Метод анализа и управления рисками безопасности защищенной информационной системы тема диссертации и автореферата по ВАК РФ 05.13.01, кандидат технических наук Львова, Анастасия Владимировна

Актуальность.

В настоящее время организация эффективной системы защиты информационной системы становится критически важным стратегическим фактором развития любой компании. По сути, информация является одним из ключевых элементов бизнеса. При этом под информацией понимаются не только статические информационные ресурсы (базы данных, текущие настройки оборудования и другие), но и динамические информационные процессы обработки данных.

Главной целью любой системы защиты является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов организации от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной производственной деятельности всех подразделений. Для разработки системы защиты необходимо решить следующие основные задачи [1]:

- классифицирование информации, отнесение информации к категории ограниченного доступа (служебной тайне);

- прогнозирование и своевременное выявление угроз безопасности информационным ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;

- создание условий функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

- создание механизма и условий оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;

- создание условий для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и г • юридических лиц, ослабление негативного влияния последствий нарушения информационной безопасности на достижение стратегических целей; повышение экономической эффективности системы защиты, соизмерение выделяемых средств с коммерческой ценностью закрываемой информации.

Информационная среда организации, вне зависимости от своего состава, должна предусматривать систему защиты. Однако затраты на обеспечение высокого уровня безопасности могут быть неоправданны. Нахождение разумного компромисса и выбор приемлемого уровня защиты при допустимых затратах является важным условием постановки задачи обеспечения ИБ. Для решения этого вопроса необходимо проводить анализ рисков ИБ, позволяющий оценить существующий уровень защищенности ресурсов организации. Значение риска, являющееся произведением вероятности реализации угрозы по отношению к защищаемому ресурсу на ущерб от реализации данной угрозы, служит показателем полноты, комплексности и эффективности системы ИБ организации, а также позволяет выявить ее слабые места.

Существуют различные способы проведения оценки рисков. Они отличаются методами оценивания их составляющих - вероятности и ущерба. Наиболее распространено использование экспертных оценок в совокупности с балльными шкалами значений, что затрудняет трактовку результатов расчетов. Эффективность анализа рисков снижает также рассмотрение типовых угроз ИБ применительно к конкретной организации с характерными для нее информационными, ресурсами. В связи с этим обстоятельством актуальной является задача разработки метода анализа и управления рисками, опирающегося на показатели, пригодные для количественной экспертной оценки. При этом оценки необходимо получать в денежном выражении, что позволило бы использовать строгие формулы для расчетов и адекватно интерпретировать результаты.

Важным также является вопрос, какой объем средств следует тратить на внедрение, поддержание и модификацию системы ИБ организации. Для ответа на него необходимо использовать некоторый показатель экономической эффективности для оценки выгоды по отношению к затратам. При этом возникает ряд трудностей с интерпретацией экономических показателей для области . ИБ. Решение вопроса формирования адекватного показателя экономической эффективности системы защиты, удобного для оценивания, является на сегодняшний день актуальным.

Целью исследований является разработка метода анализа и управления рисками безопасности с возможностью оценки экономической эффективности системы защиты и вариантов ее модификации.

Основными задачами исследований являются:

1) Проведение сравнительного анализа основных стандартов, подходов к решению задачи анализа и управления рисками безопасности, критериев оценки экономической эффективности системы защиты, используемых инструментальных программных средств. Выявление ограничений в применении рассмотренных подходов и решений.

2) Разработка метода анализа и управления рисками с учетом выявленных недостатков существующих подходов и решений.

3) Разработка показателя оценки экономической эффективности затрат на создание и эксплуатацию системы защиты и вариантов ее модификации.

4) Реализация разработанных подходов в виде программной инструментальной системы.

5) Внедрение инструментальной системы в рамках информационно-вычислительной сети МЭИ (ТУ).

Объектом исследования являются методы, подходы, инструментальные средства анализа и управления рисками ИБ организации, а также показатели оценки экономической эффективности вложений в ИБ.

Методы исследований.

Для решения поставленных задач использовались математические модели оценки рисков, рентабельности, теории информации, теории множеств, методы объединения экспертных оценок. При разработке программной реализации инструментальной системы применялись технологии информационного поля, унифицированный язык моделирования данных UML, объектно-ориентированное проектирование и программирование.

