.Михайлов, В.А.Петров, Ю.А.Тимофеев. -М., 1995. 110 с.
65. Морозов Н.П. Защита деловой информации для всех Компьютер, программы и оборудование. Работа офиса. Законодательство/ Н.П.Морозов, Б.Чернокнижный. -СПб.: Весь, 2003. 159 с.
66. Мысин М.Н. Документооборот: от традиционного к электронному Учеб.-практ. пособие/ М.П.Мысин, Л.М.Сушкова, АСущков. Самара: Офорт; СИОТО, 2004. 211 с.
67. Насыпный В.В. Комплексная защита нроцесса обработки информации в компьютерных системах от несанкционированного доступа, программных закладок и вирусов Учеб.пособие по дисциплине Методы контроля и защиты информации/ В.В.Пасынный. М., 2000. 58 с.
68. Никитина Т.П. Электронные системы управления документооборотом Учеб. пособие -Ярославль: МУБиНТ, 2002.-104 с.
69. Оглтри Т.В. Firewalls. Нрактическое применение экранов: Hep. с англ. -М.: ДМК, 2001. 396 с. межсетевых
70. Организация работы с документами: Учебник Нод ред. проф. В.А. Кудряева. -2-е изд., перераб. и доп. -М.: ИНФРА-М, 2002. 592 с.
71. Основы организации защиты информации в компьютерных сетях/ В.И.Денисов, В.В.Лавлинский, А.Н.Обухов и др.. -Воронеж, 1999. 172 с.
72. Организация и современные методы заш,иты информации Метод, пособие для руководителей и сотрудников служб безопасности/ Нод обш;.ред. А.Диева, А.Г.Шаваева. -М.: Концерн "Банков.деловой центр", 1998.-472 с.
73. Организационные и технические методы защиты информации Учеб. пособие/ Г.Т.Гордин,А.А.Кичкидов,В.В.Сладков,В.М.Зефиров;Гордин Г.Т., Кичкидов А.А., Сладков В.В. и др. -Ненза: Нзд-во Нензенского гос. ун-та, 2003. 116 с.
74. Охрименко А., Черней Г.А. Угрозы Безопасности автоматизированным информационным системам (программные злоупотребления). Статья. Электронный адрес: http://www.security.ase.md/publ/ru/pubruO5.html
75. Навлюк Л.В. Справочник по делопроизводству, архивному делу и основам работы на компьютере Л.В.Навлюк, Т.И.Киселева, Н.И.Воробьев, 7-е изд. -СНб.: Издательский дом Герда, 2002. -288 с.
76. Нетраков А.В. Основы практической защиты информации -М.: Радио и связь, 1999.-361 с.
77. Нетров А. А. Компьютерная безопасность. методы защиты -М.: ДМК, 2000. 445 с. Криптографические
78. Нроворотов В.Д. Защитить, чтобы не проиграть Information security. Информационная безопасность. 2004. №5, ноябрь. 18-20.
79. Нроскурин В.Г. Нрограммно-аппаратные средства обеспечения информационной безопаспости. Защита в операционных системах Учеб. пособие для вузов по спец. "Защищен, телекоммуникацион. системы", "Орг. и технология защиты информ.", "Комплекс, обеспечение информ. безонасности автоматизир. систем"/
80. Романец Ю.В. Защита информации в комньютерных системах и сетях/ Ю.В.Романец, П.А.Тимофеев, В.Ф.Шаньгин; Под ред. В.Ф.Шаньгина. -2.изд.,перераб.и дон. -М.: Радио и связь, 2001. 376 с.
81. Романов Д.А. Правда об электронном документообороте Д.А. Романов, Т.Н. Ильина, А.Ю. Логинова-М.: АйТи-Пресс, 2004. 219 с.
82. Руководящие указания по обеспечению безонасности в области обработки данных. Подход фирмы IBM: Пер. с англ. М.: ВЦП, 1986. 35 с.
83. Рынок систем документооборота и делопроизводства. Электронный адрес: http://www.cnews.ru/newcom/index.shtml72004/09/16/163533
84. Сапожников А.Ю. Электронный документооборот: обычаи управленцев на языке информационных технологий Intelligent Enteфrise Russia Корпоративные системы. 2003. JVo07(72). 10 15.
85. Семененко В.А., Приступа А.С. Системный анализ угроз безопасности экономических информационных систем коммерческого назначения Международная научно-практическая Intemetконференция "Системы, процессы и модели в экономике и управлении", 2
86. Электронный адрес: http://www.msiu.ru/conference/conference_info.html
87. Симонов СИ. Анализ рисков, управление рисками Jet info. 1999. Joi._C. 3-28.
88. Симонов СИ. Аудит информационных систем Jet info. 1999. №9. С 3-24.
89. Симонов СИ. Технологии и инструментарий для управления рисками Jet info. 2003. №2. 3 32.
90. Скудис Э. Противостояние хакерам Пошаговое руководство по компьютер, атакам и эффектив. защите: Пер. с англ. -М.: ДМК Пресс, 2003. -507 с.
