автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Управление информационными рисками с использованием технологий когнитивного моделирования
Автореферат диссертации по теме "Управление информационными рисками с использованием технологий когнитивного моделирования"
На правах рукописи
КУДРЯВЦЕВА Рима Тимиршаиховна
УПРАВЛЕНИЕ ИНФОРМАЦИОННЫМИ РИСКАМИ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИЙ КОГНИТИВНОГО МОДЕЛИРОВАНИЯ (на примере высшего учебного заведения)
Специальность 05.13.19 - Методы и системы защиты информации, информационная безопасность
АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук
Уфа 2008
□□□44 7 1Б6
003447156
Работа выполнена на кафедре вычислительной техники и защиты информации Уфимского государственного авиационного технического университета
Научный руководитель.
д-р техн наук, проф Васильев Владимир Иванович
Официальные оппоненты
д-р техн наук, проф Черняховская Лилия Рашитовна
канд техн. наук, доц Дуленко Вячеслав Алексеевич
Ведущая организация
Республиканский научно-технологический и информационный комплекс «Бангтехинформ» АН РБ
Защита диссертации состоится 17 октября 2008 г в 10 00 часов на заседании диссертационного совета Д-212 288 07 при Уфимском государственном авиационном техническом университете по адресу 450000, г Уфа, ул К Маркса, 12
С диссертацией можно ознакомиться в библиотеке университета.
Автореферат разослан_сентября 2008 г
Ученый секретарь диссертационного совета д-р техн наук, проф
С С Валеев
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность темы
Одной из важнейших составляющих успешного развития общества является защищенность его информационных ресурсов Информация в современном информационном обществе становится одним из ключевых элементов бизнеса, она становится предметом купли-продажи, обладающим стоимостными характеристиками Любые процессы в финансово-промышленной, политической или социальной сфере сегодня напрямую связаны с информационными ресурсами и использованием информационных технологий
Современные информационные технологии предлагают неограниченные возможности для развития бизнеса, предоставляя необходимую для принятия решений информацию нужного качества и в нужное время Информация, критичная для бизнеса, должна быть доступной, целостной и конфиденциальной В то же время, в связи с возрастающей сложностью информационных систем и используемых в них информационных технологий, возрастает и количество уязвимостей и потенциальных угроз этим системам
Очевидно, что вопросы информационной безопасности сегодня актуальны не только для правительственных и коммерческих структур В последнее время в связи с коммерциализацией отечественных вузов и тенденциями выхода российского образования на европейский и мировой рынок образовательных услуг остро стоит вопрос об обеспечении устойчивого функционирования и повышении конкурентоспособности образовательных учреждений
В соответствии с федеральной программой развития науки и инноваций «Научно-технологическая база России» на 2007-2012 годы планируется развитие ведущих вузов страны не только как крупных учебных, но и как базовых научных центров с привлечением крупного и среднего бизнеса к организации учебного процесса и научных исследований В связи с этим задачи обеспечения защиты информационных ресурсов образовательного учреждения и связанные с ними вопросы анализа информационных рисков и управления ими приобретают особую актуальность
Объект исследования - система защиты информации высшего учебного заведения
Предмет исследования - методическое, алгоритмическое и программное обеспечение системы защиты информации Цель и задачи исследования
Целью исследований работы является повышение эффективности управления информационной безопасностью (ИБ) вуза на основе разработки моделей и алгоритмов анализа и управления информационными рисками с использованием технологий когнитивного моделирования
Для достижения этой цели требуется решить следующие задачи
1 Провести системный анализ бизнес-процессов вуза как объекта защиты и определить требования к обеспечению информационной безопасности вуза
2 Разработать комплекс моделей, определяющих основные компоненты информационных рисков вуза (модели угроз, злоумышленников, уязвимостей, ущерба)
3 Разработать алгоритмы анализа и управления информационными рисками вуза с использованием нечетких когнитивных карт
4 Разработать инструментальные программные средства для оценки уровня информационных рисков вуза и выбора необходимых контрмер для управления информационной безопасностью
Методы исследования
При решении поставленных в работе задач использовались методы системного анализа, теории когнитивного моделирования, теории графов, нечеткой логики, имитационного моделирования, автоматизированного проектирования информационных систем, а также методы программирования
Результаты, выносимые на защиту
1 Функциональные и информационные модели бизнес-процессов вуза, определяющие основные требования к его информационной безопасности
2 Комплекс системных моделей, определяющих основные компоненты информационных рисков вуза
3 Алгоритмы анализа и управления информационными рисками вуза на основе нечетких когнитивных карт
4 Программное обеспечение для автоматизации анализа и управления информационными рисками вуза на основе построения нечетких когнитивных карт
Научная новизна
Научная новизна работы состоит в том, что анализ и управление информационной безопасностью, в отличие от существующих подходов, предложено проводить с помощью построения нечеткой когнитивной карты исследуемого объекта При этом
1 Для определения списка концептов, требуемых для исследования, предложено провести системное моделирование бизнес-процессов исследуемого объекта на основе ЗАОТ-технологии, которое позволяет выявить взаимосвязи и информационное содержание этих процессов, произвести классификацию основных информационных активов вуза, определить наиболее значимые информационные ресурсы и требуемый уровень их защищенности
2 Для определения степени влияния концептов друг на друга предложено построение системных моделей, определяющих основные компоненты риска
(модель угроз, злоумышленников, уязвимостей, потенциального ущерба), которые позволяют учесть специфику и сложившийся уровень информационной безопасности вуза и его структурных подразделений, да1ь более точную оценку угроз на информационную систему вуза
3 Предложен алгоритм анализа информационных рисков вуза, основанный на использовании математического аппарата нечетких когнитивных карт, позволяющий получить не только качественную, но и количественную оценку влияния различных дестабилизирующих факторов (угроз) на величину потенциального ущерба от действия этих угроз, определить состав необходимых контрмер (средств защиты) для управления информационными рисками с учетом ограничений на выделенные ресурсы, а также эффективность вводимых мероприятий
Практическая значимость и внедрение результатов работы
Предложенные алгоритмы анализа и управления информациошшми рисками, основанные на построении нечетких когнитивных карт вуза как для вуза в целом, так и для его структурных подразделений, позволяют определить наиболее уязвимые места информационной системы и выбрать необходимые контрмеры для снижения информационных рисков
Разработанные инструментальные программные средства для анализа и управления информационными рисками на основе построения нечетких когнитивных карт позволяют автоматизировать процессы когнитивного моделирования и сократить в 1,5 2 раза время оценки рисков и выработки необходимых контрмер по управлению информационной безопасностью вуза Получены 4 свидетельства РосАПО об официальной регистрации программ для ЭВМ
Разработанная методика оценки информационных рисков вуза и реализующие ее инструментальные программные средства внедрены в учебный процесс подготовки специалистов по специальности 090104 «Комплексная защита объектов информатизации»
Апробация работы
Основные положения диссертационнои работы докладывались и обсуждались на следующих научных конференциях
- 6-й международной научно-технической конференции «Проблемы техники и технологии телекоммуникаций», Уфа, 2005
- Международной научно-технической конференции «Информационно-вычислительные технологии и их приложения», Пенза, 2005
- Второй Международной научно-практической конференции «Исследование, разработка и применение высоких технологий в промышленности», Санкт-Петербург, 2006