Научная новизна.

1) Предложен новый метод анализа и управления рисками безопасности информационной системы. Метод оперирует данными только по конкретным (реально действующим) противникам организации с учетом их возможностей, намерений, мотивации на реализацию угроз, что позволяет повысить достоверность исходных данных и результатов анализа. 1

2) Проведена классификация и описание типовых информационных носителей и нарушителей ИБ с указанием возможных способов реализации угроз по отношению к защищаемой информации, а также вариантов противодействия, что позволяет аналитику более полно описывать угрозы реально действующего противника.

3) В качестве оценки выгоды от функционирования системы защиты предложен показатель нериска как произведение вероятности нереализации угрозы на ущерб от ее реализации. Показатель позволяет оценивать экономический эффект на основе имеющихся данных без проведения дополнительного анализа.

4) На основе показателя нериска разработан показатель оценки экономической эффективности системы защиты в виде рентабельности, который позволяет учитывать специфические параметры функционирования системы ИБ и действий конкретных противников.

Достоверность результатов.

Достоверность полученных результатов, сформулированных в диссертации, подтверждается:

• непротиворечивостью исходных предпосылок получения конечного результата — показателя рентабельности системы ИБ, выраженного через риски;

• результатами внедрения разработанного метода анализа и управления рисками на ИВС МЭИ (ТУ), подтверждающими, что результаты использования метода совпадают с экспертной оценкой специалистов;

• апробацией полученных результатов среди квалифицированных специалистов на семинаре Института проблем информационной безопасности МГУ (ноябрь 2007 г.) и на седьмой общероссийской научной конференции «Математика и безопасность информационных технологий» (МаБИТ-2008) (Москва, МГУ, октябрь 2008 г.)

Практическая значимость.

Разработанный метод анализа и управления рисками может быть использован любой организацией для контроля и управления защищенностью значимых ресурсов, но в первую очередь метод предназначен для крупных коммерческих организаций, имеющих службу ИБ, и заинтересованных в нахождении компромисса между затратами, выделяемыми на защиту, и достигаемым уровнем безопасности.

Метод реализован в виде инструментальной системы, которая дает возможность специалистам по информационной безопасности организации:

• проводить накопление статистики инцидентов в области ИБ;

• описывать структуру информационной системы организации и моделировать различные варианты системы защиты;

• оценивать риски ИБ организации на основе статистических данных и экспертных оценок, обрабатываемых с использованием метода групповой оценки объектов;

• оценивать экономическую эффективность системы ИБ, используя показатель рентабельности.

Апробация. Материалы диссертации были доложены:

1. на XIV Международной конференции «Информационные средства и технологии» (Москва, МЭИ (ТУ), октябрь 2006 г.);

2. на семинаре Института проблем информационной безопасности МГУ (ноябрь 2007 г.);

3. на XVII Международном научно-техническом семинаре (Алушта, сентябрь 2008 г.);

4. на седьмой общероссийской научной конференции «Математика и безопасность информационных технологий» (МаБИТ-2008) (Москва, МГУ, октябрь 2008 г.).

Публикации. Основные материалы диссертации были опубликованы в б печатных работах [25], [41], [42], [43], [44], [45].

Структура и объем работы. Диссертация состоит из введения, 4 глав с выводами к ним, заключения, списка литературы и приложения.

Результаты работы были успешно внедрены в рамках информационно-вычислительной сети МЭИ (ТУ). При этом алгоритм работы системы был адаптирован к специфике ИВС. На основании проведенного анализа рисков и рентабельности системы защиты ИВС были сделаны обоснованные выводы о том, что существующий вариант системы защиты ИВС является работоспособным, экономически выгодным и достаточно надежным. Были вынесены рекомендации по повышению качества функционирования системы защиты.

Для иллюстрации работы метода при анализе угроз по конкретным противникам было проведено их моделирование применительно в МЭИ (ТУ) как к организации. Таким образом, был показан объем работ по проведению полного анализа рисков, а также возможности по управлению рисками согласно разработанному методу.

