Анализ и управление рисками в области защиты информации тема диссертации и автореферата по ВАК РФ 08.00.13, кандидат экономических наук Немиткина, Виктория Викторовна

Актуальность исследования. В последнее время быстрое развитие технологий передачи и обработки информации сделало ее одним из ценнейших ресурсов. На сегодняшний день информация приобретает уникальную ценность и является одним из критически важных ресурсов — это новые идеи, производственные, коммерческие секреты и т.д. Все это не могло не наложить свой отпечаток на ведение бизнеса на всех уровнях. Информация используется для принятия важных стратегических решений и от того, насколько она будет достоверна и актуальна, может зависеть дальнейшая судьба фирмы. Разглашение или утечка конфиденциальной коммерческой информации могут повлечь значительные финансовые убытки, а также негативно отразиться на имидже компании. Уничтожение одного или нескольких информационных ресурсов способно надолго парализовать деятельность целого предприятия. Поэтому, совершенно очевидно, что вопросы обеспечения безопасности информации сегодня являются ключевыми проблемами бизнеса. Наиболее актуальны эти вопросы для компаний, имеющих отношение к информационным технологиям, к банковскому сектору, к услугам связи, к инновационным проектам и т.п.

Таким образом, перед современным бизнесом остро встает задача обеспечения надежной защиты своих информационных ресурсов. Однако, как и любая другая защита, защита информации является делом крайне дорогостоящим, и далеко не всегда руководители предприятий осознают, что такие вложения являются крайне выгодными, позволяя существенно снизить потери, связанные с информационными рисками. Большинство публикаций, посвященных вопросам информационной безопасности, изобилуют техническими подробностями, при этом абсолютно упускают из виду проблему экономической целесообразности тех или иных решений. Так, основная масса существующих стандартов используют понятие "модели нарушителя", которое позволяет определить возможности злоумышленника, против которого направлена система защиты информации. Однако такой подход позволяет лишь оценить надежность системы и не учитывает ее стоимостные характеристики. Вместе с тем вопрос экономической эффективности является ключевым при принятии решений о выделении различных денежных сумм на реализацию отдельных программ и мероприятий по обеспечению информационной безопасности. На сегодняшний день наиболее распространенным способом решения данного вопроса является применение систем анализа рисков, позволяющих оценить риски в информационной системе и выбрать оптимальный по эффективности вариант контрмер.

В настоящее время существует целый ряд программных продуктов, ориентированных на оценку информационных рисков организаций. Однако подавляющее большинство из них рассматривают лишь риски, связанные с компьютерной подсистемой информационной инфраструктуры компании, оставляя в стороне бумажный документооборот, проблему защиты информации при телефонных и личных переговорах, а также другие процессы в организации, в ходе которых происходит передача, обработка или хранение информации. Кроме того, такие программные продукты в своей работе используют лишь общие рекомендации по защите компьютерных сетей и часто не учитывают конкретных особенностей информационной инфраструктуры фирмы.

Все это зачастую "ставит в тупик" руководителей высшего звена, которые в последнее время, осознавая важность проблемы обеспечения информационной безопасности на предприятии, начинают уделять ей существенно больше внимания. Однако при этом далеко не всегда они могут обоснованно оценить объем денежных средств, необходимый для решения задач информационной безопасности. Кроме того, не менее важным является распределение данных средств между отдельными задачами, касающимися обеспечения защиты информации. Эта проблема, как правило, решается исключительно на основе интуитивных предположений руководителей подразделений без опоры на формальное обоснование экономической целесообразности данного решения.

Таким образом, актуальность данной работы обусловлена существующей на сегодняшний день потребностью в создании методик управления финансовыми активами в рамках решения задач обеспечения информационной безопасности и снижения уровня информационных рисков.

Цели и задачи исследования. Целью диссертационного исследования является построение методики оценки информационных рисков организации и оптимизация распределения средств, выделенных на реализацию мероприятий информационной безопасности.

В соответствии с поставленной целью в диссертации поставлены и решены следующие задачи:

• классификация организаций по уровню требований, предъявляемых ими к информационной безопасности;

• сравнительный анализ существующих методик оценки информационных рисков и обзор основных стандартов в области защиты информации и управления рисками;

• обзор существующих инструментальных средств анализа и управления информационными рисками с целью выявления их основных характеристик, а также сильных и слабых сторон;

• выявление состава параметров, влияющих на оценку информационного риска;

• определение вида и свойств функции зависимости риска от средств, вложенных в мероприятия информационной безопасности;

• построение математической модели зависимости уровня информационного риска от объема денежных средств, выделяемых на решение задач информационной безопасности, а также распределения этих средств между отдельными направлениями обеспечения защиты;

• разработка методики оценки уровня риска для информационной инфраструктуры организации, а также подходов к оптимизации расходов на информационную безопасность;

• апробация разработанной методики при решении задачи анализа рисков для информационной системы ВУЗа.

Объект и предмет исследования. Объектом диссертационного исследования является информационная инфраструктура организации.

Предметом исследования выступают риски, возникающие в процессе обработки и хранения информации в организации, а также их зависимость от объемов финансирования мероприятий, связанных с защитой информации.

Теоретическая и методологическая основа исследования.

Теоретическую и методологическую основу исследования составили труды отечественных и зарубежных ученых в предметных областях экономики, математики, информационной безопасности, риск-менеджмента, теории оптимального управления. В частности, разработки и исследования следующих российских авторов: Домарева В.В., Кононова А.А., Петренко С.А и Симонова С.В.

В работе также применялись:

• международные стандарты в области защиты информации и анализа информационных рисков (ISO 15408, ISO 17799, BSI и др.);

• руководящие документы Гостехкомиссии России;

• описания существующих как отечественных, так и зарубежных инструментальных средств анализа и управления информационными рисками (COBRA, CRAMM, Гриф и др.);

• нормативные и законодательные акты, принятые на территории Российской Федерации.

Научная новизна. Поставлена и решена новая актуальная научная проблема: разработка методики оценки и управления информационными рисками, учитывающей структуру финансирования мероприятий информационной безопасности в коммерческой организации.

Предмет защиты составляют следующие результаты, полученные лично автором и содержащие элементы научной новизны:

• проведен сравнительный анализ существующих средств и методик анализа информационных рисков и выявлена ограниченность существующих подходов;

• построена математическая модель, описывающая зависимость уровня риска для информационной инфраструктуры организации от объемов финансирования задач информационной безопасности;

• разработана методика анализа рисков информационной инфраструктуры организации;

• формализована задача оптимизации распределения средств, выделенных на обеспечение информационной безопасности, между мероприятиями по защите отдельных информационных ресурсов;

• формализована задача оптимизации финансирования мероприятий информационной безопасности.

Практическая значимость заключается в разработке методики оценки и управления информационными рисками, учитывающей особенности финансирования мероприятий информационной безопасности в коммерческой организации и позволяющей оценить экономическую эффективность бюджета, выделенного на защиту информации.

Область применения результатов исследования. Методики, созданные в рамках диссертационного исследования, могут быть использованы руководством компаний для определения оптимального объема финансирования, выделяемого на защиту информации, а также руководителями подразделений, отвечающих за информационную безопасность, при распределении средств между отдельными мероприятиями. Кроме того, предложенные методики могут быть использованы в работе компаний, осуществляющих аудит информационной безопасности.

Полученные результаты также будут полезны будущим специалистам в области информационной безопасности компаний. Материалы диссертационного исследования могут использоваться в учебном процессе.

Апробация результатов. Результаты исследования докладывались на Всероссийской научно-практической конференции «Математика, информатика, естествознание в экономике и в обществе», проходившей в Московской финансово-юридической академии, 22 ноября 2007 года.

Публикации. По материалам диссертационного исследования опубликовано 5 научных работ общим объемом 2 п.л.

Структура работы. Диссертационная работа состоит из введения, трех глав, заключения, списка использованной литературы и приложений, дополняющих основной текст.

ВЫВОДЫ ПО ТРЕТЬЕЙ ГЛАВЕ

1. Активное развитие информационных технологий в области высшего образования привело к тому, что количество проблем, связанных с информационной безопасностью в ВУЗе, возросло многократно. Повышение уровня открытости информационной системы ВУЗа и рост интенсивности обмена с внешними по отношению к данной системе клиентами и ресурсами приводят к снижению защищенности системы и способны обернуться крупными финансовыми потерями для института. В связи с этим ВУЗу, как и коммерческой организации, будет актуально проведение комплексного анализа информационных рисков, который позволит оценить уровень возможных потерь, а также определить эффективный комплекс контрмер.

2. Для участка информационной системы ВУЗа были определены перечень информационных объектов и список актуальных угроз. На основе полученных экспертных оценок были построены функции, описывающие зависимость уровня риска для информационного объекта от объема денежных средств, вкладываемых в меры по противодействию угрозам безопасности. После чего была описана зависимость уровня риска для информационной системы в целом от объема финансирования задач безопасности и распределения данных денежных средств между отдельными направлениями защиты.

3. На основе построенной модели была сформулирована и решена задача нахождения оптимального уровня финансирования мер по противодействию угрозам информационной безопасности. Предложенный бюджет финансирования мероприятий по защите информации позволил в более чем на порядок снизить общие затраты, связанные с информационной системой ВУЗа.

4. Рассмотренный пример анализа уровня информационного риска показывает, что применение предложенной методики позволяет существенно снизить общие расходы, связанные с информационной безопасностью, и эффективно распределить денежные средства между отдельными задачами защиты информации.

5. Приведенный расчет уровня риска для участка информационной системы может рассматриваться в качестве первого этапа для проведения полномасштабного анализа рисков для информационной системы ВУЗа в целом.

118

ЗАКЛЮЧЕНИЕ

1. Сравнительный анализ наиболее распространенных методик и программных продуктов, предназначенных для оценки уровня информационного риска, показал, что в подавляющем большинстве случаев специфика исследуемой информационной системы не учитывается, а анализ уровня риска строится на сравнении используемых в организации мер защиты с требованиями, прописанными в соответствующих стандартах.

2. Анализ методик количественной оценки информационных рисков, а также основанных на них программных продуктов показал, что при оценке риска используются исключительно статические оценки вероятности реализации угроз, что приводит к необходимости повторного проведения расчетов для проверки эффективности различных вариантов контрмер.