- Российской научно-технической конференции «Мавлютовские чтения», Уфа, 2006
- XVI Всероссийской научно-методической конференции «Актуальные проблемы качества образования и пути их решения», Москва, 2006
- VIII Международной научно-практической конференции «Информационная безопасность», Таганрог, 2006
- Международных научных конференциях «Компьютерные науки и информационные технологии», Карлсруэ, Германия, 2006, Уфа, 2007
Публикации
Список публикаций по теме диссертации содержит 17 работ, в том числе 13 статей и материалов научно-технических конференций, из них 2 статьи в изданиях из перечня ВАК РФ, 4 свидетельства об официальной регистрации программ для ЭВМ
Структура и объем работы
Диссертационная работа состоит из введения, четырех глав, заключения, библиографического списка и изложена на 142 страницах машинописного текста Библиографический список включает 144 наименований литературы
ОСНОВНОЕ СОД ЕРЖАНИЕ РАБОТЫ
Во введении обосновывается актуальность темы диссертационной работы, сформулированы цели и задачи исследования
Первая глава посвящена анализу задачи управления информационной безопасностью организаций (предприятий) Рассмотрены основные законы и стандарты, регулирующие нормативно-правовые вопросы поддержания ИБ на различных уровнях структурной организации общества
Отмечается, что центральное место при обеспечении режима ИБ в организациях занимает задача анализа информационных рисков и управления ими Однако известные корпоративные документы по обеспечению режима ИБ не предлагают универсальную методику управления рисками для различных типов организаций ввиду специфики бизнес-процессов каждой организации Кроме того, существующие подходы не обладают достаточной наглядностью, имеют в основном описательный (качественный) характер и сводятся к формальной проверке выполнения (или невыполнения) требований стандартов по ИБ таких, как ИСО/МЭК 17799, ИСО/МЭК 27001 В данных подходах практически не проработаны вопросы количественной оценки ущерба от воздействия угроз на информационные ресурсы (активы), не производится анализ чувствительности оценок ущерба по отношению к основным дестабилизирующим факторам или уязвимостям, не дается должного обоснования выбору эффективных контрмер для снижения информационных рисков
Поскольку бизнес-процессы, протекающие в вузе, структура информационных ресурсов и информационных потоков, поддерживающих эти бизнес-
процессы, значительно отличаются от процессов, ресурсов и потоков, характерных для типовой компании (предприятия, организации), то анализ вуза (и в первую очередь, его информационных систем) как объекта защиты с целью вы-явлепгог основных источников угроз, уязвимостей, защищаемых ресурсов и разработка соответствующих методов и алгоритмов анализа и управления рисками, предназначенных для совершенствования системы управления ИБ вуза и его подразделений, является актуальной задачей
Во второй главе излагается системный подход к построению системы управления информационной безопасностью вуза При этом управление ИБ рассматривается как регулярный процесс, осуществляемый на всех этапах жизненного цикла систем обработки данных при комплексном использовании имеющихся средств защиты информации Система управления информационной безопасностью (СУИБ) вуза рассматривается как составная часть системы управления качеством, реализующей цели и требования стандарта ISO 9001, которая в свою очередь, является составной частью системы организационного управления вузом
Анализ информационных рисков вуза включает в себя следующие основные этапы:
1 Идентификация информационных активов вуза
2 Определение ценности идентифицированных активов
3 Идентификация угроз и уязвимостей для идентифицированных активов
4 Оценка рисков (ущерба) в случае реализации угроз
В соответствии с данными этапами, в работе анализируются особенности информационной системы вуза, структура его информационных активов и характер информационных потоков, которые являются определяющими при оценке риска Производится функциональное и информационное моделирование основных бизнес процессов вуза с помощью IDEF- технологий Целью моделирования является выявление наиболее значимых информационных ресурсов, потеря которых может сказаться на жизнедеятельности вуза, и определение эффективных мер защиты этих ресурсов
Современный вуз - это многофункциональная сложная иерархическая организационная система, состав бизнес-процессов которой определяется миссией, целями и задачами, поставленными перед вузом На рис 1 приведена функциональная модель основных бизнес-процессов вуза Декомпозиция этой модели позволяет детализировать выполнение перечисленных бизнес-процессов, уточнить их содержание и формы взаимодействия
Специапиэ ироеанноо оборудование
Рисунок 1 - Функциональная модель основных бизнес-процессов вуза
Следующим шагом анализа бизнес-процессов вуза является построение комплекса информационных моделей на основе технологии ГОЕР1Х На рис 2 приведен пример построения информационной модели для одного из этапов учебного процесса - рубежного контроля знаний студентов
Построение комплекса информационных моделей позволяет идентифицировать задействованные информационные активы и провести их категориро-вание, в том числе по степени конфиденциальности
Следующим этапом анализа рисков является выявление источников основных угроз информационной системе вуза В работе построены модели различных типов злоумышленников, характерных для вуза (студент, сотрудник, посетитель, хакер-одиночка, хакерская группа, конкурент, преступные группировки и организации), отличающихся по своим целям, мотивам и возможному потенциалу
Рассмотрены функциональные модели информационных потоков, позволяющие выявить основные виды уязвимостей для защищаемых информационных активов вуза Приведена классификация основных видов ущерба, которые может понести вуз от реализации возможных угроз его информационной системе
Рисунок 2 — Информационная модель этапа учебного процесса (рубежного контроля знаний студентов)
В третьей главе предложены алгоритмы оценки защищенности информационных активов вуза, основанные на построении нечетких когнитивных карт Когнитивная карта - это знаковый ориентированный граф, в вершинах которого располагаются ключевые факторы объекта моделирования (концепты), связанные между собой дугами, отображающими причинно-следственные связи между ними Эти связи характеризуют степень (силу) влияния концептов друг на друга и задаются с помощью нечетких весов }УЧ, интервальных оценок или лингвистических термов В общем случае, нечеткая когнитивная карта определяется как кортеж множеств НКК= {С, }, где С - конечное множество вершин (концептов), F- конечное множество связей между концептами, IV -конечное множество весов этих связей
На рис 3 приведен пример построения НКК для оценки информационных рисков вуза Для решения задачи анализа все концепты разделены на 5 типов С° - множество целевых факторов, Си - множество дестабилизирующих факторов (угроз), С8 - множество информационных активов, С1 - множество базисных факторов (промежуточных концептов-индикаторов), Ск - множество управляющих факторов В табл 1 указаны выделенные для анализа концепты и их переменные состояния Веса связей задавались на базе экспертных оценок с помощью термов лингвистических переменных («слабо», «средне», «силь-
но») на шкале [0,1] В качестве целевых анализируемых факторов выбраны три концепта - «Репутация», «Качество образования» и «Материально-техническое состояние», определяющие состояние вуза на рынке образовательных услуг
Угрозы
Эмоционально-лсихолощческое состоя кие
Репутация
Информационные активы
Базисные факторы
Материально-техническое
СОСТОЯНИЙ
Целевые факторы
Рисунок 3 - НКК для оценки информационных рисков вуза
Построенная таким образом НКК позволяет оценить влияние как отдельных угроз, так и совокупности угроз на тот или иной целевой фактор
Общий эффект влияния концепта С,и (угрозы) на концепт С/ (целевой фактор; при этом определяется матрицей досгижимости
л-1
г=1
где \У' - матрица смежности НКК, ГГд - вес связи между г-м иу-м
концептами НКК, п - число концептов НКК При нечеток значениях весов Ш операции умножения и сложения заменяются соответственно на операции нахождения минимума и максимума Так, непрямой эффект влияния С%а С° определяется минимальным из значений весов связей, встречающихся на пути
- min {Wt]}
Полный (суммарный) эффект от воздействия Си, на (?