91. Слепов О.И. Архив электронной почты Jet info. 2004. №5. 2 16.
92. Слепов О.И. Борьба со спамом Jet info. 2004. N9. 3 20.
93. Слепов О., Тарапов А. Безопасность систем электронной почты Jet info. 2003. №6. 2 20.
94. Соколов А.В. Методы информационной защиты объектов и компьютерных сетей/ А.В.Соколов, О.М.Степанюк. -СПб.;М.: ПОЛИГОН; ACT, 2000. 269 с.
95. Соколов А.В. Защита от компьютерного терроризма. Справочное пособие А.В.Соколов, О.М.Степанюк СПб.: БХВ-Петербург; Арлит 2002. 496 с.
96. Солнцев М.В. Методы оценки экономической эффективности комплексных систем защиты информации телекоммуникационных систем передачи и обработки данных Автореферат диссертации на соискание ученой степени канд. экон. наук: 08.00.13. -СПб., 2000. 18 с.
97. Соловьев Э.Я. Коммерческая тайна и ее защита -2 изд., перераб. и доп.. -М.: Ось-89, 2002.-128 с.
98. Столлингс В. Криптография и защита сетей Принципы и практика 2-е изд.: Пер. с англ. -М.: Вильяме, 2001. 669 с.
99. Стрельцов А.А. Обеспечепие информационной безопасности России. Теоретические и методологические основы Под ред. В. А. Садовничего и В. П. Шерстюка. М., МЦПМО, 2002. 296 с.
100. Сурнин А.Ф. Муниципальные информационные системы. Опыт разработки и эксплуатации -Обнинск: ОГИЦ, 1998. 234 с.
101. Теория и практика обеспечения информационной безопасности/ Под ред. П.Д.Зегжды. -М.: Изд-во Агентства "Яхтсмен", 1996. 298 с.
102. Технические методы и средства защиты информации/ Ю.П.Максимов, В.Г.Сонников, В.Г.Петров и др.; Под общ. ред. Сонникова В.Г.. -СПб.: Полигон, 2000. 314 с.
103. Халяпин Д.Б. Основы защиты промышленной и коммерческой информации. Термины и определения Словарь/ Д.Б.Халяпин, В.И.Ярочкин. -2-е изд., доп. и испр.. -М., 1994. 70 с.
104. Цветков В.Я. Защита информации в системах обработки данных и управления Аналитический обзор -М., 2000. 55 с.
105. Шаньгин В.Ф. Защита информации и информационная безопасность Учеб. пособие: В 2-х кн. -М.. -В надзаг.:Моск.гос.ин-т электрон, техники (техн. ун-т), 1999. 84 с.
106. Шнайдер Б. Секреты и ложь. Безопасность данных в цифровом мире СПб.: Питер, 2003. 368 с.
107. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. СПб: Наука и техника, 2004. 384 с.
108. Ярочкин В.И. Основы защиты информации. Служба безопасности предприятия Учеб.пособие/ В.И.Ярочкин, Д.Б.Халяпин. -М., 1993. 42 с.
109. Ярочкин В.И. Словарь терминов и определений по безопасности и защите информации/ В.И.Ярочкин, Т.А.Шевцова. -М., 1996. 47 с.
110. CobiTR. 3-е издание. Цели контроля. Руководящий комитет CobiT, институт управления ИТ, 2000. 137. "Global information security survey", bCPMG International, 2002.
111. Отчет "CSI/FBI Computer Crime and Электронный адрес: http://www.eocsi.com Security Survey 2003". 139. CERT/CC Statistics. Электронный адрес: http://www.cert.ore
-
Похожие работы
- Технология и методы управления документооборотом промышленных предприятий Социалистической Республики Вьетнам
- Интеллектуальные компоненты для автоматизированного проектирования систем электронного документооборота
- Теория и методы управления транспортными технологическими процессами на основе электронной технической документации железнодорожной автоматики и телемеханики
- Методы и алгоритмы проектирования маршрутов электронных реляционных документов в приборостроении
- Исследование и разработка методов организации электронного документооборота в системах управления данными об изделии
-
- Системный анализ, управление и обработка информации (по отраслям)
- Теория систем, теория автоматического регулирования и управления, системный анализ
- Элементы и устройства вычислительной техники и систем управления
- Автоматизация и управление технологическими процессами и производствами (по отраслям)
- Автоматизация технологических процессов и производств (в том числе по отраслям)
- Управление в биологических и медицинских системах (включая применения вычислительной техники)
- Управление в социальных и экономических системах
- Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей
- Системы автоматизации проектирования (по отраслям)
- Телекоммуникационные системы и компьютерные сети
- Системы обработки информации и управления
- Вычислительные машины и системы
- Применение вычислительной техники, математического моделирования и математических методов в научных исследованиях (по отраслям наук)
- Теоретические основы информатики
- Математическое моделирование, численные методы и комплексы программ
- Методы и системы защиты информации, информационная безопасность