ЗАКЛЮЧЕНИЕ

В работе был представлен обзор наиболее популярных международных стандартов информационной безопасности, теоретических подходов к анализу рисков, критериев оценки эффективности систем ИБ, а также программного обеспечения анализа и управления рисками, представленного сегодня на рынке.

В процессе исследований был выявлен ряд недостатков существующих подходов. На основании анализа недостатков были сформулированы требования к разработке метода анализа и управления рисками, решающего данную задачу более эффективно.

На основании предъявленных требований был разработан новый метод анализа и управления рисками, основывающийся на использовании знаний только по текущим действующим угрозам информационной безопасности организации. В связи с этим в качестве исходных данных были предложены новые параметры, получаемые путем экспертного оценивания. Значения данных параметров могут быть получены экспертами на основе знаний об информационной, технической структуре организации, а также на основе проведения разведки и аналитики по выявлению текущих противников и угроз, проистекающих от них. В качестве основных отличий метода можно выделить следующие:

• осуществлен переход от абстрактных типов потенциальных нарушителей к реальным выявленным противникам;

• параметры метода оцениваются количественно, в денежных единицах; их значения связаны с конкретными убытками и выгодой, которые несет сторона защиты и противник в случае атаки;

• вероятность реализации угрозы противником рассчитывается на основании статистики инцидентов в области ИБ, оценки степени его мотивировки и психологической расположенности к осуществлению противоправных действий.

Для облегчения практического использования разработанного метода была проведена классификация и описание типовых информационных носителей и нарушителей ИБ. Указаны возможные способы реализации угроз нарушения конфиденциальности, целостности, доступности по отношению к информации на различных носителях для разных типов нарушителей. Также приведены примеры способов противодействия указанным угрозам.

В работе предложен показатель оценки экономической эффективности вложений в ИБ организации в виде рентабельности, адаптированной к специфике предметной области ИБ. На основании значений параметров разработанного метода анализа рисков показатель позволяет оценить экономическую эффективность существующей системы ИБ, а также планируемых мероприятий по изменению системы ИБ согласно текущей ситуации по угрозам в отношении организации.

Разработанный метод была реализован в виде инструментальной системы. Система имеет модульную структуру и создана с использованием объектно-ориентированного программирования. Для учета всех функциональных требований к системе было проведено бизнес и системное моделирование с использованием современного языка UML проектирования информационных систем.

1. Петренко С. А., Симонов С. В. Управление информационными рисками. Экономически оправданная безопасность. - М.: Компания АйТи; ДМК Пресс, 2005.-384 с.

2. Симонов С. В. Технологии и инструментарий для управления рисками // Jet Info. Информационный бюллетень. № 2(117). - 2003.

3. Кобзарь М., Сидак А. Методология оценки безопасности информационных технологий по общим критериям // Jet Info. Информационный бюллетень. -№6(133).-2004.

4. Гамза В. А. Банковская безопасность: современная ситуация // Информационная безопасность. №5. - 2005.

5. Итоги года 2005 // Информационная безопасность. №6. - 2005.

6. Научные и методологические проблемы информационной безопасности (сборник статей). Под ред. В. П. Шерстюка. Издание 2-е, стереотипное. — М.: МНЦМО, 2005.

7. Стельмашонок Е. В. Экономико-организационные и программно-технические вопросы обработки и защиты информации. Сборник научных статей. СПб.: ИНЖЕКОН., 2003.

8. Балашов П. А., Безгузиков В. П., Кислов Р. И. Оценка рисков информационной безопасности на основе нечеткой логики. http://nwaktiv. ru/textstat2/index. html

9. Медведовский И. Современные методы и средства анализа и контроля рисков информационных систем компаний. http:/Avw\v. deeplace. md/rus/section/l 72/

10. Мельников Ю. Н., Теренин А. Возможности нападения на информационные системы банка из интернета и некоторые способы отражения этих атак. Часть 2 // Банковские технологии. № 2. - 2003. http://www. bre. ru/security/19907. html

11. И. ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1: Введение и общая модель.

12. ГОСТ Р ИСО/МЭК 15408-2-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2: Функциональные требования безопасности.

13. ГОСТ Р ИСО/МЭК 15408-3-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3: Требования доверия к безопасности.