Г(Си,—>(?) = max {I,, T2, , TN}, где Tk - непрямой эффект между угрозой Си, и целевьш фактором С°р {f¥,J -множество весов связей на пути между концептами Си, и (?р N - число непрямых эффектов (число путей между концептами С!/, и С3,)
Рискj-to целевого фактора по отношению к /-ой угрозе определяется по формуле
Ry=P, T(CV¡-+С?1 J rJt где г, - ценность _/-го ресурса, T(CUr->C?j) - полный эффект воздействия Си, на С0,, Р, - вероятность г-ой угрозы
Суммарный риск R по отношению к учитываемому множеству угроз m к
где m - число учитываемых угроз, к - число целевых факторов, v} — значимость j- го целевого фактора, определяемая экспертно
Таблица 1 - Концепты и переменные состояния НКК
№ Концепт Наименование концета Переменная состояния д:,
1 с,и Кража Среднее количество хищений / ед вр
2 с2° Модификация Срсдпее количество несанкционированных изменений / ед вр
3 Сз" Разглашение Средпее количество разглашений / сд вр
4 С? Вирусы Среднее количество вирусных атак /ед вр
5 с,и Аппаратные и программные сбои Среднее количество и сбоев /ед вр
6 С/ Базы данных Степень достоверности информации, содержащейся в БД, %
7 С/ Конфиденциальная информация Степень сохранности конфиденциальной информации, %
8 с/ Программное обеспечение Уровень готовности ПО, %
9 с/ Аппаратные ресурсы Работоспособность компьютеров и других аппаратных средств, %
10 с/ Эмоционально-психологическое состояние Количество стрессовых ситуаций / инцидентов, ед
11 а Нарушения графика учебного процесса Количество срывов занятий, ед
12 с,' Уровень успеваемости студентов Средний уровень знаний в пятибалльной системе
13 С/- Репутация вуза Число негативных публикаций или высказываний, ед
14 С/' Качество образования Количество выпускников, работающих по специальности, %
15 С/- Материально-техническое состояние Капитализация, руб , Оснащенность ВТ, ЭВМ/студ
В табл 2 приведены оценки влияния угроз с" С" на целевые факторы С° С3° Анализ НКК показывает, что при заданной таким образом экспертами силе связи между концептами реализация угрозы «Кража» по отношению к информационным ресурсам вуза «сильно» влияет на концепты «Качество образования» и «Материально-техническое состояние» и «средне» влияет на концепт «Репутация» вуза Задавая в абсолютных или условных единицах стоимость целевых факторов СР„ далее можно определить потенциальный риск (ущерб) как для отдельных целевых факторов от действия тех или иных угроз, так и общий (суммарный) риск
Таблица 2 - Оценка степени влияния угроз на целевые факторы
Угроза (Си) Полный эффект влияния угрозы на целевой фактор до введения контрмер Полный эффект влияния угрозы на целевой фактор после введения контрмер
С", <^2 С", с» Сз
средне СИЛЬНО сильно слабо средне средне
средне средне средне слабо слабо слабо
слабо слабо слабо слабо слабо слабо
- сильно сильно - средне средне
С", - сильно сильно - средне средне
Использование НКК дает при этом возможность не только наглядно выявить негативные процессы, протекающие в информационной системе при действии угроз, но и указать наиболее уязвимые места и пути ослабления воздействия угроз за счет введения соответствующих управляющих воздействий (контрмер) {С^}, что позволяет добиться снижения уровня информационных рисков до приемлемого значения
Так, если в качестве угрозы, воздействующей на информационные ресурсы вуза, рассматриваются вирусы (концепт а уровень силы этой угрозы на целевые факторы С°г («Качество образования») и С°3 («Материально-техническое состояние») определяется значением лингвистической переменной «сильно», то для снижения влияния данной угрозы необходимо ввести такие контрмеры, как выбор стратегии антивирусной защиты, подходящей антивирусной программы, управление антивирусными программами и т д Это позволит снизить степень влияния концепта С1\ на концепты С°2 и С^'з до уровня «средне» (табл 2) В табл 3 приведены рекомендуемые мероприятия (множество управляющих факторов) и оценки степени их влияния на указанные концепты Соответствующая НКК после введения контрмер (концепты С^ С^зО приведена на рис 4
Таблица 3 - Множество управляющих факторов
Обозначение Наименование концепта Влияние концепта на связь К Обозначение Наименование концепта Влияние концепта на связь К
с*7 Разграничение уровней доступа пользователей средне С 18 Организация процедуры храпения документов средне
С\ с*6, с\, С*3, <Л Контроль и управление доступом в помещение средне С" 20 Разработка процедуры восстановления после вирусных атак средне
гМ ^н L 9, L- 10 Разработка и внедрение концепции защиты от вирусов сильно Ci^C^i, Си Разработка процедуры по оперативному реагированию на инциденты средне
ГЯ /-тИ <-- II, L 12 Административные и технические средства контроля работы пользователей средне Cf 22, С^з Использование лицензионного ПО, разграничение доступа средне
stK ГМ L 13, С- 16 Мероприятия по предовращению конфликтов в коллективе средне С 24, <- 26) rR С 27 Техническая поддержка аппаратных ресурсов средне
гтК rJi L- 14, <- 17, <^28 Формирование корпоративной культуры средне rR С 29> Ь 30, Г" С 31 Разработка мероприятий по повышению стабильности учебного процесса средне
C"l5 Резервное копирование сильно
Анализ соотношения полученных рисков и затрат на мероприятия по их уменьшению позволяет определить рациональные способы управления IIB вуза и обосновать требуемые затраты на безопасность
Принятие решений о выборе необходимых контрмер и оценке допустимого уровня риска должно проводиться по критерию «стоимость-эффективность» При этом возможны следующие постановки задачи выбора управляющих факторов для снижения рисков
1) Rz< йдоп при Sz -> mm -определение минимальных затрат на реализацию мероприятий по защите информации при обеспечении допустимого уровня риска,
2) Sz S Sm„ при Ri -»■ min -определение минимизации риска при заданных затратах на вводимые мероприятия
Здесь Rz и - суммарный риск и затраты на мероприятия (контрмеры) по защите информации, Raon и Блоп - допустимые значения суммарного риска и затрат
Кража
Угрозы
И нформационные активы
Базисные факторы
Целевые факторы
Рисунок 4 - НКК для оценки информационных рисков вуза с указанием множества управляющих факторов
Эффективность управляющих воздействий рассчитывается по формуле
Где ~ Рассчитанный первоначальный риск, R, - риск после введения дополнительных контрмер
В четвертой главе приведена методика обеспечения ИБ вуза на основе оценки информационных рисков с помощью нечетких когнитивных карт Предлагаемый подход обеспечивает наглядность на этапе оценки влияния основных угроз информационной системе вуза, что дает удобный инструмент Для поддержки принятия решений на всех уровнях политики безопасности вуза включая административный уровень
Описаны разработанные в ходе исследования программные продукты СognitiveRiskAnalizer, RiskManagement и FCM Builder (рис 5), применение которых позволяет автоматизировать и сократить сроки анализа информационных рисков и выбора необходимых контрмер по управлению ИБ вуза
Предложена структура системы поддержки принятия решений (СППР) по управлению информационными рисками вуза с использованием технологий когаитавного моделирования, применение которой позволит повысить обьек-
тивность и оперативность принимаемых решений по управлению ИБ вуза, направленных на снижение потенциальных потерь от действия возможных внешних и внутренних угроз.
паи uaV
Рисунок 5 - Интерфейс программы FCM Builder ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ
1. На основе системного анализа бизнес-процессов вуза как объекта защиты разработаны функциональные и информационные модели основных бизнес-процессов, определяющих различные аспекты деятельности вуза в сфере образования и науки, которые позволяют выявить его основные информационные ресурсы и определить требуемый уровень их защищенности.
2. Предложен комплекс системных моделей, определяющих основные компоненты информационных рисков вуза (модели угроз, злоумышленников, уязвимостей, потенциального ущерба от действия угроз) с учетом особенностей бизнес-процессов, протекающих в вузе как сложном распределенном объекте защиты.