3. Анализ общей направленности наиболее распространенных методик и программ оценки информационных рисков показал, что на современном этапе развития данной области наибольшее внимание уделяется техническим средствам и организационно-административным мерам защиты информации, при этом практически не рассматривается вопрос об определении требуемого уровня финансирования для реализации указанных мер.

4. Проведенный комплекс исследований текущего состояния дел в области анализа информационных рисков позволяет сделать вывод о необходимости создания новой методики анализа информационных рисков, позволяющей эффективно управлять финансовыми активами для обеспечения экономически обоснованного уровня защиты информации.

5. Предложен способ оценки уровня риска для информационного объекта с помощью функции, в качестве аргументов которой выступает объем денежных средств, выделяемых на защиту объекта, а также их распределение между отдельными мероприятиями информационной безопасности.

6. Разработана математическая модель зависимости денежного выражения информационного риска для организации от объемов финансирования отдельных статей бюджета, влияющих на уровень информационной безопасности. Данная модель может быть использована при решении различных задач, связанных с анализом влияния бюджета информационной безопасности на общий уровень информационного риска для данной системы.

7. На основе предложенной математической модели разработана методика оценки текущего уровня информационного риска для организации, а также рассмотрены задачи оптимального распределения денежных средств, выделяемых на защиту информационных ресурсов, между отдельными задачами информационной безопасности, включая задачу определения экономически обоснованного объема финансирования, выделяемого на защиту информации.

8. Рассчитан уровень информационного риска для участка информационной системы ВУЗа и предложен оптимальный вариант распределения денежных средств между отдельными задачами, связанными с защитой информации. Результаты расчета показывают, что отсутствие мер по защите информации может привести к существенным финансовым потерям, в то же время эффективное планирование статей бюджета, влияющие на информационную безопасность, позволяет более чем на порядок снизить расходы, связанные с информационными рисками.

9. Показана практическая значимость и продемонстрирована эффективность применения функциональной зависимости риска от объемов денежных средств при решении задачи оптимизации финансирования мероприятий информационной безопасности.

10. Предложенная методика может быть использована компаниями, осуществляющими разработку инструментальных средств анализа информационных рисков, организациями, занимающимися непосредственной проверкой защищенности информационных систем, а также страховыми компаниями, предлагающими услуги в области страхования информационных рисков.

1. Агзамов С. Безопасность в современных информационных сетях // "InfoCOM.UZ". №3. 2005. Адрес в Интернете: http://ru.infocom.uz/more.php?id=A781 0 1 ОМ

2. Айвазян С.А., Мхитарян B.C. Прикладная статистика и основы эконометрики. М.: ЮНИТИ, 1998.

3. Акимов. Е. IT-security. Экономическая эффективность и управление рисками // Компания "Инфотекс Интернет Траст". Адрес в Интернете: http ://www.iitrust.ru/articles/it-secrisk. htm

4. Анализ рисков (CRAMM, RISKWATCH, РИСКМЕНЕДЖЕР) // Группа компаний КомпьюЛинк. Адрес в Интернете: http://\v\v\v.compnlmk.ru/new/htdocs/index.php?id=l 00000657

5. Анализ рисков в корпоративных информационных системах // ASTERA DailyNews от 01.01.2007. Адрес в Интернете http://www.astera.nL/news/dailynews/week40/011001 6.html

6. Андронов С.А. Методы оптимального проектирования. СПб.: СПбГУАП, 2001.

7. Астахов А. Анализ защищенности корпоративных автоматизированных систем // Информационный бюллетень "Jet Info". -№7 (110)/2002.

8. Астахов А. Аудит безопасности информационных систем. Адрес в Интернете: http://www.iso27000.ru/chitalnyi-zai/audit-informacionnoi-bezopasnosti/audit-bezopasnosti-informacionnyh-sistem/

9. Ю.Астахов А. Анализ рисков и управление ими // Центр аудита информационной безопасности. Адрес в Интернете: http://bezpeka.ladimir.kiev.ua/pq/show/risks/page2.html

10. П.Балашов П. А., Безгузиков В. П., Кислов Р. И. Оценка рисков информационной безопасности на основе нечеткой логики // Защита информации. Конфидент. № 5/2003.

11. Баталова Н., Симис Б. Система защиты внедрена и работает. Что дальше? // Сетевые решения. №1/2006.

12. Баутов А. Н. Экономический взгляд на проблемы информационной безопасности // Открытые системы. — №2/2002.

13. Баутов А. Эффективность защиты информации // Открытые системы. -№07-08/2003.

14. Безопасность сайта // Компания Eurosite. Адрес в Интернете: http://\v\vw. euro-si te.ru/ariicle.php?idn=917

15. Березин А. С. Информационная безопасность и интересы бизнеса // Прогноз финансовых рисков. Адрес в Интернете: http://www.bre.ru/security/19565.html

16. Бетелин В.Б., Галатенко В.А. Информационная безопасность в России: опыт составления карты // Информационный бюллетень "Jet Info". №1 (56)/1998.

17. Бетелин В.Б., Галатенко В.А., Кобзарь М.Т., Сидак А.А., Трифаленков И.А. Профили защиты на основе "Общих критериев". Аналитический обзор. Адрес в Интернете: fittp://zeus.sai.msu.ru:7000/security/criteria/

18. Борейко А. Компьютерные технологии: Защити себя сам // Интернет газета "Охрана.ш". Адрес в Интернете:http://www.oxpaha.ru/pub lisher2344299?search=%CA%EE%EC%EF%FC%

19. FE%F2%E5%F0%ED%FB%E5%20%F2%E5%F5%ED%EE%EB%EE%E3%1. Е8%Е8

20. Брод М. Целостный подход к проблемам безопасности // SoftKey.info от 21.09.2004. Адрес в Интернете: http://www.softkey.info/press/review908.php?sphid=::

21. Бурдин О.А., Кононов А.А. Комплексная экспертная система управления информационной безопасностью "АванГард" // Информационное общество. Выпуск 3, 2002.

22. Васильев В.И., Хисамутдинов Т.З., Красько А.С., Матвеев П.В. Экспертная система поддержки принятия решений в процессе аудита информационной безопасности // Информационное противодействие угрозам терроризма. №4/2005.

23. Винклер А. Задание: шпионаж // Информационный бюллетень "Jet Info". -№19/1996.

24. Вихорев С., Ефимов А. Практические рекомендации по информационной безопасности // Информационный бюллетень "Jet Info". — №10-11/1996.

25. Вихорев С., Кобцев Р. Как определить источники угроз? // Открытые системы. №07-08/2003.

26. Вороненко П. Информационная безопасность. Ситуация в мире и России // Информационный бюллетень "Jet Info". №8 (87)/2000.

27. Гайкович В. Ю. Основы безопасности информационных технологий // Центр аудита информационной безопасности. Адрес в Интернете: http://bezpeka.ladimir.kiev.ua/pq/show/zi.htm

28. Галатенко В. Информационная безопасность обзор основных положений // Открытые системы. - №3/1996.

29. Галатенко В., Дорошин И. Доступность как элемент информационной безопасности // Информационный бюллетень "Jet Info". №2/1997.

30. Галатенко В., Трифаленков И. Информационная безопасность в Интранет: концепции и решения // Информационный бюллетень "Jet Info". — №2324/1996.

31. Гнеденко Б. В. Курс теории вероятностей: Учебник. Изд. 8-е, испр. и доп. М.: Едиториал УРСС, 2005.

32. Гордеев Ю.А., Ключко Н.В., Кононов А.А. Система страхования компьютерных рисков как важное условие обеспечения безопасности. Информационное общество. Выпуск 3, 2002.

33. ГОСТ Р 51898-2002 "Аспекты безопасности. Правила включения в стандарты" от 05.06.2002г.

34. Гузик С. Зачем проводить аудит информационных систем? // Информационный бюллетень "Jet Info". -№10 (89)/2000.

35. Давлетханов М. Утечки данных и как с ними бороться // Компания NetworkProfi. Адрес в Интернете:http://networkprofi.ru/outflowofdataandhow to struggle them.html

36. Давлетханов M. Инсайдеры — это опасность // Компания NetworkProfi. Адрес в Интернете: http://networkprofi.ru/insidersisadanger.html

37. Давлетханов М. Безопасность сети. Цели и угрозы // Компания NetworkProfi. Адрес в Интернете:http://networkprofi.rn/safetyofanetwork.thepurposesandthreats.html

38. Давлетханов М. Защитить информацию? А какую? // Компания NetworkProfi. Адрес в Интернете:http ://networkprofi. ru/topro tecttheinformationandwhat.html

39. Давлетханов М. Компьютерная преступность сегодня // Компания NetworkProfi. Адрес в Интернете: http://netwoi'kprofi.ru/computercriminalitytoday.html

40. Давлетханов М. Оценка затрат компании на ИБ // Компания NetworkProfi. Адрес в Интернете:http://networkprofi.ru/estimationofexpensesofthecompanyonis.html

41. Давлетханов М. Оценка затрат на ИБ. Практикум // Компания NetworkProfi. Адрес в Интернете:http.V/networkprofi.ru/estimationofexpensesonisec.apracticalwork.html

42. Девянин П.Н. Модели безопасности компьютерных систем. — М.: Издательский центр «Академия», 2005.

43. Демидович Б.П., Марон И.А., Шувалова Э.З. Численные методы анализа. Приближение функций, дифференциальные и интегральные уравнения: Учебное пособие. 4-е изд., стер. / Под ред. Б.П. Демидовича. СПб.: Издательство "Лань", 2008.