14. Савельев М., Просяников Р. Станут ли общими «Общие критерии» // Byte. -№8. 2004. http://www.bvtemag.ru/?ID=602972

15. Кислов P. И Экономические аспекты управления информационными рисками // Защита информации. Конфидент. №4-5. - 2002. http://nwa.ktiv. ru/textstatl /index, html

16. Скородумов Б., Иванов В. Стандарты информационной безопасности. http://www. bre. ги/security/10808. html

17. Карасев Р. Ю. Моделирование оценки затрат, требуемых для обеспечения защиты информации. Сборник научных трудов. Серия «Естественнонаучная» №1 (7) СевКавГТУ // Ставрополь, 2004.

18. Ронин Р. Своя разведка. Практическое пособие. Минск: «Харвест», 1997.

19. Рахман П. А. Пример выявления и устранения узкого места в ИВС МЭИ (ТУ). http://icc.mvei.ru/documents/00000S04.html.

20. Рахман П. А. Средства мониторинга и диагностики информационно-вычислительной сети ВУЗ. http://icc. mpei.rii/documents/00000880.pdf.

21. Интернет портал МЭИ (ТУ). http://www. mpei. ru/StartPage.asp.

22. Правила работы в ИВС МЭИ (ТУ). http://net. mpei. ru/lang/ras/ustav seti/ustav. asp.

23. Конин A. JI., Беляков А. В., Хорьков С. Н. Проблемы надежности и производительности ИВС МЭИ (ТУ), http://network.mpei.ас.ги/common/- grpview/gi^pview.asp?gipid-edabf23e-9a87-4014-b8ca-3b3efdfe7bf4

24. Хорьков С. Н. Электронная почта в ИВС МЭИ (ТУ). Рабочая группа по эксплуатации ИВС МЭИ (ТУ). http .-//network, mpei. ас. ги/common/ srpview/srpview.asp?orpid=edabf23e-9a87-4014-b8ca-3b3efdfe7bf4

25. Бородюк В. П., Львова А. В. Повышение экономической эффективности системы информационной безопасности. // Вестник МЭИ №4. 2007.

26. Медведовский И. ISO 17799: Эволюция стандарта в период 2002 2005. http://citcity. ru/11352/

27. Медведовский И. Особенности систем анализа информационных рисков на примере алгоритма ГРИФ. http.VAvww. bre.ги/security/22122.html

28. Акимов Е. IT-security. Экономическая эффективность и управление ' рисками. http://www. doc flow, ги/'analyticfull. asp?param ~32185

29. Петренко С. Оценка затрат компании на Информационную безопасность.

30. Digital Security. Алгоритм: модель анализа угроз и уязвимостей. http://www. dsec. ru/down load/threatsjvuln.pdf

31. Стандарты Управления ИТ и их роль. Перевод: Трутнев Д. P. Ernst Jan Oud, CIS A, IS Control Magazine, Volume 3, 2005. http.VAvww. isaudit. ru/itvalue. htm

32. Цирлов В., Марков А. Управление рисками — нормативный вакуум информационной безопасности. // Открытые системы, №8, 2007.

33. ГОСТ Р ИСО/МЭК 17799-2005. Практические правила. http://www. vsesost. com/Catalog/2262.shtml

34. Кольдичева Ю. Когда экономить нельзя, но хочется. // Сети/ Network World, №10, 2004. http:/Avww. osp.ru/nets/2004/10/151927/

35. Арзуманов С. В. Оценка эффективности инвестиций в информационную безопасность. // Защита информации. Инсайд, №1, 2005. http://www. inside-zi.ru/pases/1 2005/23.html

36. Чикалев И., Леденко С. Во что обходится информационная безопасность. // БДМ. Банки и деловой мир. 2006. http.VAvww.bdm.ru/arhiv/2006/07/60.htm.

37. Евланов Л. Г., Кутузов В. А. Экспертные оценки в управлении. М.: Экономика, 1978.

38. UML и Rational Rose 2002, Уэнди Боггс, Майкл Боггс, Переводчик М. Кузьмин. М., «ЛОРИ», 2004.

39. Лощинин А. А. Информатизация в административных системах. М., 1999.

40. Лощинин А. А. Технологии информатизации административных органов территорий.// Информатика и вычислительная техника. 1997.