3. Разработаны алгоритмы анализа и управления информационными рисками вуза, основанные на построении нечетких когнитивных карт. Предложено выделить в качестве базовых типов концептов: информационные активы, дестабилизирующие факторы (угрозы), базисные факторы (промежуточные концепты-индикаторы) и управляющие факторы, сила связей между которыми за-
дается экспертным путем Это позволяет дать количественную оценку влияния основных угроз на информационные активы вуза, выявить наиболее уязвимые места информационной системы, представить эффективный механизм принятия решений по обеспечению информационной безопасности вуза
4 Разработаны инструментальные про1раммные средства для оценки уровш информационных рисков вуза, позволяющие автоматизировать процедуру построения НКК, оценивать уровень информационных рисков и вырабатывать необходимые контрмеры для управления ИБ вуза
Предложенный метод оценки информационных рисков вуза с использованием НКК позволяет сократить в 1,5 2 раза время на принятие решений по выбору необходимых контрмер, обеспечивая снижение информационных рисков за счет введения эффективных управляющих воздействий (контрмер) при ограничении суммарных затрат на защиту информации
ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ
В рецензируемых журналах из списка ВАК
1 Анализ и управление информационной безопасностью вуза на основе когнитивного моделирования / Васильев В И, Кудрявцева Р Т // Системы управления и информационные технологии, 2007, № 1(27) - С 74-81
2 Системный анализ информационных рисков с применением нечетких когнитивных карт / Гузаиров М Б , Васильев В И, Кудрявцева Р Т // Инфоком-муникационные технологии, 2007 Том 5, №4 - С 96-101
В других изданиях
3 Моделирование системы защиты информационных ресурсов подразделения ВУЗа с помощью Марковских моделей / Васильев В И Вишнякова Т О , Кудрявцева Р Т // Проблемы техники и технологии телекоммуникаций Материалы шестой Междунар научно-техн конференции, 28 -30 ноября 2005 г,-Уфа УГАТУ -С 192-193
4 Оценка защищенности объекта информатизации с использованием методов экспертных оценок и нечеткой логики / Кудрявцева Р Т, Волох О JI, Кайбышева А И // Информационно-вычислительные технологии и их приложения Сб материалов Междунар научно-техн конференции, декабрь 2005 г, г Пенза - С 122-125
5 Разработка организационных мер защиты информации с помощью нечеткого когнитивного моделирования / Кудрявцева Р Т, Савина И А, Шарипо-ва И И // Информационно-вычислительные технологии и их приложения Сб материалов Междунар научно-техн конференции, Пенза, 2005 -С 125-128
6 Когнитивное моделирование системы защиты информационных ресурсов подразделения ВУЗа / Кудрявцева Р Т, Савина И А, Шарипова ИИ// Высокие технологии, фундаментальные и прикладные исследования, образование Сб трудов Второй Междунар научно-практич конференции «Исследование, разрабогка и применение высоких технологий в промышленности» Т 4 -Санкт-Петербург, 2006 - С 33-34
7 Применение скрытых Марковских моделей в оценке защищенности предприятия / Кудрявцева Р Т, Чавдаров П Г // Высокие технологии, фундаментальные и прикладные исследования, образование Сб трудов Второй Междунар научно-практич конференции «Исследование, разработка и применение высоких технологий в промышленности» Т 5 - Санкт-Петербург, 2006 -С 135-136
8 Анализ и управление информационными рисками в высшем учебном заведении / Васильев В И, Кудрявцева Р Т // Российская научно-техн конференция «Мавлютовские чтения» Т 1 - Уфа, 2006 - С 34-40
9 Анализ системы информационной защиты ВУЗа с помощью когнитивного моделирования / Васильев В И, Кудрявцева Р Т // Актуальные проблемы качества образования и пути их решения Материалы XVI Всероссийской научно-методической конференции, Москва, 2006 - С 232-234
10 Алгоритм расчета рисков при оценке защищенности организации / Кудрявцева Р Т, Савина И А , Шарипова ИИ// Информационная безопасность
Материалы VIII Междунар научно-практической конференции 41- Таганрог Изд-воТРТУ,2006 -С 95-98
11 Алгоритм расчета рисков при оценке информационной безопасности организации / Кудрявцева Р Т, Савина И А, Шарипова И.И // Компьютерные науки и информационные технологии (CSIT2QQ6) Труды 8-ой Международной конференции Т 2 - Карлсруэ, Германия, 2006-С 180-182 (на англ языке)
12 Моделирование информационных рисков вуза в среде MATLAB с помощью когнитивного подхода / Васильев В И, Кудрявцева Р Т, Шарипова ИИ, Савина И А // Вычислительная техника и новые информационные технологии Межвузовский научный сборник Вып 6 Уфа, 2007 - С 170-177
13 Построение нечетких когнитивных карт для моделирования информационных рисков вуза в среде MATLAB / Васильев В И, Кудрявцева Р Т, Шарипова И И, Савина И А // Компьютерные науки и информационные технологии (CSIT'2007) Труды 9-ой Международной конференции Т 1 - Уфа, 2007 -С 194-197(наангл языке)
14 Свид об офиц per программы для ЭВМ № 2006612795 Программа для расчета и анализа рисков с применением когнитивных технологий / Васильев В И, Кудрявцева Р Т, Савина И А М Роспатент, 2006
15 Свид об офиц per программы для ЭВМ № 2006612929 Управление информационными рисками / Васильев В И, Кудрявцева Р Т, Шарипова И И, Асадуллин В М М Роспатент, 2006
16 Свид об офиц per программы для ЭВМ №2006613038 Программный модуль оценки защищенности информационных ресурсов предприятия / Васильев В И , Кудрявцева Р Т , Чавдаров П Г М Роспатент, 2006
17 Свид об офиц per программы для ЭВМ № 2007613536 Универсальное решение для автоматизации анализа и управления рисками с использованием нечетких когнитивных карт {Fuzzy Cognitive Maps Builder) / Васильев В И, Кудрявцева Р Т, Юдинцев ВАМ- Роспатент, 2007
Диссертант
Р Т Кудрявцева
КУДРЯВЦЕВА Рима Тимиршаиховна
УПРАВЛЕНИЕ ИНФОРМАЦИОННЫМИ РИСКАМИ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИЙ КОГНИТИВНОГО МОДЕЛИРОВАНИЯ (на примере высшего учебного заведения)
Специальность 05 13 19 - Методы и системы защиты информации, информационная безопасность
АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук
Подписано к печати 12 09 2008 Формат 60x84 1/16 Бумага офсетная Печать плоская. Гарнитура Тайме Уел печ л 1,0. Уел кр -отг 1,0 Уч -изд л 0,9 Тираж 100 экз Заказ № 372
ГОУ ВПО Уфимский государственный авиационный технический университет Центр оперативной полиграфии 450000, Уфа-центр, ул К Маркса,12.
Оглавление автор диссертации — кандидата технических наук Кудрявцева, Рима Тимиршаиховна
ВВЕДЕНИЕ.
ГЛАВА 1. АНАЛИЗ СОВРЕМЕННОГО СОСТОЯНИЯ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ.
1.1. Законодательная и нормативно-правовая база в области обеспечения информационной безопасности организации.
1.2. Общие требования к формированию политики безопасности организации.
1.3. Методы и инструментальные средства анализа и управления рисками.
1.4. Применение методов когнитивного моделирования для анализа и управления рисками.
Выводы по 1-й главе. Цель и задачи исследований
ГЛАВА 2. ПОСТРОЕНИЕ И АНАЛИЗ СИСТЕМНЫХ МОДЕЛЕЙ ДЛЯ ОЦЕНКИ УРОВНЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ВУЗА.
2.1 Системный подход к построению системы управления информационной безопасностью вуза.
2.2 Функциональное моделирование бизнес-процессов вуза.
2.3 Классификация угроз и построение модели злоумышленника
2.4 Выявление уязвимостей информационной системы.
2.5 Выявление видов ущерба информационным активам.
Выводы по 2-ой главе.
ГЛАВА 3. РАЗРАБОТКА НЕЧЕТКИХ КОГНИТИВНЫХ МОДЕЛЕЙ ДЛЯ АНАЛИЗА И УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ ВУЗА.
3.1 Общая процедура построения нечетких когнитивных карт.
3.1.1 Методика получения количественных и качественных оценок.
3.1.2 Определение списка концептов НКЕС.
3.2 Разработка НКЕС для оценки информационных рисков вуза.
3.2.1 Оценка риска по НКК.
3.2.2 Введение управляющих воздействий.
3.3 Построение НКК для оценки рисков структурных подразделений вуза.1.
3.3.1 Построение НКК для оценки рисков деканата.
3.3.2 Построение НКК для оценки рисков отдела интеллектуальной собственности.
3.4 Динамическое моделирование НКК.
Выводы по 3-й главе.
ГЛАВА 4. АНАЛИЗ И УПРАВЛЕНИЕ ИНФОРМАЦИОННЫМИ
РИСКАМИ ВУЗА С ИСПОЛЬЗОВАНИЕМ НКК.
4.1 Методика анализа и управления информационными рисками вуза с помощью НКК.
4.2 Программная реализация процедуры моделирования задачи оценки и управления информационными рисками.
4.3 Структура системы поддержки принятия решений по анализу и управлению рисками вуза.
Выводы по 4-й главе.