44. Доля Ф. Информационная безопасность. Интервью с Ильей Медведомским. Адрес в Интернете:http://www.fcenter.ru/online.slitml?articles/softwai'e/mterview/12369

45. Домарев В.В. Оценка эффективности средств защиты // Сайт "Безопасность информационных технологий". Адрес в Интернете: http:/Avww.security. uki-net.net/modules/nevvs/article.php ?storyid=343

46. Домарев В.В. Модель и программа оценки систем защиты // Сайт "Безопасность информационных технологий". Адрес в Интернете: http://www.security.ukrnet.net/modules/news/article.php?storyid=48

47. Домарев В.В. Критерии оценки безопасности (15408) // Сайт "Безопасность информационных технологий". Адрес в Интернете: http://www.security.iikrnet.net/modules/news/article.php?storyid=49

48. Домарев В.В. Управление рисками // Сайт "Безопасность информационных технологий". Адрес в Интернете:http://www.security.ukrnet.net/modules/sections/index. php?op=viewarticle&art id=754

49. Домарев В.В. Рекомендации по обеспечению сетевой безопасности // Сайт "Безопасность информационных технологий". Адрес в Интернете: http://www.seciirity.ukrnet.net/inodules/sections/index.php?op=viewarticle&art id=758

50. Домарев В.В. Энциклопедия безопасности информационных технологий. Методология создания систем защиты информации. — К.: ООО "ТИД "ДС", 2001.

51. Доценко С.М., Зайчиков А.А., Малыш В.Н. Повышение объективности исходных данных как альтернатива методу нечеткой логики при оценке риска информационной безопасности // Защита информации. Конфидент. № 5/2004.

52. Драчев С. С. Основы корпоративной безопасности. М.: Полигон, 2000.

53. Дубров A.M., Лагоша Б.А., Хрусталев Е.Ю., Барановская Т.П. Моделирование рисковых ситуаций в экономике и бизнесе. М.: Финансы и статистика, 2001.

54. Дятлов Б. Будь начеку. Главная опасность для корпоративных информационных сетей кроется в пассивности их владельцев // Ежедневная Интернет-газета ComNews.ru от 10.07.2002. Адрес в Интернете: http://www.comnews.ru/mdex.cfTn7id—3533

55. Исаев В. Как обосновать затраты на информационную безопасность? // Информационный бюллетень "InfoSecurity.ru" — №34 (44) от 3.12.2002. Адрес в Интернете: http://www.infosecurity.ru/gazeta/021203.shtml

56. Исследование Infowatch о внутренних ИТ-угрозах в России: год спустя // Публикация компании Infowatch на сайте "Information Security/Информационная безопасность". Адрес в Интернете: http://www.itsec.m/newstext.php?newsid=:l 1508

57. Кадер М. Окупаемость финансовых вложений в сетевую безопасность // Агентство CNews/Аналитика. Адрес в Интернете: http://www.cnews.ru/reviews/free/security/part5/

58. Казаков Н. Информационно-аналитические материалы по вопросу обеспечения защиты от технических средств разведки, а также безопасности в технических средствах и средствах обработки компьютерной информации // Интернет газета "Охрана.ги". Адрес в

59. Интернете: http://www.oxpaha.ru/analytics615116?search=%C8%ED%F4

60. EE%F0%EC%E0%F6%E8%EE%ED%ED%EE-%E0%ED%E0%EB%E8

61. F2%E8%F7%E5%Fl°/oEA%E8%E5%20%EC%E0%F2%E5%F0%E8%E0%

62. EB%FB%20%EF%EE%20%E2%EE%EF%F0%EE%F1%F3

63. Как обеспечить информационную безопасность предприятия // Центр аудита информационной безопасности. Адрес в Интернете: http://bezpeka.ladimir.kiev.ua/pq/show/seminar/html/index.html

64. Кармазин М., Тайль М. Проблемы распределения рисков (на примере внутрифирменной компьютеризованной информационной системы) // Проблемы теории и практики управления. №5 / 1999.

65. Касперский Е. Основные классы угроз в компьютерном сообществе 2003 года, их причины и способы устранения // Информационный бюллетень "Jet Info". № 12 (127)/2003.

66. Коберский Ю. Человек самое слабое звено IT-безопасности! // Компания NetworkProfi. Адрес в Интернете:http ://networkprofi. ru/humaiitheweakestpartofit-safety. html

67. Кононов A.A. Проблемы безопасности информационной инфраструктуры бизнеса // Информационное общество. — Выпуск 3, 2002.

68. Кононов А.А. Задачи управления информационной безопасностью бизнеса // Научно-техническая информация. Сер. 1. Организация и методика информационной работы / ВИНИТИ РАН, 2003, №11.

69. Кононов А.А., Бурдия О.А., Поликарпов А.К. Аксиоматика управления рисками и безопасностью автоматизированных информационных систем // Научно-техническая информация. Сер. 1. Организация и методика информационной работы / ВИНИТИ РАН, 2003, № 8.

70. Кононов А.А. Поликарпов А.К. Автоматизация построения профилей защиты с использованием комплексной экспертной системы "АванГард" // Научно-техническая информация. Сер. 1. Организация и методика информационной работы / ВИНИТИ РАН, 2003, № 8.

71. Крымский JI. Сотрудники компании как основной источник организационных угроз информационной безопасности // Информационный бюллетень «BugTraq.ru» от 27.10.05. Адрес в Интернете: http://bugtraq.ru/library/security/dangerstaff.html

72. Кудинов А. Аудит информационной безопасности в кредитных организациях // Центр исследования компьютерной преступности. 23.07.2004. Адрес в Интернете: http://ww\v.crime-research.ru/aiticles/Kudinovl

73. Куканова Н. Методика оценки риска ГРИФ 2005 из состава Digital Security // Информационный бюллетень «BugTraq.ru» от 27.10.05. Адрес в Интернете: http.7/bugtraq.ru/1 ibrary/securitv/grifarmet.html

74. Куканова H. Современные методы и средства анализа и управление рисками информационных систем компаний // Информационный бюллетень "BugTraq.ru" от 27.10.05. Адрес в Интернете: http ://bugtraq.ru/library/s ecurity/arcmp .htm 1

75. Куканова H. Описание классификации угроз DSECCT// Информационный бюллетень "BugTraq.ru" от 27.10.05. Адрес в Интернете: http://bugtraq.ruyiibrary/security/dsecct.html

76. Лавринов Г.А., Хрусталев Е.Ю. Управление рисками при проектировании и производстве продукции военного назначения. — М.: ЦЭМИ РАН, 2005.

77. Леваков А. Проблемы России в условиях глобальной информатизации общества // Информационный бюллетень "Jet Info". № 10 (101)/2001.

78. Липаев В. В. Программно-технологическая безопасность информационных систем // Информационный бюллетень "Jet Info". №67/1997.

79. Липаев В.В. Анализ и сокращение рисков проектов программных средств // Информационный бюллетень "Jet Info". № 1 (140)/2005.

80. Липаев В.В. Технологические процессы и стандарты обеспечения функциональной безопасности в жизненном цикле программных средств // Информационный бюллетень "Jet Info". № 3 (130)/2004.

81. Лопарев С. А., Шелупанов А. А. Анализ инструментальных средств оценки рисков утечки информации в компьютерной сети предприятия // Вопросы защиты информации. № 4/2003.

82. Лосев С. Информационная безопасность снаружи и изнутри // Сетевой журнал №3/2005. Адрес в Интернете:http://www.setevoi.m/cgi-bnT/textprintl.pl/magazines/2005/03/46

83. Лукьяненко И. Застрахуйте информацию // Computerworld. — №19 21/05/2001.

84. Марков А. С. Проблемы создания компьютерных сетей учебных заведений, устойчивых к внешним и внутренним агрессивным воздействиям. Адрес в Интернете:http ://to lerance. mub iu. ru/base/marko v. html

85. Мезинов Д. Безопасность в современных информационных сетях:методология и средства // ООО «Конард» Средства защиты информации. Адрес в Интернете:http://security.conard.lg.ua/books.html-type==more&dir=books&id=0209.htm

86. Медведовский И. Д. Современные методы и средства анализа и контроля рисков информационных систем компаний // Прогноз финансовых рисков. Адрес в Интернете: http://www.bre.tTi/securitv/20461 .html

87. Медведовский И. Д. Особенности систем анализа информационных рисков на примере алгоритма ГРИФ // Информационный бюллетень «BugTraq.ru» от 06.09.04. Адрес в Интернете: http://bugtraq.ru/library/security/grif.html

88. Медведовский И. Д. Особенности алгоритмов систем анализа информационных рисков. Адрес в Интернете: http://www.ixbt.com/cm/total-it-risks092004.shtml

89. Медведовский И. Д. Затраты на ИТ-защиту: ищем золотую середину // CNews/Аналитика. Адрес в Интернете:http.7/www.cnews.ni/reviews/free/consulting/practics/risks.shtml

90. Медведовский И. Д. ISO 17799: эволюция стандарта с 2002 по 2005 год // Информационный бюллетень «BugTraq.ru» от 18.12.05. Адрес в Интернете: http://bugtraq.ru/library/security/isoevolution.html

91. Медведовский И. Д. Как защитить сети корпораций от вторжений. Адрес в Интернете: http://smash2000.narod.ru/korpor.htm

92. Медведовский И. Д., Куканова Н. Анализируем риски собственными силами // CONNECT! Мир Связи. -№3.2006.

93. Методические материалы по управлению рисками проекта Электронный ресурс. / А. А. Артамонов. — Электрон, текстовые дан. — СПб., 2003. -Режим доступа: http.7/www.proriskman.narod.ru/index.html. Загл. с титул, экрана.

94. Минаев В. Экономические аспекты информационной безопасности // Вестник связи International. — №8/2003.

95. Минимизация рисков // SoftKey.info Новости мира ПО от 02.11.2005. Адрес в Интернете:http://www.softkey.info/news/news5187.php?sphid=:8227548

96. Мишель М. Управление информационными рисками // Финансовый директор. — №9 2003.

97. Нестеров С. А., н.р. Козлов В.Н. Использование процедуры анализа рисков при построении систем защиты компьютерных сетей // Материалы политехнического симпозиума «Молодые ученые — промышленности Северо-Западного региона».

98. Ожегов С.И. Словарь русского языка / Под ред. Н.Ю. Шведофой. 16-е изд., испр. - М.: Рус. яз., 1984.

99. Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. — М.: Компания АйТи; ДМК Пресс, 2005.

100. Петренко С.А., Симонов С.В. Методики и технологии управления информационными рисками // IT Manager №3/2003.