41. Бородюк В. П., Львова А. В. Методика определения оптимального уровня защиты информационной системы по критерию рентабельности // Труды XIV Международной конференции «Информационные средства и технологии». М.: МЭИ, 2006.

42. Бородюк В. П., Крепков И. М., Львова А. В. Результаты анализа функционирования корпоративной компьютерной сети МЭИ (ТУ). // Вестник МЭИ №2, 2009.

43. Львова А. В. Повышение рентабельности системы безопасности бизнеса // Труды XVI Международного научно-технического семинара. Алушта, сентябрь 2007 г. СПб.: ГУАП, 2007.

44. Львова А. В. Как уменьшить затраты на безопасность бизнеса. // Технологии информационного общества: Тезисы докладов московской отраслевой научно-технической конференции. — М.: Инсвязьиздат, 2007.

45. Анализ рисков. Управление рисками. // Jet Info. Информационный бюллетень, №1, 1999.

46. Аудит безопасности информационных систем. // Jet Info. Информационный бюллетень, №9, 1999.

47. Jet Info. Информационный бюллетень. №10, 2000.

48. Анализ защищенности корпоративных автоматизированных систем. // Jet Info. Информационный бюллетень, №7, 2002.

49. Стандарт СоЫТ. // Jet Info. Информационный бюллетень, №1, 2003.

50. Технологии и инструментарий для управления рисками. // Jet Info. Информационный бюллетень, №2, 2003.

51. Профили защиты на основе «Общих критериев». Аналитический обзор. // Jet Info. Информационный бюллетень, №3, 2003.

52. Информационная безопасность: экономические аспекты. // Jet Info. Информационный бюллетень, №10, 2003.

53. Методология оценки безопасности информационных технологий по общим критериям. // Jet Info. Информационный бюллетень, №6, 2004.

54. Потресов Р. Полицейские и воры. // Chip, №4, 2003.

55. Рахман П. А. Краткий технический обзор ИВС МЭИ (ТУ). http://icc. mpei. ги/'documents/00000305. html

56. Теренин А. А. Методика построения защищенной вычислительной сети электронных платежей. Автореферат диссертации на соискание степени кандидата технических наук. Москва, 2004.

57. NIST. Risk Management Guide for Information Technology Systems. lBooz Allen Hamilton Inc. July 2002.

58. Стандарт банка России. СТО БР ИББС-1.1.2007. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности. http://www.cbr.ru/credit/Gubzidocs/stl 1 .pdf.

59. Стандарт банка России. СТО БР ИББС-1.2.2007. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. http://www. cbr. ru/credit/Gubzidocs/st 12.pdf.

60. Орлов С. Управляемая безопасность. // LAN. Журнал сетевых решений, №10, 2005.

61. Покровский П. Оценка информационных рисков. // LAN. Журнал сетевых решений, №10, 2004.

62. Куканова Н. Методика оценки риска ГРИФ 2006 из состава Digital Security Office. http://\vww.dsec. ru/about/articles/erif ar methods/.

63. Лопарев С., Шелупанов А. Анализ инструментальных средств оценки рисков утечки информации в компьютерной сети предприятия. // Вопросы защиты информации, № 4,' 2003.

64. Куканова Н. Описание классификации угроз DSECGT. http: //www, dsec. ru/about/articles/dsecct/

65. Куканова Н. Современные методы и средства анализа и управления рисками информационных систем компаний. http://www, dsec. rufabout/articles/ar compare/

66. Куканова H. Управление инцидентами информационной- безопасности. // Открытые системы, №10, 2006:

67. Оценка безопасности автоматизированных систем. // Jet Info. Информационный бюллетень, № 7, 2005.

68. Доценко С. М. Повышение объективности: исходных данных как альтернатива методу нечеткой логики при оценке риска информационной безопасности. // Защита информации. Конфидент, №5, 2004.

69. Маховенко Е. Б. Теоретико-числовые методы в криптографии. М., «Гелиос АРВ», 2006.

70. Маховенко- Е. Б., Ростовцев А. Г. Исчислительный подход к анализу безопасности, www.ssl.stu.neva.ru/ssl/archieve/calcapproach.pdf

71. Бешелев С. Д., Гурвич Ф. Г. Математико-статистические методы экспертных оценок. М.: Статистика, 1980.