Введение 2008 год, диссертация по информатике, вычислительной технике и управлению, Кудрявцева, Рима Тимиршаиховна
Актуальность темы
Одной из важнейших составляющих успешного развития общества является защищенность его информационных ресурсов. Информация в современном информационном обществе становится одним из ключевых элементов бизнеса, она становится предметом купли-продажи, обладающим стоимостными характеристиками. Любые процессы в финансово-промышленной, политической или социальной сфере сегодня напрямую связаны с информационными ресурсами и использованием информационных технологий.
Современные информационные технологии предлагают неограниченные возможности для развития бизнеса, предоставляя необходимую для принятия решений информацию нужного качества и в нужное время. Информация, критичная для бизнеса, должна быть доступной, целостной и конфиденциальной. В то же время, в связи с возрастающей сложностью информационных систем и используемых в них информационных технологий, возрастает и количество уязвимостей и потенциальных угроз этим системам.
Очевидно, что вопросы информационной безопасности сегодня актуальны не только для правительственных и коммерческих структур. В последнее время в связи с коммерциализацией отечественных вузов и тенденциями выхода российского образования на европейский и мировой рынок образовательных услуг остро стоит вопрос об обеспечении устойчивого функционирования и повышении конкурентоспособности образовательных учреждений.
В соответствии с федеральной программой развития науки и инноваций «Научно-технологическая база России» на 2007-2012 годы планируется развитие ведущих вузов страны не только как крупных учебных, но и как базовых научных центров с привлечением крупного и среднего бизнеса к организации учебного процесса и научных исследований. В связи с этим задачи обеспечения защиты информационных ресурсов образовательного учреждения и связанные с ними вопросы анализа информационных рисков и управления ими приобретают особую актуальность.
Объект исследования - система защиты информации высшего учебного заведения.
Предмет исследования — методическое, алгоритмическое и программное обеспечение системы защиты информации.
Цель и задачи исследования
Целью исследований работы является повышение эффективности управления информационной безопасностью (ИБ) вуза на основе разработки моделей и алгоритмов анализа и управления информационными рисками с использованием технологий когнитивного моделирования.
Для достижения этой цели требуется решить следующие задачи:
1. Провести системный анализ бизнес-процессов вуза как объекта защиты и определить требования к обеспечению информационной безопасности вуза.
2. Разработать комплекс моделей, определяющих основные компоненты информационных рисков вуза (модели угроз, злоумышленников, уязвимостей, ущерба).
3. Разработать алгоритмы анализа и управления информационными рисками вуза с использованием нечетких когнитивных карт.
4. Разработать инструментальные программные средства для оценки уровня информационных рисков вуза и выбора необходимых контрмер для управления информационной безопасностью.
Методы исследования
При решении поставленных в работе задач использовались методы системного анализа, теории когнитивного моделирования, теории графов, нечеткой логики, имитационного моделирования, автоматизированного проектирования информационных систем, а также методы программирования.
Результаты, выносимые на защиту
1. Функциональные и информационные модели бизнес-процессов вуза, определяющие основные требования к его информационной безопасности.
2. Комплекс системных моделей, определяющих основные компоненты информационных рисков вуза.
3. Алгоритмы анализа и управления информационными рисками вуза на основе нечетких когнитивных карт.
4. Программное обеспечение для автоматизации анализа и управления информационными рисками вуза на основе построения нечетких когнитивных карт.
На учная новизна
Научная новизна работы состоит в том, что анализ и управление информационной безопасностью, в отличие от существующих подходов, предложено проводить с помощью построения нечеткой когнитивной карты исследуемого объекта. При этом:
1. Для определения списка концептов, требуемых для исследования, предложено провести системное моделирование бизнес-процессов исследуемого объекта на основе <5/ШГ-технологии, которое позволяет выявить взаимосвязи и информационное содержание этих процессов, произвести классификацию основных информационных активов вуза, определить наиболее значимые информационные ресурсы и требуемый уровень их защищенности.
2. Для определения степени влияния концептов друг на друга предложено построение системных моделей, определяющих основные компоненты риска (модель угроз, злоумышленников, уязвимостей, потенциального ущерба), которые позволяют учесть специфику и сложившийся уровень информационной безопасности вуза и его структурных подразделений, дать более точную оценку угроз на информационную систему вуза.
3. Предложен алгоритм анализа информационных рисков вуза, основанный на использовании математического аппарата нечетких когнитивных карт, позволяющий получить не только качественную, но и количественную оценку влияния различных дестабилизирующих факторов (угроз) на величину потенциального ущерба от действия этих угроз, определить состав необходимых контрмер (средств защиты) для управления информационными рисками с учетом ограничений на выделенные ресурсы, а также эффективность вводимых мероприятий.
Практическая значимость и внедрение результатов работы
Предложенные алгоритмы анализа и управления информационными рисками, основанные на построении нечетких когнитивных карт вуза как для вуза в целом, так и для его структурных подразделений, позволяют определить наиболее уязвимые места информационной системы и выбрать необходимые контрмеры для снижения информационных рисков.
Разработанные инструментальные программные средства для анализа и управления информационными рисками на основе построения нечетких когнитивных карт позволяют автоматизировать процессы когнитивного моделирования и сократить в 1,5.2 раза время оценки рисков и выработки необходимых контрмер по управлению информационной безопасностью вуза. Получены 4 свидетельства РосАПО об официальной регистрации программ для ЭВМ.
Разработанная методика оценки информационных рисков вуза и реализующие ее инструментальные программные средства внедрены в учебный процесс подготовки специалистов по специальности 090104 «Комплексная защита объектов информатизации».
Апробация работы
Основные положения диссертационной работы докладывались и обсуждались на следующих научных конференциях:
- 6-й международной научно-технической конференции «Проблемы техники и технологии телекоммуникаций», Уфа, 2005.
- Международной научно-технической конференции «Информационно-вычислительные технологии и их приложения», Пенза, 2005.
- Второй Международной научно-практической конференции «Исследование, разработка и применение высоких технологий в промышленности», Санкт-Петербург, 2006.
- Российской научно-технической конференции «Мавлютовские чтения», Уфа, 2006.
- XVI Всероссийской научно-методической конференции «Актуальные проблемы качества образования и пути их решения», Москва, 2006.
- VIII Международной научно-практической конференции «Информационная безопасность», Таганрог, 2006.
- Международных научных конференциях «Компьютерные науки и информационные технологии», Карлсруэ, Германия, 2006; Уфа, 2007.
Публикации
Список публикаций по теме диссертации содержит 17 работ, в том числе 13 статей и материалов научно-технических конференций, из них 2 статьи в изданиях из перечня ВАК РФ, 4 свидетельства об официальной регистрации программ для ЭВМ.
Структура и объем работы
Диссертационная работа состоит из введения, четырех глав, заключения, библиографического списка и изложена на 159 страницах машинописного текста. Библиографический список включает 144 наименований литературы.
Заключение диссертация на тему "Управление информационными рисками с использованием технологий когнитивного моделирования"
Выводы по 4-й главе
1. Показано, что разработанная методика обеспечения ИБ вуза на основе оценки информационных рисков с помощью нечетких когнитивных карт позволяет решить задачу количественной оценки ИБ вуза и обосновать затраты на поддержание безопасности по критерию «стоимость-эффективность». Предлагаемый подход позволяет наглядно выявить зависимость влияния угроз информационной системе вуза на его основные бизнес-процессы, определяющие положение вуза на рынке образовательных услуг. Это дает удобный инструмент для поддержки принятия решений на всех уровнях политики безопасности вуза, включая верхний административный уровень.
2. Применение разработанных программных продуктов CognitiveRiskAnalizer, RiskManagement и FCM Builder позволяет сократить сроки анализа, оценки и переоценки информационных рисков и выработки необходимых регуляторов безопасности (контрмер) по управлении ИБ вуза. Графическое представление выходных данных позволяет наглядно оценить эффективность принятых управляющих воздействий.
3. Предлагаемая структура системы поддержки принятия решений по управлению ИБ вуза является основой для реализации разработанного подхода по обеспечению ИБ вуза на основе оценки риска по НКК. Данная СППР включает в себя информационную базу (документальное сопровождение), необходимую для принятия решений по управлению ИБ. Применение разработанной СППР позволит сократить сроки принятия решений лицу, ответственному за обеспечение ИБ вуза, и повысить эффективность принимаемых решений.