101. Петренко С.А., Симонов С.В. Кислов Р. Информационная безопасность: экономические аспекты // Информационный бюллетень "Jet Info". -№10(125)/2003.

102. Петренко С.А., Симонов С.В. Экономически оправданная безопасность // IT Manager №15 (3)/2004.

103. Петренко С.А. Безопасность ИТ: общих стандартов мало // Агентство CNews/Аналитика. Адрес в Интернете: http://www.cnews.ru/reviews/free/security2004/standard/

104. Петренко С.А. Методика построения корпоративной системы защиты информации // Прогноз финансовых рисков. Адрес в Интернете: http://www.bre.ru/security/18867.html

105. Петренко С.А. Возможная методика построения системы информационной безопасности предприятия // Сайт "Безопасность для все". Адрес в Интернете: http://www.sec4all.net/konf2.html

106. Петренко С.А. Методические основы защиты информационных активов компании // Информационный бюллетень "InfoSecurity.ru" — №44 (92) от 4.11.2003. Адрес в Интернете: http://www.infosecurity.ru/gazeta/031104.shtml

107. Петренко С.А. Методика реорганизации корпоративной системы информационной безопасности // Информационное общество. — Выпуск 3, 2002.

108. Петренко С,А., Терехова Е. Образование инвестиции в безопасность. Адрес в Интернете: http://net.it.ru/branch/presscode.showarticle?artciid= 2762&dpr=&prd=&dz=&bid=l

109. Полонская Е. Безопасность сети: то, что должен знать каждый // Издательский Дом "КОМИЗДАТ". Адрес в Интернете: http://citfomm.rvi/security/articles/inetsecur/index.shtml

110. Разумов М. Обоснование расходов на системы обнаружения вторжений // Информационный бюллетень "InfoSecurity.ru" №31(41) от 12.11.2002. Адрес в Интернете: http://www.infosecurity.ru/gazeta/021112.shtml

111. Савельев М. Система управления безопасностью: простые рецепты // Экспресс Электроника, № 7 (127)/2005.

112. Сергеева Н. Защита электронной информации в условиях растущей глобальной взаимосвязанности мира. Адрес в Интернете: http://networkprofi.ru/rotectionofthe electronic informationinconditions о fgrow ingglob alcoherenceoftheworld .html

113. Симонов С.В. Современные технологии анализа рисков в информационных системах // PC Week. №37 (307)/2001.

114. Симонов С.В. Технологии и инструментарий для управления рисками // Информационный бюллетень "Jet Info". №2 (117)/2003.

115. Симонов С.В. Аудит безопасности информационных систем // Информационный бюллетень "Jet Info". №9 (76)/1999.

116. Симонов С.В. Анализ рисков, управление рисками // Информационный бюллетень "Jet Info". №1 (68)/1999.

117. Сирота Л. Политический момент // Сети и телекоммуникации. №10 / 2004.

118. Смородинский С.С., Батин Н.В. Оптимизация решений на основе методов и моделей математического программирования. Мн.: БГУИР, 2003.

119. Стандарт банка России. Обеспечение информационной безопасности организаций банковской системы Российской федерации. Общие положения, (утв. распоряжением ЦБ РФ от 18.11.2004 N Р-609).

120. Тарасов В. Тест на информационную безопасность // SoftKey.info от 12.01.2006. Адрес в Интернете:http:// www. softkev. info/re vie ws/review1886 .php

121. Тарасов В. Корпоративная система безопасности // SoftKey.info от 30.01.2006. Адрес в Интернете:http://www.softkey.info/press/reviewl 762.php?sphid=8292075

122. Таха Х.А. Введение в исследование операций, 6-е издание.: Пер. с англ. М.: Издательский дом "Вильяме", 2001.

123. Тойго Д. У. Маркетинговые рычаги систем безопасности // Computerworld. №9 06/03/1999.

124. Трубачев А. Концептуальные вопросы оценки безопасности информационных технологий // Информационный бюллетень "Jet Info". -№5-6 (60-61)/1998.

125. Тюрин М. Национальные особенности управления информационными рисками // BYTE/Россия. №3 (91)/2006.

126. Федеральный закон "Об информации, информатизации и защите информации" от 20.02.1995 №24-ФЗ с изменениями от 10.01.2003г.

127. Фисенко JI. Системы защиты: фокус на комплексные решения // Экспресс Электроника, №6 (126)/2005.

128. Химмельблау Д. Прикладное нелинейное программирование. М.: Мир, 1975.

129. Хрусталев Е.Ю. Планирование информационной безопасности предприятия // II Всероссийский симпозиум "Стратегическое планирование и развитие предприятий". Москва, ЦЭМИ РАН, 2001.

130. Чеканов Д. Построение защищенных информационных систем. Адрес в Интернете: http://www.thg.ru/business/20031201/index.html

131. Черняк JI. От таблеток к лечению проблем безопасности // Computerworld. № 1 04/01/2001.

132. Щеглов А. Задача противодействия внутренним ИТ-угрозам. Актуальность и возможности решения // Информационный бюллетень «BugTraq.ru» от 09.12.05. Адрес в Интернете:http ://bugtraq.ru/library/security/ ins iders. html

133. Щеглов А. Методологическая основа оценки эффективности средств защиты конфиденциальной информации. Адрес в Интернете: http://daily.sec.ni/dailvpblshow.cfiri?rid=45&pid:=14586&pos=:l&stp:=10&cd= 21&cm=2&cy=2006

134. Holbrook Р. (ред.), Reynolds J. (ред.) Руководство по информационной безопасности предприятия. Site Security Handbook, RFC 1244 // Jet Информационный бюллетень "Jet Info". №10-11/1996.

135. Information technology Security techniques - Evaluation criteria for IT security -Part 1: Introduction and general model. -- ISO/IEC 15408-1.1999.

136. Information technology Security techniques - Evaluation criteria for IT security -Part 2: Security functional requirements. — ISO/IEC 15408-2.1999.

137. Information technology Security techniques - Evaluation criteria for IT security -Part 3: Security assurance requirements. ~ ISO/IEC 15408-3.1999.

138. Information technology Code of practice for Information security management. International Standard ISO/IES 17799:2000(E).

139. Information security management. Part 2. Specification for information security management systems. British Standard BS7799, Part 2, 2000.

140. IT Baseline Protection Manual. Standard security safeguards. -http://www.bsi.bund.de/gshb/english/menue.html.

141. Risk Management Guide for Information Technology Systems, NIST, Special Publication 800-30.

142. CobiT: Executive Summary. ISACA, 3rd Edition, 2000.

143. CobiT: Framework. ISACA, 3rd Edition, 2000.

144. CobiT: Control Objectives. ISACA, 3rd Edition, 2000.

145. Модели определения уровня зрелости компании

146. Уро вснь зрел ости Модель Gartner Group Модель Carnegie Mellon University Модель COBIT

147. Каталоги угроз и контрмер IT Baseline

148. Каталоги угроз и контрмер, используемый в Германском стандарте IT Baseline Protection Manual Каталог угроз

149. Содержит следующие группы угроз:

150. Угрозы в связи с форс-мажорными обстоятельствами

151. Т 1.1. Потеря персонала. Т 1.2. Отказ информационной системы. Т 1.3. Молния. Т 1.4. Пожар. Т 1.5. Затопление. Т 1.6. Возгорание кабеля.

152. Т 1.7. Недопустимая температура и влажность. Т 1.8. Пыль, загрязнение.

153. Т 1.9. Потеря данных из-за воздействия интенсивных магнитных полей. Т 1.10. Отказ сети на большой территории. Т 1.11. Катастрофы в окружающей среде.

154. Т 1.12. Проблемы, вызванные неординарными общественными событиями. Т 1.13. Шторм.

155. Т 2. Угрозы на организационном уровне

156. Т 2.6. Несоответствие помещений требованиям в области безопасности. Т 2.7. Превышение полномочий.

157. Т 2.8. Нерегламентированное использование ресурсов.

158. Т 2.9. Недостатки в процедурах отслеживания изменений в информационной технологии.

159. Т 2.15. Возможность несанкционированного доступа к конфиденциальным данным в ОС UNIX.

160. Т 2.16. Несанкционированное (недокументированное) изменениепользователей портативной ЭВМ. Т 2.17. Неправильная маркировка носителей данных. Т 2.18. Неверная доставка носителей данных.

161. Т 2.29. Несанкционированное тестирование программ на этапе эксплуатации НС.

162. Т 2.30. Неправильное планирование доменной структуры. Т 2.31. Некорректная защита систем под управлением ОС Windows NT. Т 2.32. Неподходящая пропускная способность телекоммуникационных линий.

163. Т 2.33. Размещение Novell Netware Servers в опасном окружении. Т 2.34. Отсутствие или некорректная настройка механизмов безопасности Novell Netware.

164. Т 2.35. Отсутствие аудита ОС Windows 95.

165. Т 2.36. Неправильные ограничения пользовательской среды.

166. Т 2.37. Неконтролируемое использование коммуникационных линий.

167. Т 2.38. Недостаточное или неправильное использование штатныхмеханизмов защиты базы данных.1. Т 2.39. Сложность DBMS.

168. Т 2.40. Сложность доступа к базам данных.

169. Т 2.41. Неверная организация обмена данных пользователей с базой данных. Т 2.42. Сложность NDS.

170. Т 2.43. Миграция с ОС Novell 3.x на ОС Novell версии 4 и 5. Т 2.44. Несовместимые активные и пассивные сетевые компоненты.

171. Т 2.45. Концептуальные ошибки проектирования сети. Т 2.46. Превышение максимально допустимой длины кабеля. Т 2.47. Передача данных по коммуникациям, не соответствующим требованиям безопасности.

172. Т 2.48. Неадекватное использование информации и документов при работе в домашних условиях.

173. Т 2.49. Недостаточное или неверное обучение телеобработке. Т 2.50. Задержки, вызванные временными сбоями при удаленной работе. Т 2.51. Плохая интеграция удаленных рабочих мест в информационную технологию.

174. Т 2.52. Более длинные временные периоды реакции системы в случае неверного выбора архитектуры системы.

175. Т 2.53. Неполные инструкции относительно замены аппаратно-программных средств на удаленных рабочих местах.