72. Китаев Н. Н. Групповые экспертные оценки. М., «Знание», 1975.

73. Зайдель А. Н. Элементарные оценки ошибок измерений. М., «Наука», 1965.

74. Панкратьев В. Организация конфиденциального делопроизводства. http: //www, bre. ru/securitv/18816. html

75. Копейкин Г., Лапина Н. Психологические- аспекты информационной безопасности организации. // Защита информации. Кофидент, № 3, 2003:

76. Баутов А. Эффективность защиты информации. http: //www, bre. ru/securitv/19165. html

77. Филиппова И. Выбор по расчету. // Инфобизнес онлайн. http://www.bre.ru/securitv/19851.html

78. Козлачков С. Основные направления развития систем информационной безопасности. // Системы безопасности, № 5, 2003.

79. Костров Д. Разграничение информации в современном коммерческом предприятии. // Защита информации. Кофидент, № 2, 2004.

80. Муравьева И. Новый взгляд на службу информационной безопасности компании. http://www. bre. ru/securitv/20033. html

81. Оголюк А., Щеглов А. Технологии построения системы защиты сложных информационных систем. // Экономика и производство, №3, 2001.

82. Беззубцев О. А., Мартынов В. Н., Мартынов В. М. Политика ФАПСИ в области распространения и использования криптосредств. // Защита информации. Конфидент. № 1, 2002.

83. Стивен Браун. Виртуальные частные сети. М.: ЛОРИ, 2001.

84. Пархоменко Н., Яковлев С., Пархоменко П., Мисник Н. Угрозы информационной безопасности. Новые реалии и адекватность классификации. // Защита информации. Конфидент № 6, 2003.

85. Надежность технических систем и техногенный риск. Электронное учебное пособие МЧС России, http://www.obzh.ru/nad/index.html

86. Орлов А. И. Теория принятия решений. Учебное пособие. М.: Издательство «Март», 2004. http://www.aup.ru/books/rn 157/

87. Кевин Мандиа, Крис Просис. Защита от вторжений. Расследование компьютерных преступлений. М.: ЛОРИ, 2005.

88. Стюарт Макклуре, Джоел Скембрэй, Джордж Куртц. Секреты хакеров. Проблемы и решения сетевой защиты. М.: ЛОРИ, 2001.

89. Risk Matrix User^s Guide. Version 2.2. MITRE Corporation, 1999.

90. The Open Group. Plenary Boundaryless Information Flow: Keeping IT Secure. http://archive.opengroup.org/sfo2003/proceedings/plenarymonday/index.htm

91. Thomas R. Peltier. Information Security Risk Analysis. 2001.

92. Christian Mulder. Assessing the Dangers. Finance & Development, December 2002, Volume 39, № 4.http ://www. imf. org/external/pubs/ft/fandd/2002/12/mul der. htm

93. Ernst & Young. Information Security Survey 2001. Russia and the CIS. http://www.cnews.ru/reviews/free/oldcom/security/ey survey.shtml

94. CNews. Средства защиты информации и бизнеса 2008. http://www.cnews.rU/reviews/free/security2008/#l

95. Alan Calder, Steve Watkins. Information Security Risk Management for ISO 27001/is0 17799. IT Governance Publishing, 2007.

96. Bruce Schneier. The Psychology of Security, 2008. http://www.schneier.com/essay-155.pdf

97. Bruce Schneier. E-Mail Security. John Wiley & Sons, 1995.

98. Purser S. A Practical Guide to Managing Information Security. 2004.

99. Participating With Safety. Материалы семинара. http://www.library.cies.ru/online/?bid=223101 .IS Auditing Guideline: Corporate Governance of Information Systems. ISACA Guidelines, 2000.

100. IS Auditing Guideline: Planning the IS Audit. ISACA Guidelines, 2000.

101. IS Auditing Guideline: Using the Work of Other Auditors and Experts. ISACA Guidelines, 2000.

102. F. Cohen. Managing Network Security: Balancing Risk, December 1998. http ://all .net/j ournal/netsec/9 812. html.