ЗАКЛЮЧЕНИЕ
В диссертационной работе поставлена и решена задача повышения эффективности управления информационной безопасностью вуза на основе разработки моделей и алгоритмов анализа и управления информационными рисками с использованием технологий когнитивного моделирования.
При решении данной задачи получены следующие научные и практические результаты:
1. На основе системного анализа бизнес-процессов вуза как объекта защиты разработаны функциональные и информационные модели основных бизнес-процессов, определяющих различные аспекты деятельности вуза в сфере образования и науки, которые позволяют выявить его основные информационные ресурсы и определить требуемый уровень их защищенности.
2. Предложен комплекс системных моделей, определяющих основные компоненты информационных рисков вуза (модели угроз, злоумышленников, уязвимостей, потенциального ущерба от действия угроз) с учетом особенностей бизнес-процессов, протекающих в вузе как сложном распределенном объекте защиты.
3. Разработаны алгоритмы анализа и управления информационными рисками вуза, основанные на построении нечетких когнитивных карт. Предложено выделить в качестве базовых типов концептов: информационные активы, дестабилизирующие факторы (угрозы), базисные факторы (промежуточные концепты-индикаторы) и управляющие факторы, сила связей между которыми задается экспертным путем. Это позволяет дать количественную оценку влияния основных угроз на информационные активы вуза, выявить наиболее уязвимые места информационной системы, представить эффективный механизм принятия решений по обеспечению информационной безопасности вуза.
4. Разработаны инструментальные программные средства для оценки уровня информационных рисков вуза, позволяющие автоматизировать процедуру построения НКК, оценивать уровень информационных рисков и вырабатывать необходимые контрмеры для управления ИБ вуза.
Предложенный метод оценки информационных рисков вуза с использованием НКК позволяет сократить в 1,5.2 раза время на принятие решений по выбору необходимых контрмер, обеспечивая снижение информационных рисков за счет введения эффективных управляющих воздействий (контрмер) при ограничении суммарных затрат на защиту информации.
Библиография Кудрявцева, Рима Тимиршаиховна, диссертация по теме Методы и системы защиты информации, информационная безопасность
1. Военная доктрина Российской Федерации. Указ Президента РФ № 706 от 21.04.2000г.
2. ГОСТ Р50922-96 «Защита информации. Основные термины и определения».
3. Доктрина информационной безопасности Российской Федерации, утв. Президентом Российской Федерации 9.09.2000г.
4. Концепция национальной безопасности Российской Федерации. Указ Президента РФ № 1300 от 17.12.1997г. (в редакции Указа Президента РФ от 10.01.2000г. №2).
5. Концепция построения комплексной системы безопасности УГАТУ. Проект. Утв. ректором УГАТУ.
6. Политика в области качества ГОУ ВПО УГАТУ, утв. ректором УГАТУ 22.11.2005г.
7. Стандарт Банка России СТО БР ИББС-1.0-2006.
8. СТО УГАТУ «О коммерческой тайне». Система менеджмента качества. Проект, 2006г.
9. Устав ГОУ ВПО УГАТУ, утв. Министерством образования РФ 25.03.2002г.
10. Федеральная целевая программа «Развитие образования на 2006-2010 годы».
11. Федеральный закон РФ «О коммерческой тайне» от 29.07.2004 г. N 98-ФЗ.
12. Федеральный закон РФ «Об информации, информационных технологиях и защите информации» № 149-ФЗ от27.07. 2006г.
13. Аверкин А.Н., Кузнецов О.П., Кулинич А.А., Титова Н.В. Поддержка принятия решений в слабо структурированных предметных областях. Анализ ситуаций и оценка альтернатив // Известия РАН. Теория и системы управления, №3,2006, с. 139- 149.
14. Автоматизированное проектирование информационно-управляющих систем. Системное моделирование предметной области: Учебное пособие / Г.Г. Куликов, А.Н. Набатов, А.В. Речкалов; Уфимск. гос. авиац. техн. ун-т. Уфа, 2003. 104 с.
15. Андрейчиков А.В., Андрейчикова О.Н. Интеллектуальные информационные системы: Учебник. М.: Финансы и статистика, 2004. - 424 с.
16. Анфилатов B.C. и др. Системный анализ в управлении: Учебное пособие / B.C. Анфилатов, А.А. Емельянов, А.А. Кукушкин; Под ред. А.А. Емельянова. М.: Финансы и статистика, 2006. - 368 с.
17. Архипова Н.И., Кульба В.В. Управление в чрезвычайных ситуациях: Учебное пособие. М.: Изд-во РГГУ, 1994. 196с.
18. Балашов П.А., Кислов Р.И., Безгузиков В.П. Оценка рисков информационной безопасности на основе нечеткой логики // Защита информации. Конфидент, № 5, 2003г. с. 56-59.
19. Балашов П.А., Кислов Р.И., Безгузиков В.П. Оценка рисков информационной безопасности на основе нечеткой логики (окончание) // Защита информации. Конфидент, № 6, 2003г. с. 60-65.
20. Барсуков B.C., Водолазкий В.В. Современные технологии безопасности. М.: «Нолидж», 2000. - 496 с.
21. Беседин A.JI. Экономическая безопасность предприятия в контексте системного подхода к решению проблемы защиты конфиденциальной информации // Финансы и кредит, № 27 (165), 2004.
22. Блохина С.В. Формирование организационной культуры, ориентированной на усиление информационной безопасности компаний / Материалы VIII Международной научно-практической конференции «Информационная безопасность», Таганрог: Изд-во ТРТУ, 2007. С. 217- 222.
23. Борисов В.В. Федулов А.С. Обобщенные нечеткие когнитивные карты // Нейрокомпьютеры: разработка, применение, 2004, № 4.
24. Борисов В.В., Круглов В.В., Федулов А.С. Нечеткие модели и сети. -М.: Горячая линия Телеком, 2007. - 284 с.
25. Бусленко Н.П. Моделирование сложных систем. Главная редакция физико-математической литературы изд-ва «Наука», М., 1978. 399 с.
26. Васильев В.И., Ильясов Б.Г. Интеллектуальные системы управления: теория и практика: учебное пособие/ Уфа: УГАТУ, 2008. - 446 с.
27. Васильев В.И., Иванова Т.А. Разработка методологических основ создания и внедрения комплексной системы безопасности вуза // Вестник УГАТУ, т. 8, № 2 (18), 2006. С. 40 - 42.
28. Васильев В.И., Кудрявцева Р.Т. Анализ и управление информационной безопасностью вуза на основе когнитивного моделирования // Системы управления и информационные технологии, 2007, N1(27). С. 74-81.
29. Васильев В.И., Кудрявцева Р.Т., Савина И.А. Программа для расчета и анализа рисков с применением когнитивных технологий // Свидетельство об официальной регистрации программы для ЭВМ № 2006612795 от 7.08.2006г.
30. Васильев В.И., Кудрявцева Р.Т., Чавдаров П.Г. Программный модуль оценки защищенности информационных ресурсов предприятия // Свидетельство об официальной регистрации программы для ЭВМ № 2006613038 от 31.08.2006г.
31. Васильев В.И., Кудрявцева Р.Т., Шарипова И.И., Асадуллин В.М. Управление информационными рисками // Свидетельство об официальной регистрации программы для ЭВМ № 2006612929 от 15.08.2006г.
32. Ветров Ф.Н., Котова Е.Е., Кузьмин Н.Н. Когнитивное моделирование для анализа информационно-образовательной среды // Труды 4-й Всеросс. научн. конф. «Управление и информационные технологии», С.-Петербург 10-12 октября 2006. С. 176 - 181.
33. Галатенко В.А. Информационная безопасность. Обзор основных положений. Jet Info online! Информационный бюллетень, № 1-3, 1996.
34. Галатенко В.А. Основы информационной безопасности / Под ред. В.Б. Бетелена. М.: ИНТУИТ.РУ «Интернет-Университет Информационных технологий», 2003.-280 с.