176. Т 2.54. Несанкционированный доступ к данным через скрытые элементы данных.

177. Т 2.55. Неконтролируемое использование электронной почты. Т 2.56. Ненадлежащее описание файлов.

178. Т 2.57. Неправильное хранение носителей информации в случае аварий. Т 2.58. ОС Novell Netware и «проблема 2000». Т 2.59. Работа с незарегистрированными компонентами.

179. Т 2.60. Недостаточная детализация стратегии сети и системы управления сетевыми ресурсами.

180. Т 2.66. Недостатки или неадекватность системы управления в области безопасности.

181. Т 2.67. Недостатки администрирования прав доступа. ТЗ. Угрозы, связанные с ошибками людей

182. Т 3.1. Нарушение конфиденциальности/целостности данных в результате ошибок пользователей.

183. Т 3.2. Разрушение оборудования или данных в результате небрежности. Т 3.3. Несоблюдение правил поддержания режима ИБ. Т 3.4. Несанкционированные подключения кабелей. Т 3.5. Повреждения кабелей из-за небрежности.

184. Т 3.6. Опасности, связанные с увольнением или выведением персонала за штат.

185. Т 3.7. Сбои АТС и ошибки оператора. Т 3.8. Запрещенные действия в информационной системе. Т 3.9. Запрещенные действия системного администратора.

186. Т 3.10. Некорректный перенос файловой системы ОС UNIX.

187. Т 3.11. Некорректная конфигурации сервера электронной почты sendniail.

188. Т 3.12. Потери носителей с данных при их перевозке (перемещении).

189. Т 3.13. Передача неправильных или нежелательных данных.

190. Т 3.14. Неправильное (с юридической позиции) оформление факса.

191. Т 3.15. Неправильное использование автоответчиков.

192. Т 3.16. Неправильное администрирование сайта и прав доступа.

193. Т 3.17. Смена пользователей ПК, не соответствующая внутренним правилам.

194. Т 3.18. Совместное использование информационных ресурсов иоборудования.

195. Т 3.28. Неправильные конфигурации активных сетевых компонентов. Т 3.29. Недостатки системы сегментации.

196. Т 3.30. Использование удаленных рабочих станций для личных нужд. Т 3.31. Хаотичность в организации данных.

197. Т 3.45. Некорректно работающая система идентификации партнеров. Т 3.46. Ошибки в конфигурации сервера Lotus Notes. Т 3.47. Ошибки в конфигурации доступа браузера к Lotus Notes.

198. Т4. Угрозы, связанные с техникой

199. Т 4.1. Разрушения системы электроснабжения. Т 4.2. Отказы внутренних сетей электроснабжения.

200. Т 4.3. Недействительность имеющихся гарантий.

201. Т 4.4. Ухудшение состояния линий из-за воздействия окружающей среды. Т 4.5. Перекрестные подключения.

202. Т 4.6. Броски напряжения в системе электроснабжения., Т 4.7. Дефекты кабелей информационных сетей. Т 4.8. Обнаруженные уязвимости ПО.

203. Т 4.9. Разрушение внутренних источников электропитания. Т 4.10. Сложности доступа к сетевым ресурсам.

204. Т 4.11. Недостатки аутентификации между NIS-сервером и NIS-клиентом. . Т 4.12. Недостатки аутентификации между серверами и клиентами. Т 4.13. Потеря хранимых данных. Т 4.14. Отсутствие специальной бумаги для факсов.

205. Т 4.15. Отправка сообщения по факсу неправильному получателю из-за неверной коммутации.

206. Т 4.16. Неполучение сообщения, отправленного по факсу, из-за ошибки передачи.

207. Т 4.17. Дефект факсимильного аппарата.

208. Т 4.18. Разрядка аккумулятора или неправильное электропитание в автоответчиках.

209. Т 4.19. Потернг информации из-за старения (ухудшения качества) носителя данных.

210. Т 4.20. Потери данных из-за старения (ухудшения качества) носителя данных.

211. Т 4.21. Неправильное экранирование от транзитных потоков. Т 4.22. Уязвимости ПО или ошибки. Т 4.23. Уязвимости системы распознавания CD-ROM.

212. Т 4.24. Преобразования имени файла при резервном копировании данных в ОС Windows 95.

213. Т 4.25. Все еще активные подключения. Т 4.26. Отказ базы данных.

214. Т 4.27. Несанкционированный доступ через ODBC. Т 4.28. Потери данных в базе данных.

215. Т 4.29. Потери данных в базе данных, вызванные недостатком емкости диска. Т 4.30. Потеря целостности базы данных. Т 4.31. Отказ или сбой компонентов сети. Т 4.32. Отказ при отправке сообщений.

216. Т 4.33. Отсутствие процедуры идентификации или ненадлежащее ее качество.

217. Т 4.34. Отказ криптомодулей. Т 4.35. Некорректность криптоалгоритма. Т 4.36. Ошибки при кодировании данных.

218. Т 4.37. Неполучение (несвоевременная доставка) электронной почты или квитанций.

219. Т 4.38. Отказы компонентов системы управления сетью или информационной системой.

220. Т 4.39. Концептуальные ошибки ПО.

221. Т 4.40. Некорректная настройка RAS-клиента операционной среды. Т 4.41. Недостатки в мобильной сети связи. Т 4.42. Отказ мобильного телефона. Т 4.43. Недокументированные возможности.

222. Т 5. Угрозы, возникающие на предпроектном этапе

223. Т 5.1. Разрушение оборудования или вспомогательной инфраструктуры информационной системы. Т 5.2. Манипуляция данными или ПО.

224. Т 5.3. Нарушения системы контроля доступа в помещениях. Т 5.4. Воровство. Т 5.5. Вандализм. Т 5.6. Нападения. Т 5.7. Перехват в линиях связи. Т 5.8. Манипуляции линиями связи.

225. Т 5.14. Пользование телефоном для личных нужд. Т 5.15. «Любознательные» сотрудники.

226. Т 5.19. Злоупотребления правами пользователей. Т 5.20. Злоупотребления правами администратора. Т 5.21. Вредоносное ПО. «Троянские» кони.

227. Т 5.22, Воровство мобильных элементов информационной системы. Т 5.23. Враждебные апплеты и вирусы. Т 5.24. Закладки. Т 5.25. Маскарад.

228. Т 5.26. Подслушивание и перехват сообщений. Т 5.27. Отказ от авторства сообщения. Т 5.28. Недоступность сервисов.

229. Т 5.29. Несанкционированное копирование носителей данных. Т 5.30. Несанкционированное использование факсимильных машин. Т 5.31. Несанкционированный просмотр поступающих по факсу сообщений. Т 5.32. Информация, остающаяся в факсимильных машинах.

230. Т 5.33. Использование факсимильных машин для доставки поддельных писем.

231. Т 5.34. Преднамеренное перепрограммирование факсимильных машин. Т 5.35. Манипуляции с поступающими по факсу сообщениями. Т 5.36. Перезагрузка автоответчиков. Т 5.37. Определение кодов доступа.

232. Т 5.38. Неправильные употребления отдаленного запроса. Т 5.39. Проникновение в информационную систему через системы связи. Т 5.40. Ненадлежащий контроль помещений, в которых установлены компьютеры, оборудованные микрофонами.

233. Т 5.41. Некорректное использование программ под управлением ОС UNIX, использующих протокол uucp.

234. Т 5.42. Враждебное использование методов социальной инженерии. Т 5.43. Макровирусы.

235. Т 5.44. Злоупотребление доступом к отдаленным портам для получения чужих данных.

236. Т 5.45. Подбор пароля в ОС Windows. Т 5.46. Маскарад в АРМ под управлением ОС Windows. Т 5.47. Уничтожение почтового сервера. Т 5.48. Атака IP Spoofing.

237. Т 5.49. Злоупотребления с маршрутизацией данных. Т 5.50. Злоупотребления с протоколом ICMP. Т 5.51. Злоупотребления с протоколом маршрутизации.

238. Т 5.52. Злоупотребления правами администратора в системах под Windows NT.

239. Т 5.53. Неправильное использование защитных кабинетов. Т 5.54. Преднамеренные действия, приводящие к аварийному завершению. Т 5.55. Вход в обход системы аутентификации.

240. Т 5.56. Ненадлежащий учет пользователей, имеющих свободный доступ к сетевым ресурсам.

241. Т 5.57. Несанкционированный запуск сканеров сети. Т 5.58. Взлом ОС Novell Netware.

242. Т 5.59. Злоупотребление правами администратора в сетях Novell Netware 3.x. Т 5.60. Рекомендации по обходу системы.

243. Т 5.61. Злоупотребления, связанные с удаленным управлением маршрутизатором.

244. Т 5.62. Злоупотребления, связанные с удаленным управлением ресурсами информационной системы. Т 5.63. Манипуляции через D-канал ISDN.

245. Т 5.64. Манипуляции данными или программным обеспечением базы данных.

246. Т 5.65. Отказ в обслуживании базы данных.

247. Т 5.66. Неразрешенные подключения в ЛВС информационной системы. Т 5.67. Несанкционированное управление сетевыми ресурсами. Т 5.68. Несанкционированный доступ к активному сетевому оборудованию.

248. Т 5.74. Манипуляции файлами рассылки и псевдонимами. Т 5.75. Перегрузка при получении письма по электронной почте. Т 5.76. Вредоносное ПО в почте.

249. Т 5.77. Несанкционированное ознакомление с электронной почтой. Т 5.78. Атака DNS spoofing.

250. Т 5.79. Несанкционированное приобретение прав администратора под Windows NT. Т 5.80. Атака Hoaxes.

251. Т 5.81. Неразрешенное использование криптомодулей. Т 5.82. Манипуляции криптомодулями. Т 5.83. Компрометация криптографических ключей. Т 5.84. Подделка удостоверений.

252. Т 5.85. Потеря целостности информации, которая должна быть защищена. Т 5.86. Манипуляции параметрами управления. Т 5.87. Атака Web spoofing.

253. Т 5.88. Неправильное использование активного контента. Т 5.89. Захват сетевых подключений.

254. Т 5.90. Манипуляции списками рассылки и адресными книгами.

255. Т 5.91. Отключение механизма защиты доступа RAS.