35. Галатенко В.А. Оценка безопасности автоматизированных систем. Обзор и анализ предлагаемого проекта технического доклада ISO/IEC PDTR 19791. Jet Info online! Информационный бюллетень, № 7, 2005.
36. Гаценко О.Ю. Защита информации. Основы организационного управления. СПб.: Изд. дом «Сентябрь», 2001. - 228 с.
37. Герасименко В.А. Защита информации в автоматизированных системах обработки даны. В 2-х кн.: Кн.1. М.: Энергоатомиздат, 1994. - 400 с.
38. Герасименко В.А. Защита информации в автоматизированных системах обработки даны. В 2-х кн.: Кн.2. М.: Энергоатомиздат, 1994. - 176 с.
39. Голосов А., Полотнюк И., Филиппович А. Автоматизация образовательных учреждений на базе интеграционной платформы // PC WEEK/RE, № 14, 25 апреля, 2006.
40. Гузаиров М.Б., Васильев В.И., Кудрявцева Р.Т. Системный анализ информационных рисков с применением нечетких когнитивных карт // Инфо-коммуникационные технологии, Том 5, № 4, 2007. С. 96-101.
41. Домарев В.В. Безопасность информационных технологий. Системный подход: К.: ООО «ТИД «ДС», 2004. - 992 с.
42. Завгородний В.И. Комплексная защита информации в компьютерных системах: Учебное пособие. -М.: Логос; ПБОЮЛ Н.А. Егоров, 2001. 264 с.
43. Загородников С.Н., Шмелев А.А. Организационное и правовое обеспечение информационной безопасности. 4.1 // Информационные технологии. Приложение, № 12, 2005.
44. Зегжда Д.П., Ивашко A.M. Как построить защищенную информационную систему / Под научной ред. Зегжды Д.П. и Платонова В.В. СПб: Мир и семья-95, 1997.-312 с.
45. Инновационная деятельность вузов: принципы и механизмы организации // Высшее образование сегодня, № 5, 2006г., с. 4-10.
46. Иржавский А.А., Лебедь С.В. Организационно-нормативная база системы обеспечения информационной безопасности комплекса информационных систем предприятия // Information security / Информ. Безопасность, № 6, 2004.-С. 28-31.
47. Как найти и обезвредить сотрудника-саботажника // Защита информации. Inside, № 5. С. 28 - 32.
48. Корт С.С. Теоретические основы защиты информации: Учебное пособие. М.: Гелиос АРВ, 2004. - 240 с.
49. Корченко А.Г. Построение системы защиты информации на нечетких множествах. Теория и практические решения. К.: «МК-Пресс», 2006. - 320 с.
50. Криштофик A.M., Анищенко В.В. Методология построения системы защиты информации : Материалы VIII Междунар. научно-практич. конф. «Информационная безопасность», Таганрог: Изд-во ТРТУ, 2007. С. 60- 65.
51. Кудрявцева Р.Т., Савина И.А., Шарипова И.И. Алгоритм расчета рисков при оценке защищенности организации // Информационная безопасность : Материалы VIII Междунар. научно-практич. конф. 4.1. Таганрог: Изд-во ТРТУ, 2006. - С. 95 - 98.
52. Кузнецов А.Е. Анализ подходов к организации процесса обеспечения информационной безопасности управляющих систем // Безопасность информационных технологий, 2007, № 3. С. 54-57.
53. Куликов Г.Г., Сулейманова A.M., Конев К.А., Старцев Г.В. Формирование и применение системной модели учебного процесса образовательного учреждения // Вестник УГАТУ, т. 8, № 2 (18), 2006. С. 43 - 47.
54. Куликов Г.Г., Сулейманова A.M., Старцев Г.В., Суворова В.А. Формирование и применение системной модели планирования учебной нагрузкина кафедре образовательного учреждения // Вестник УГАТУ, т. 8, № 2 (18), 2006.-С. 48-54.
55. Леденева Т.М., Подвальный, C.JL, Васильев В.И. Системы искусственного интеллекта и принятия решений: Учебное пособие. Уфимск. гос. авиац. техн. ун-т, Воронеж, гос. техн. ун-т. Уфа: УГАТУ, 2005. - 206 с.
56. Максимов В.И, Качаев С.В, Корноушенко Е.К. Управление сферами банковской деятельности. // Банковские технологии, №5-6, 1999. С. 21-26.
57. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов. М.: Горячая линия - Телеком, 2004 - 280 с.
58. Математическая модель динамики возникновения и реализации угроз несанкционированного доступа к информации на объектах информатизации // Информационные технологии, № 1, 2006. С. 36 - 43.
59. Медяев А.Д., Журавлев А.В. Методы обеспечения информационной безопасности электронных образовательных ресурсов // Безопасность информационных технологий, 2007, № 3. С. 65-67.
60. Мелехин И. Управление инцидентами/ Jetlnfo online. Информационный бюллетень № 7 (158), 2006.
61. Носаков В. Создание комплексной системы управления информационной безопасностью / Jet Info online. Информационный бюллетень № 7 (158), 2006.
62. Остапенко Г.А. Информационные атаки и операции в социотехниче-ских системах. М.: Горячая линия Телеком, 2007. - 134 с.
63. Паклин Н.Б. Нечетко-когнитивный подход к управлению динамическими системами // Искусственный интеллект, 2003, № 4. С. 342-348.
64. Петренко С.А., Курбатов В.А. Лучшие практики создания корпоративных нормативных документов по безопасности. Защита информации. INSIDE № 5, 2005. С. 58-69.
65. Петренко С.А., Курбатов В.А. Лучшие практики создания корпоративных нормативных документов по безопасности. Защита информации. INSIDE № 6, 2005.
66. Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. М.: Компания АйТи; ДМК Пресс, 2005.-384 с.
67. Профили защиты на основе «Общих критериев». Аналитический обзор/ В.Б. Бетелин, В.А. Галатенко, М.Т. Кобзарь, А.А. Сидак, И.А. Трифален-ков. Jet Info online / Информационный бюллетень, № 3 (118), 2003.
68. Путин В.В. Без повышения конкурентоспособности образования страна обречена на отставание // Высшее образование сегодня, № 5, 2006. С. 3.
69. Роберте Ф.С. Дискретные математические модели с приложениями к социальным, биологическим и экологическим задачам / Под ред. А.И. Теймана. М.: Наука, Гл. ред. физ.-мат. лит., 1986. - 496 с.
70. Романов В.П. Интеллектуальные информационные системы в экономике: Учебное пособие / Под ред. Н.П. Тихомирова. М.: Изд-во «Экзамен», 2003. - 494 с.
71. Рыхтикова Н.А. Анализ и управление рисками организации: учеб. Пособие. М.: ФОРУМ: ИНФРА-М, 2007. - 240 с.
72. Саати Т. Принятие решений. Метод анализа. М: Изд-во - Москва "Радио и связь", 1993 - 278 с.
73. Садердинов А.А., Трайнев В.А., Федулов АА. Информационная безопасность предприятия: Учеб. пособие. 3-е изд. - М., Издательско-торговая корпорация «Дашков и К», 2006. — 336 с.
74. Семененко В.А. Информационная безопасность: Учеб. пособие. 2-е изд. -М.: МГИУ, 2005. 215 с.
75. Силов В.Б. Принятие стратегических решений в нечеткой обстановке. М.: ИНПРО-РЕС, 1995. - 76 с.
76. Системный анализ и принятие решений. Словарь-справочник: учеб. пособие для вузов/ под ред. Н.В. Волковой, В.Н. Козлова. М.: Высшая школа, 2004.-616 с.
77. Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб.: Питер, 2008. - 320 с.
78. Скляров Д.В. Искусство защиты и взлома информации. СПб.: БХВ-Петербург, 2004. - 288 с.
79. Смородинова Т.М. Управление в чрезвычайных ситуациях на основе нечетких когнитивных технологий // Диссертация на соискание ученой степени кандидата технических наук, Уфа, 2005г.
80. Соколов А.В., Шаньгин В.Ф. Защита информации в распределенных корпоративных сетях и системах. М.: ДМК Пресс, 2002. - 656 с.
81. Тарасов В.Б., Ярных В.В. Интеллектуальные и самообучающиеся организации в сфере высшего образования // Открытое образование, № 4, 2006. -С. 34-37.
82. Тельнов Ю.Ф., Цыбин Ф.П. Когнитивное моделирование процессов самообучающейся организации // Открытое образование, № 4, 2006. С. 77-81.
83. Тенетко М.И., Песков О.Ю. Применение лингвистических переменных при оценке рисков информационной безопасности / Материалы VIII Междунар. научно-практич. конф. «Информационная безопасность», Таганрог: Изд-во ТРТУ, 2007. С. 72- 77.
84. Теоретические основы экспертного ранжирования и его применение в медицине и фармации: Учебно-методическое пособие / Р.В.Насыров, Г.Я. Ибрагимова, Н.Х. Хафизов, Ю.В. Бойко. Уфа: Изд-во «Здравоохранение Башкортостана», 2003. - 148 с.
85. Теренин А.А. Как построить модель типового нарушителя информационной безопасности // Защита информации. Inside. № 5, 2005. С. 18-24.
86. Трахтенгерц, Э.А. Компьютерная поддержка принятия решений: на-учно-практич. издание. Серия : Информатизация России на пороге XXI века. -М.: СИНТЕГ, 1998. 376 с.
87. Управление в высшей школе: опыт, тенденции перспективы. Аналитический доклад / Руководитель авторского коллектива В.М. Филиппов. -М.: Логос, 2005.-540 с.
88. Управление рисками: обзор употребительных подходов. 4.1/ Jet Info online/ Информационный бюллетень № 11 (162), 2006.
89. Управление рисками: обзор употребительных подходов. 4.2/ Jet Info online/ Информационный бюллетень № 12 (163), 2006.
90. Федулов А.С. Нечеткие реляционные когнитивные карты. Известия РАН. Теория и системы управления, 2005, № 1. С. 120- 132.
91. Филин С.А. Информационная безопасность: Учебное пособие. М.: Издательство «Альфа-Пресс», 2006. - 412 с.
92. Фурсенко А.А. Стратегия развития науки и инноваций в Российской Федерации до 2010г. //Высшее образование сегодня, № 1, 2006. С. 3 - 6.
93. Хасанова Н.В. Оценка и управление научно-образовательным потенциалом на основе структурных, когнитивных и динамических моделей// Диссертация на соискание ученой степени кандидата технических наук, Уфа, — 2006г.
94. Хейнеман С. П. Образование и коррупция, №5, 2006. С. 32-37.
95. Хоффман Л.Дж. Современные методы защиты информации. /Под ред. В.А.Герасименко. М.: Советское радио, 1980. - 257 с.
96. Чекинов, Г.П., Чекинов, С.Г. Ситуационное управление: состояние и перспективы // Информационные технологии (приложение), № 2, 2004. — 32 с.
97. Чепурных Н.В., Новоселов А.Л. Экономика и экология: развитие, катастрофы. М.: Наука, 1996. - 271 с.
98. Чибрикин И. Информационная безопасность для организаций с высоким уровнем риска: новые угрозы и возможные подходы к их нейтрализации/ Jet Info online. Информационный бюллетень № 1 (164), 2007.
99. Шоломицкий А.Г. Теория риска. Выбор при неопределенности и моделирование риска: Учеб. пособие для вузов. Гос. ун-т Высшая школа экономики. - М.: Изд. дом ГУ ВШЭ, 2005. - 400 с.
100. Шумский А.А., Шелупанов А.А. Системный анализ в защите информации: учеб. пособие. М.: Гелиос АРВ, 2005. - 224 с.
101. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. СПб: Наука и техника, 2004. - 384 с.
102. Ямалов И.У. Информационная поддержка принятия решений при ликвидации чрезвычайных ситуаций на основе моделирования сценариев поведения // Информационные технологии, № 6, 2005. С. 51 - 58.
103. Ямалов И.У. Моделирование процессов управления и принятия решений в условиях чрезвычайных ситуаций. М.: Лаборатория Базовых Знаний, 2007.-288 с.
104. Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. М.: Академический Проспект; Гаудеамус, 2-е изд. - 2004. - 544 с.
105. Ярушкина Н.Г. Основы теории нечетких и гибридных систем: Учеб. пособие. М.: Финансы и статистика, 2004. - 320 с.
106. Яскевич В.И. Секьюрити: Организационные основы безопасности фирмы. М.: «Ось-89», 2005. - 368 с.
107. Axelrod R. Structure of Decision: The Cognitive Maps of Political Elites, Princeton University Press, Princeton, NJ, 1976, p. 404.
108. Carvalho J. P., Tome J. A. Fuzzy Mechanisms For Causal Relations // Proc. of the Eighth International Fuzzy Systems Association World Congress, IFSA99. Taiwan, 1999,pp. 1009-1013.
109. Carvalho J. P., Tome J. A. Qualitative modeling of an economic system using Rule Based Fuzzy Cognitive Maps, FUZZ-IEEE 2004, IEEE International
110. Conference on Fuzzy Systems, Budapest, 2004, pp. 659-663.
111. Carvalho J. P., Tome J. A. Rule Based Fuzzy Cognitive Maps Qualitative Systems Dynamics // Proc. of the 19th Int. Conf. of the North American Fuzzy Information Processing Society, NAFIPS2000. Atlanta, 2000, pp. 407-411.
112. Dickerson J., Kosko B. Virtual Worlds as Fussy Dynamic Systems // Technology for Multimedia, IEEE Press: New York, 199%, pp. 567-603.
113. Guide for developing security plans for information technology systems. NIST Special Publication, 800-18, 2000. (Руководство по политике безопасности автоматизированных систем).
114. Kosko В. Fussy Cognitive Maps // International Journal of Man-Machine Studies, 1986. Vol. 1 ,pp. 65-75.
115. Risk management Guide for Information Technology Systems, NIST, Special Publication 800-30,/?. 58.
116. Stylios C. D., Groumpos P. P. A Soft Computing Approach for Modeling the Supervisor of Manufacturing Systems //Journal of Intelligent and Robotic Systems, 26, 1999,pp. 389-403.
117. Stylios C. D., Groumpos P. P. The Challenge of Modelling Supervisory Systems Using Fuzzy Cognitive Maps // Journal of Intelligent Manufacturing, 9, 1998,pp. 339-345.
118. Tolman Т. C. Cognitive Maps and Men //Psychological Review. 1948. V. 55,pp. 189-208.
119. Vasilyev V. I., Kudryavtseva R. Т., Sharipova I. I.,. Savina I. A Construction of Fuzzy Cognitive Maps for Modeling of University's Information Risks in MATLAB Framework // Proceedings of the 9th International Worlcshop on Computer
120. Science and Information Technologies {CSIT2001) Krasnousolsk, Ufa, September 13-16, 2007/ Vol I,pp. 194-197.
-
Похожие работы
- Когнитивные нечетко-логические модели и комплекс программ оценки техногенно-природных рисков
- Модели и комплекс программ процесса управления рисками информационной безопасности
- Модели и методы оценки рисков нарушения информационной безопасности с использованием нечетких когнитивных карт
- Разработка методов и алгоритмов интеллектуальной поддержки принятия решений на основе нечетких когнитивных карт
- Автоматизация разработки управленческих решений в социально-экономических системах на основе применения нечетких когнитивных моделей
-
- Системный анализ, управление и обработка информации (по отраслям)
- Теория систем, теория автоматического регулирования и управления, системный анализ
- Элементы и устройства вычислительной техники и систем управления
- Автоматизация и управление технологическими процессами и производствами (по отраслям)
- Автоматизация технологических процессов и производств (в том числе по отраслям)
- Управление в биологических и медицинских системах (включая применения вычислительной техники)
- Управление в социальных и экономических системах
- Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей
- Системы автоматизации проектирования (по отраслям)
- Телекоммуникационные системы и компьютерные сети
- Системы обработки информации и управления
- Вычислительные машины и системы
- Применение вычислительной техники, математического моделирования и математических методов в научных исследованиях (по отраслям наук)
- Теоретические основы информатики
- Математическое моделирование, численные методы и комплексы программ
- Методы и системы защиты информации, информационная безопасность