256. Т 5.92. Использование клиента RAS в качестве сервера.

257. Т 5.93. Разрешение третьим лицам использовать RAS-компоненты.

258. Т 5.94. Неправильное употребление компонентов оборудования.

259. Т 5.95. Подслушивание конфиденциальных переговоров по мобильнымтелефонам.

260. Т 5.96. Вмешательство с использованием мобильных телефонов. Т 5.97. Неразрешенная передача данных по мобильным телефонам. Т 5.98. Перехват телефонных звонков с мобильных телефонов. Т 5.99. Перехват трафика мобильных телефонов.

261. Т 5.100. Злоупотребление активным контентом для доступа к Lotus Notes. Т 5.101. Взлом Lotus Notes. Т 5.102. Саботаж.1. Каталог контрмер

262. Каталог содержит следующие группы контрмер для обеспечения безопасности:• поддерживающей инфраструктуры;• на организационном уровне;• на кадровом уровне;• программного обеспечения и вычислительной техники;• коммуникаций;• непрерывности бизнеса.

263. Далее перечисляются контрмеры, входящие в каждую из групп.

264. S1. Обеспечение безопасности на уровне поддерживающей инфраструктуры

265. S 1.1. Соответствие стандартам и отраслевым спецификациям элементов инфраструктуры.

266. S 1.2. Система контроля со стороны правительства над производителями и дистрибьюторами электроэнергии, телефонными сетями, газо- и водоснабжением.

267. S 1.3. Периодические проверки поддерживающей инфраструктуры (электропитания, климатических систем и т.д.) на соответствие предъявляемым к ним (на текущий момент) требованиям. S 1.4. Грозо- и молниезащита.

268. S 1.5. Гальваническая развязка с внешними сетями.

269. S 1.6. Соответствие помещений требованиям стандартов в области пожарной безопасности.

270. S 1.7. Автоматические (дистанционные) системы пожаротушения. S 1.8. Использование отделочных материалов, соответствующих требованиям в области пожарной безопасности.

271. S 1.9. Использование силовых и информационных кабелей с пожароустойчивой изоляцией. S 1.10. Наличие запасных выходов для персонала.

272. S 1.11. Наличие планов коммуникаций, относящихся к инфраструктуре (электро-, газо- и водоснабжению).

273. S 1.12. Организация защиты воздухозаборников, климатического оборудования, распределительных щитов.

274. S 1.13. Организация защиты зданий и прилегающей территории от внешних факторов: затопления, автомобильного движения и т.п.

275. S 1.14. Автоматизация дренажных работ. В некоторых помещениях (в подвалах, подверженных частым затоплениям) необходимо установитьнасосы, включающиеся автоматически в случае возникновения угрозы затопления.

276. S 1.15. Контроль доступа. Окна и двери должны быть закрыты в отсутствие людей.

277. S 1.16. Схемы размещения. Распределение персонала по комнатам следует производить с учетом требований минимизации перемещения людей. Подразделения, не связанные технологически, должны быть по возможности изолированы.

278. S 1.24. Отсутствие близко расположенных трубопроводов (тепло- и водоснабжения).

279. S 1.25. Защита от высокого напряжения.

280. S 1.26. Защита силовых проводов от обрывов и повреждений. S 1.27. Климатическое оборудование. S 1.28. Использование UPS.

281. S 1.29. Правильное расположение элементов информационной системы. S 1.30. Обеспечение сохранности регистрационной информации о входящих/ исходящих сообщениях.

282. S 1.31. Удаленная индикация сбоев (неисправностей) оборудования.

283. S 1.32. Корректная настройка консолей, устройств передачи данных,принтеров.

284. S 1.33. Обеспечение сохранности переносных (мобильных) ПК при использовании их вне территории организации.

285. S 1.34. Обеспечение сохранности переносных (мобильных) ПК при использовании их в качестве офисных ПК.

286. S 1.35. Организация хранения временно не используемых переносных (мобильных) ПК.

287. S 1.42. Обеспечение безопасности сервисов Novell. S 1.43. Обеспечение безопасности маршрутизации ISDN. S 1.44. Меры безопасности при организации рабочих мест в домашних условиях.

288. S 1.45. Организация надежного хранения важных данных и документов. S 1.46. Использование техники, предотвращающей кражи. S 1.47. Локализация пожароопасных мест. S 1.48. Противопожарная сигнализация.

289. S 1.56. Альтернативные источники электропитания. S 1.57. Документирование инфраструктуры и планы здания. S 1.58. Технические и организационные требования к помещениям для размещения серверов.

290. S 2. Обеспечение безопасности на организационном уровне

291. S 2.1. Распределение должностных обязанностей в сфере IT. S 2.2. Управление ресурсами. S 2.3. Контроль за средой передачи данных.

292. S 2.4. Планирование мероприятий в области ремонта и поддержки.

293. S 2.5. Разделение ответственности и функций.

294. S 2.6. Регламентация доступа к информационным ресурсам.

295. S 2.7. Регламентация привилегий различных групп пользователей.

296. S 2.8. Регламентация правил доступа к приложениям и данным.

297. S 2.9. Запрещение использования ПО, не входящего в список официальноразрешенного.

298. S 2.10. Список разрешенного ПО и его владельцев. S 2.11. Правила использования паролей. S 2.12. Служба поддержки для пользователей.

299. S 2.13. Правильное расположение информационных ресурсов, требующихзащиты.

300. S 2.14. Управление доступом к ключам от помещений.

301. S 2.15. Инспекция пожарной безопасности.

302. S 2.16. Сопровоясдение посетителей.

303. S 2.17. Правила доступа на территорию посторонних.

304. S 2.18. Аспекты деятельности организаций, подлежащих инспекции.

305. S 2.19. Актуализация технической документации производителей.

306. S 2.20. Мониторинг существующих соединений.

307. S 2.21. Запрет курения на рабочих местах.

308. S 2.22. Правила использования паролей.

309. S 2.23. Упрощение руководств для пользователей.

310. S 2.24. Формуляры пользователей.

311. S 2.25. Документация на текущую конфигурацию.

312. S 2.26. Назначение администратора безопасности и определение его полномочий.

313. S 2.27. Ограничение полномочий по удаленному доступу к учрежденческой АТС.

314. S 2.32. Документирование ограничений на вычислительную среду для пользователей.

315. S 2.33. Разделение ролей администраторов UNIX.

316. S 2.34. Документирование изменений, вносимых в текущую конфигурацию. S 2.35. Получение информации по имеющимся уязвимостям информационной системы.

317. S 2.36. Использование портативных ПК надлежащим образом.

318. S 2.37. Политика чистого стола.

319. S 2.38. Распределение ролей администратора.

320. S 2.39. Реакция на нарушение политики безопасности.

321. S 2.40. Вовлечение сотрудников в поддержание режима ИБ.

322. S 2.41. Резервное копирование критичной информации персоналом.

323. S 2.42. Документирование партнеров, которым можно передаватьинформацию.

324. S 2.43. Маркировка носителей данных перед отправкой. S 2.44. Упаковка носителей данных. S 2.45. Управление обменом носителей данных.

325. S 2.51. Обеспечение сохранности входящих на факс сообщений. S 2.52. Мониторинг исходящих с факса сообщений. S 2.53. Блокировка факсов в нерабочее время. S 2.54. Использование подходящих автоответчиков. S 2.55. Использование кодовых замков.

326. S 2.56. Предотвращение попадания конфиденциальной информации на автоответчики.

327. S 2.57. Регулярная обработка информации на автоответчике. S 2.58. Ограничение времени сообщения. S 2.59. Приобретение подходящего модема. S 2.60. Администрирование модемов с учетом требований ИБ. S 2.61. Документирование процедур пользования модемами.

328. S 2.62. Разрешенное к применению ПО и процедуры санкционирования его применения. S 2.63. Права доступа. S 2.64. Просмотр log-фашгов.

329. S 2.65. Проверка эффективности разграничения пользователей в информационной системе.

330. S 2.66. Приобретение только сертифицированных элементов. S 2.67. Стратегии для одноранговых сетей.

331. S 2.77. Конфигурация компонентов, соответствующая требованиям безопасности.

332. S 2.78. Правила работы с МЭ.

333. S 2.79. Определение ответственных за использование стандартного ПО. S 2.80. Каталоги используемого стандартного ПО. S 2.81. Выбор подходящего стандартного ПО. S 2.82. Разработка плана тестирования стандартного ПО. S 2.83. Тестирование стандартного ПО.

334. S2.91. Определение стратегии безопасности для клиент-серверных приложений Windows NT.

335. S 2.92. Выбор способов контроля безопасности для клиент-серверных приложений Windows NT.

336. S 2.93. Планирование конфигурации сети на основе ОС Windows NT S 2.94. Совместное использование директорий в сетях под управлением ОС Windows NT

337. S 2.101. Проверка Novell Netware servers.

338. S 2.102. Активизация удаленных консолей.

339. S 2.103. Профили пользователей в ОС Windows 95.

340. S 2.104. Руководство пользователя по безопасности для ОС Windows 95.

341. S 2.105. Расширение учрежденческой АТС.

342. S 2.106. Выбор подходящих ISDN-плат.

343. S 2.107. Документирование конфигурации ISDN-плат.

344. S 2.108. Удаленная поддержка ISDN gateways.

345. S 2.109. Назначение прав при удаленном доступе.

346. S 2.110. Руководство по работе с log-файлами.

347. S 2.111. Сохранность руководств.

348. S 2.112. Соблюдение правил обмена файлами и данными между рабочими станциями и получателями.

349. S 2.113. Документирование процедурных вопросов, связанных сиспользованием телекоммуникаций.

350. S 2.114. Потоки информации вовне и извне.

351. S 2.115. Поддержка удаленного доступа.

352. S 2.116. Использование телекоммуникаций.

353. S 2.117. Управление доступом к телекоммуникациям.

354. S 2.118. Политика безопасности при использовании e-mail.

355. S 2.119. Инструкции по использованию e-mail.

356. S 2.120. Конфигурирование почтового сервера.

357. S 2.121. Регулярное уничтожение писем e-mail.

358. S 2.122. Стандартизация адресов e-mail.

359. S 2.123. Выбор провайдера.

360. S 2.124. Выбор подходящей СУБД.

361. S 2.125. Инсталляция и конфигурирование СУБД.

362. S 2.126. Разработка концепции безопасности для СУБД.1. S 2.127. Интерфейс.

363. S 2.128. Управление доступом к СУБД (организационные аспекты). S 2.129. Управление доступом к информации в СУБД. S 2.130. Гарантии целостности СУБД.

364. S 2.144. Выбор протокола управления сетевыми ресурсами.

365. S 2.145. Средства управления сетью.

366. S 2.146. Обеспечение ИБ системы управления сетью.

367. S 2.147. Вопросы ИБ при миграции на старшие версии Novell.

368. S 2.148. Конфигурирование Novell Netware 4.x networks.

369. S 2.149. Обеспечение безопасности Netware 4.x networks.

370. S 2.150. Аудит сетей Novell Netware 4.x. S 2.151. Разработка концепции NDS.

371. S 2.152. Разработка концепции синхронизации времени.

372. S 2.153. Документирование на Novell Netware 4.x networks.

373. S 2.154. Концепция защиты от вирусов.

374. S 2.155. Идентификация уязвимостей для вирусов.

375. S 2.156. Выбор подходящей стратегии антивирусной защиты.

376. S 2.157. Выбор подходящей антивирусной программы.

377. S 2.158. Обработка сообщений о заражении вирусами.

378. S 2.159. Обновление антивирусных программ.

379. S 2.160. Управление антивирусными программами.

380. S 2.161. Разработка концепции использования криптографии.

381. S 2.162. Необходимость использования криптографических продуктов.

382. S 2.163. Факторы, влияющие на выбор криптографических продуктов.

383. S 2.164. Выбор адекватных процедур криптографической защиты.

384. S 2.165. Выбор подходящих криптографических продуктов.

385. S 2.166. Организационные аспекты использования криптографии.

386. S 2.167. Обеспечение безопасности при уничтожении носителейинформации.

387. S 2.168. Системный анализ информационной системы, предшествующий выбору системы управления.

388. S 2.169. Разработка стратегических целей системы управления. S 2.170. Требования к системе управления.

389. S 2.171. Выбор продуктов для использования в системе управления.

390. S 2.172. Разработка концепции использования WWW.

391. S 2.173. Определение стратегии безопасности для WWW

392. S 2.174. Вопросы безопасности, связанные с сервером WWW.

393. S 2.175. Настройки сервера WWW

394. S 2.176. Выбор Internet-провайдера.

395. S 2.177. Обеспечение безопасности при переездах.

396. S 2.178. Руководство по использованию факса.

397. S 2.179. Процедуры управления факс-сервером.

398. S 2.180. Настройки fax/mail-серверов.

399. S 2.181. Выбор подходящего факс-сервера.

400. S 2.182. Регулярный пересмотр критериев безопасности.

401. S 2.183. Анализ аспектов безопасности, связанных с удаленным доступом.

402. S 2.184. Разработка концепции безопасности удаленного доступа.

403. S 2.185. Выбор архитектуры удаленного доступа.

404. S 2.186. Выбор продукта, обеспечивающего безопасность удаленного доступа.

405. S 2.187. Определение настроек продукта, обеспечивающего безопасность удаленного доступа.

406. S 2.188. Правила использования мобильной связи. S 2.189. Блокирование мобильных телефонов в случае их утраты. S 2.190. Настройки пула мобильных телефонов.

407. S 2.196. Синхронизация этапов концепции ИБ и этапов развития системы.

408. S 2.197. Концепция обучения в области ИБ.

409. S 2.198. Проведение обучения персонала.

410. S 2.199. Поддержание режима ИБ.

411. S 2.200. Подготовка докладов в области ИБ.

412. S 2.201. Документирование процедур и процессов в области ИБ.

413. S 2.202. Подготовка руководства по обеспечению ИБ (организационныеаспекты).

414. S 2.208. Планирование доменной структуры и иерархии сертификатов Lotus Notes.

415. S 2.209. Планирование использования Lotus Notes в системе Intranet. S 2.210. Планирование использования Lotus Notes в системе Intranet с доступом через браузер.

416. S 2.211. Планирование использования Lotus Notes в демилитаризованнойзоне.

417. S 2.212. Организационные аспекты, связанные с уборкой помещений итехники.

418. S 2.213. Поддержка технической инфраструктуры. S 2.214. Концепция операций в информационной технологии. S 2.215. Меры по коррекции ошибок.

419. S 2.216. Санкционирование процедур для отдельных компонентов информационной технологии.

420. S 2.217. Классификация информационных ресурсов.

421. S 2.218. Процедуры контроля обмена данными в информационной системе. S 2.219. Постоянное документирование изменений в информационной системе.

422. S 2.220. Руководство по управлению доступом. S 2.221. Управление изменениями. S 2.222. Регулярная проверка параметров режима ИБ. S 2.223. Аспекты безопасности при использовании стандартного ПО.

423. S 2.224. Защита от вредоносного ПО.

424. S 2.225. Назначение ответственных за информационные ресурсы и отдельные компоненты информационной системы.

425. S 2.226. Использование специалистов по временным трудовым договорам и специалистов сторонних организаций по договорам.

426. S 3. Обеспечение безопасности на кадровом уровне

427. S 3.1. Система обучения нового (поступающего на работу) персонала.

428. S 3.2. Обязательства персонала в части следования законам и внутренниминструкциям.

429. S 3.10. Выбор надежного администратора безопасности и его замена. S 3.11. Обучение по вопросам эксплуатации средств защиты. S3.12. Информирование персонала о возможностях местной АТС и о предупредительных сигналах.

430. S 3.13. Уменьшение численности персонала, имеющего доступ к АТС и ее настройкам.

431. S 3.14. Информирование персонала о процедурах корректного обмена данными с посторонними.

432. S 3.15. Информирование персонала о процедурах корректного использования факсов.

433. S3.16. Информирование персонала о корректном использовании автоответчика.

434. S 3.17. Информирование персонала о корректном использовании модема. S 3.18. Выключение ПК при уходе. S 3.19. Инструкции относительно взаимодействующих систем. S 3.20. Инструкции по защите посторонних.

435. S3.21. Обучение вопросам телекоммуникаций. S 3.22. Вопросы замены телекоммуникационного оборудования. S 3.23. Основы криптографической защиты.

436. S 4. Защита программного обеспечения и вычислительной техники S 4.1. Парольная защита.

437. S 4.2. Использование экранных заставок для блокировки доступа. S 4.3. Периодическое использование антивирусных средств. S 4.4. Блокирование дисковода.

438. S 4.5. Протоколирование действий администратора учрежденческой АТС. S 4.6. Аудит конфигурации учрежденческой АТС. S 4.7. Замена паролей.

439. S 4.17. Блокирование доступа к неиспользуемым устройствам и терминалам. S4.18. Административные и технические средства контроля работы пользователей.

440. S 4.19. Ограничения на атрибуты файлов и директорий в UNIX (правила администрирования).

441. S 4.20. Ограничения на атрибуты файлов и директорий в UNIX (правила для пользователей).

442. S 4.21. Предотвращение незаконного использования прав администратора. S 4.22. Предотвращение потери конфиденциальных и важных данных в UNIX.

443. S 4.23. Обеспечение безопасности ЕХЕ-файлов. S 4.24. Обеспечение управления системой. S 4.25. Использование log-файлов в ОС UNIX. S 4.26. Проверка режима безопасности в ОС UNIX. S 4.27. Парольная защита в портативных ПК.

444. S 4.32. Уничтожение информации до и после использования средств хранения данных.

445. S 4.39. Отключение автоответчиков на период длительного отсутствия. S 4.40. Предотвращение несанкционированного использования микрофонов. S4.41. Использование подходящих программных продуктов для защиты информации.

446. S 4.42. Инструментарий для обеспечения безопасности при работе приложений.

447. S 4.43. Факсы с системой защиты от изменения установок. S 4.44. Проверка входящих файлов на отсутствие макровирусов. S 4.45. Обеспечение безопасности среды при взаимодействии объектов с равными правами.

448. S 4.46. Использование паролей в ОС Windows 95. S 4.47. Ведение журналов при работе МЭ. S 4.48. Парольная защита в ОС Windows NT.

449. S 4.49. Обеспечение защиты от загрузки с дискеты в ОС Windows NT. S 4.50. Системное администрирование в ОС Windows NT S 4.51. Профили пользователей и ограничения в ОС Windows NT S 4.52. Защита оборудования, функционирующего под управлением ОС Windows NT

450. S 4.53. Ограничения на доступ к файлам и директориям под управлением ОС Windows NT

451. S 4.54. Документирование событий в ОС Windows NT

452. S 4.55. Инсталляция ОС Windows NT в соответствии с требованиями безопасности.

453. S 4.56. Уничтожение информации в ОС Windows NT и ОС Windows 95.

454. S 4.57. Отключение возможности использования CD-ROM.

455. S 4.58. Совместное использование файлов в ОС Windows 95.

456. S 4.59. Отключение неиспользуемых функций ISDN.

457. S 4.60. Отключение ненужных функций маршрутизации ISDN.

458. S 4.61. Использование штатных механизмов безопасности компонентов1.DN.

459. S 4.62. Использование фильтров.

460. S 4.69. Регулярная проверка состояния безопасности в СУБД. S 4.70. Мониторинг состояния базы данных.

461. S 4.71. Ограничение на использование связей, имеющихся в СУБД. S 4.72. Криптографическая защита СУБД. S 4.73. Спецификация на ограничение. S 4.74. Сети с ПК под управлением ОС Windows 95. S 4.75. Защита регистра в ПК под управлением ОС Windows NT.

462. S 4.76. Версии ОС Windows NT с повышенным уровнем безопасности. S 4.77. Защита администратора в сетях на основе ОС Windows NT. S 4.78. Безопасность при модернизации.

463. S 4.83. Обновление компонентов сетевой инфраструктуры и ПО. S 4.84. Использование механизмов безопасности BIOS. S 4.85. Интерфейс модулей криптозащиты.

464. S 4.86. Безопасность при разделении ролей персонала и конфигурировании крип-томодулей.

465. S 4.87. Физическая безопасность криптографических устройств.

466. S 4.88. Требования к операционным системам, в которых устанавливаютсякрип-томодули.

467. S 4.89. Безопасность излучения (уровней полей) приборов.

468. S 4.90. Использование криптографической защиты на разных уровнях модели1.O/OSI.

469. S 4.91. Безопасность при инсталляции системы управления. S 4.92. Безопасность выполнения операций в системе управления. S 4.93. Регулярная проверка целостности. S 4.94. Защита WWW-файлов.

470. S 4.95. Минимизация действий в информационной системе. S 4.96. Отключение DNS. S 4.97. Один сервис на один сервер.

471. S 4.98. Ограничение потоков информации путем использования пакетных фильтров.

472. S 4.99. Защиты от изменения информации.

473. S 4.100. Межсетевые экраны и защита информационных ресурсов. S 4.101. Межсетевые экраны и криптография. S 4.102. Обеспечение уровня безопасности С2 для Novell 4.11. S 4.103. Сервер DHCP (Dynamic Host Configuration Protocol) под Novell Netware 4.x.

474. S 4.104. Сервисы LDAP для NDS.

475. S 4.105. Первоначальные измерения после инсталляции UNIX.

476. S 4.106. Активация системных log-файлов.

477. S 4.107. Сервисная поддеряска производителя.

478. S 4.108. Управление сервисом DNS под Novell NetWare 4.11.

479. S 4.109. Переустановка ПО на рабочих станциях.

480. S 4.110. Безопасность при инсталляции службы удаленного доступа.

481. S 4.111. Безопасная конфигурация службы удаленного доступа.

482. S 4.112. Безопасная работа с использованием службы удаленного доступа.

483. S 4.113. Использование сервера аутентификации внутри службы удаленногодоступа.

484. S 4.120. Конфигурирование доступа к управляющим спискам базы данных Lotus Notes.

485. S 4.125. Установление ограничений доступа к базам данных Lotus Notes через браузер.

486. S 4.126. Безопасность при конфигурировании клиента Lotus Notes. S 4.127. Конфигурация браузера доступа к Lotus Notes, соответствующая требованиям безопасности.

487. S 4,133. Выбор подходящего механизма аутентификации. S 4.134. Выбор подходящих форматов данных.

488. S 4.135. Ограничения, которые позволят контролировать доступ к файлам. S 5. Защита коммуникаций

489. S 5.1. Удаление или заземление неиспользуемых линий. S 5.2. Выбор подходящей топологии сети. S 5.3. Выбор кабелей.

490. S 5.4. Документирование и маркировка кабелей.

491. S 5.5. Прокладка кабелей с учетом минимизации возможных повреждений. S 5.6. Разрешение использования сетевых паролей. S 5.7. Управление сетью.

492. S 5.8. Ежемесячные проверки сети с позиции безопасности. S 5.9. Ведение журналов. S 5.10. Ограничение прав доступа. S 5.11. Блокировка консоли сервера.

493. S 5.12. Конфигурации для второго (дублирующего) администратора. S 5.13. Оборудование для соединения сетей. S 5.14. Экранирование удаленного доступа. S 5.15. Экранирование доступа извне. S 5.16. Обзор сетевых сервисов.

494. S 5.17. Использование механизмов безопасности для NFS.

495. S 5.18. Использование механизмов безопасности для NIS.

496. S 5.19. Использование механизмов безопасности для sendmail.

497. S 5.20. Использование механизмов безопасности для rlogin, rsh, rep.

498. S 5.21. Безопасность для telnet, ftp, tftp, rexec.

499. S 5.22. Проверка совместимости систем приема и передачи.

500. S 5.23. Выбор подходящего телекоммуникационного оборудования.

501. S 5.24. Список доступа для fax.

502. S 5.25. Анализ принятых и посланных log-файлов.

503. S 5.26. Извещение о пришедших факсах по телефону.

504. S 5.27. Подтверждение о пришедших факсах по телефону.

505. S 5.28. Подтверждение корректности пришедших факсов по телефону.

506. S 5.29. Периодические проверки списков рассылки.

507. S 5.30. Включение опции call-back.

508. S 5.31. Конфигурирование модемов.

509. S 5.32. Вопросы безопасности при использовании коммуникационного ПО. S 5.33. Безопасность при использовании удаленных модемов. S 5.34. Одноразовые пароли.

510. S 5.35. Использование механизмов безопасности UUCP. S 5.36. Криптография под UNIX и Windows NT.

511. S 5.37. Ограничение возможностей взаимодействующих объектов одного уровня при использовании ОС Windows 95 и Windows NT в сетях, поддерживающих серверы.

512. S 5.38. Безопасность интеграции ПК под управлением ОС DOS в сети под управлением ОС UNIX.

513. S 5.39. Безопасность использования протоколов и сервисов. S 5.40. Безопасность интеграции ПК под управлением ОС DOS в сети под управлением ОС Windows NT.

514. S5.41. Настройки, обеспечивающие безопасность удаленного доступа под управлением ОС Windows NT.

515. S 5.42. Конфигурирование сетей TCP/IP под управлением ОС Windows NT. S 5.43. Конфигурирование сетевых сервисов ТСРЯР под управлением ОС Windows NT

516. S 5.44. Однонаправленное соединение модема. S 5.45. Безопасность браузера.

517. S 5.46. Инсталляция автономных систем при использовании Internet. S 5.47. Конфигурирование замкнутых групп пользователей. S 5.48. Аутентификация телефонных звонков с использованием определителя номера (CLIP/COLP).

518. S 5.49. Обратный вызов по зафиксированному определителем номеру. S 5.50. Аутентификация в ISDN с использованием протоколов РАР/СНАР. S 5.51. Требования в области безопасности к телекоммуникациям через публичные сети.

519. S 5.52. Требования в области безопасности к компьютерам, выполняющим телекоммуникационные функции.

520. S 5.67. Использование службы контроля времени. S 5.68. Использование криптозащиты в сетях. S 5.69. Защита от активного контента. S 5.70. Использование Network address translation (NAT). S 5.71. Активный аудит.

521. S 5.72. Удаление ненужных сетевых сервисов. S 5.73. Обеспечение безопасности при работе с факс-сервером. S 5.74. Поддержка адресной книги и списков рассылки факс-сервера. S 5.75. Защита от переполнения факс-сервера.

522. S 5.76. Использование подходящих туннельных протоколов в сетях. S 5.77. Разбиение на подсети.

523. S 5.78. Защита данных, передаваемых через мобильные телефоны, от использования в системе аутентификации.

524. S 5.79. Защита от применения автоматически определенного номера мобильного телефона в системах аутентификации при использовании мобильных телефонов.

525. S 5.80. Защита от утечки информации (подслушивания) с помощью мобильных телефонов.

526. S 5.81. Безопасность при передаче данных через мобильные телефоны. S 5.82. Безопасность при использовании протокола SAMBA S 5.83. Безопасность при соединении с внешними сетями под Linux FreeS/WAN.

527. S 5.84. Процедуры криптографической защиты при использовании Lotus Notes.

528. S 5.85. Криптографическая защита e-mail Lotus Notes.

529. S 5.86. Процедуры криптографической защиты при доступе через браузер к Lotus Notes.

530. S 5.87. Соглашения, регулирующие связи с сетями третьих сторон. S 5.88. Соглашения, регулирующие вопросы передачи данных по сетям третьих сторон.

531. S 6. Планирование непрерывности бизнеса S 6.1. Формулировка требований по доступности.

532. S 6.2. Определение категорий опасности, персональная ответственность за обеспечение безопасности.

533. S 6.3. Руководство по процедурам обеспечения безопасности. S 6.4. Требования к ресурсам, необходимым для работы приложений. S 6.5. Режим работы с минимальными ресурсами. Приоритеты информационных процессов.

534. S 6.6. Исследование внешних и внутренних возможностей обеспечения бесперебойной работы.

535. S 6.7. Ответственные за действия в чрезвычайных ситуациях. S 6.8. План действий в чрезвычайных ситуациях.

536. S 6.17. Звуковая сигнализация на случай чрезвычайных обстоятельств. S 6.18. Обеспечение избыточности линий. S 6.19. Резервное копирование данных на ПК.

537. S 6.28. Соглашение о сроках поставки отдельных элементов офисной АТС. S 6.29. Вызовы офисной АТС, связанные с авариями и безопасностью. S 6.30. Аварийные коммуникации.

538. S 6.31. Примеры действий, приводящих к потере целостности данных. S 6.32. Регулярное резервное копирование данных. S 6.33. Политика резервного копирования.

539. S 6.34. Определение факторов, препятствующих выполнению резервного копирования.

540. S 6.47. Хранение резервных копий как часть организации телекоммуникационных процедур.

541. S 6.48. Процедуры в случае потери целостности базы данных. S 6.49. Резервное копирование баз данных. S 6.50. Активизация баз данных. S 6.51. Восстановление баз данных.

542. S 6.52. Регулярное резервное копирование информации о конфигурационных данных.

543. S 6.53. Дополнительные условия, связанные с установкой сетевых компонентов.

544. S 6.54. Процедуры в случае нарушения целостности сети. S 6.55. Уменьшение времени нового запуска серверов под управлением ОС Novell Netware.

545. S 6.56. Резервное копирование с криптографической защитой данных. S 6.57. Разработка планов бесперебойной работы на случай отказа системы управления.

546. S 6.67. Фиксация инцидента и определение степени его серьезности.

547. S 6.68. Проверка эффективности системы управления предотвращениеминцидентов.

548. S 6.69. Планирование бесперебойной работы для факс-серверов. S 6.70. Планирование бесперебойной работы для удаленных и мобильных элементов системы.

549. S 6.71. Резервное копирование данных на мобильных ПК. S 6.72. Отказ мобильной связи.

550. S 6.73. Планирование бесперебойной работы в случае сбоев Lotus Notes. S 6.74. Ведение архива аварий и инцидентов. S 6.75. Избыточность коммуникационных каналов.

551. Классификация ресурсов и угроз CRAMM

552. Классификация ресурсов и угроз в методе CRAMM для профиля Commercial.