Методические и программные средства анализа информационных рисков в деятельности органов государственного управления тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Лысов, Александр Сергеевич

Реализация прогрессивного потенциала информатизации в политической, экономической и социальной сферах невозможна без внедрения новых информационных технологий в государственный сектор, имеющий решающее значение для устойчивого развития страны. Одним из сдерживающих факторов в процессе совершенствования государственного управления на основе информационно-технологических инноваций является возникновение угроз информационной безопасности. Для решения задач защиты информации создана нормативно-правовая база (федеральные законы, указы Президента РФ, государственные стандарты и специализированные документы инструктивного характера), регулирующая процессы обеспечения информационной безопасности.

Основные организационные и технические требования к обеспечению информационной безопасности заложены в Федеральном законе «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ, ГОСТе Р ИСО/МЭК 15408-2002 и руководящих документах ФСТЭК России [8], [17-19], [21]. В них определены механизмы учета защищаемых информационных ресурсов, порядок аттестации объектов информатизации [22], процедуры сертификации средств защиты [15-16] и др. Нормативные правовые документы регулируют ключевые аспекты деятельности по обеспечению информационной безопасности, акцентируя внимание на проведении отдельных мероприятий. Однако это не решает всего комплекса практических задач, связанных с защитой информации, например, в органах государственного управления. Как отмечено в литературных источниках [65], [71], в отечественных нормативно-правовых актах уделено мало внимания вопросам обеспечения целостности и доступности информации, аудита информационной безопасности, механизмам оценки эффективности защиты информации в организации в целом, классификации активов организации по критериям стоимости, выбору наиболее целесообразной подсистемы защиты информации по параметрам «цена-эффективность». Реализация этих вопросов возложена на специалистов подразделений по защите информации, что не гарантирует обеспечения эффективной безопасности информации.

В работах отечественных исследователей проблематики информационной безопасности (A.A. Грушо, П.Д. Зегжда, A.A. Малюк, A.A. Стрельцов, A.A. Шелупанов) отмечается необходимость и актуальность системного подхода к защите информации, обеспечивающего обоснованность, целостность и последовательность реализуемых мер, их максимальную эффективность. Такой подход позволяет систематизировать нормативно-правовые требования к информационной безопасности и разработать на их основе научные практико-ориентированные методики, технологии и программы оптимизации деятельности по защите информации.

В целях создания эффективной системы деятельности по защите информации необходимо исследовать информационные активы и инфраструктуру, а также предложить конкретные меры по обеспечению информационной безопасности. Это возможно выполнить на основе анализа информационных рисков.

При оптимизации деятельности по защите информации необходимо определить информационные потоки и алгоритмы, построить модели деятельности по обеспечению информационной безопасности. Таким образом, создаются условия для автоматизации ряда функциональных элементов деятельности по защите информации, т.е. реализации требований к информационной безопасности в виде программного комплекса (ПК). Использование такого программного комплекса позволит специалистам подразделений по защите информации эффективно управлять задачами поддержания режима конфиденциальности (секретности), вести мониторинг состояния информационных ресурсов, их целостности и доступности, а также осуществлять контрольные мероприятия.

В условиях динамичного развития информационных технологий, их усложнения и возникновения новых угроз информационной безопасности, решающим фактором обеспечения информационной безопасности становится эффективная деятельность по защите информации. В настоящее время ощущается дефицит научно обоснованных методик и систем показателей для оценки эффективности этой деятельности, позволяющих определить экономическую целесообразность инвестиций в информационную безопасность.

Учитывая важное значение деятельности по защите информации в органах государственного управления, задачи анализа информационных рисков должны включать построение надежных и защищенных систем информационной безопасности национальных информационных ресурсов.

Объект исследования - информационные риски в деятельности органов государственного управления.

Предмет исследования - методические и программные средства анализа информационных рисков в деятельности органов государственного управления.

Цель исследования - разработка научно обоснованной методики и автоматизированной программы анализа информационных рисков в деятельности органов государственного управления.

Задачи исследования. Достижение цели исследования потребовало решения следующих задач:

1. Провести анализ и обобщить информационные риски в деятельности органов государственного управления.

2. Разработать научно обоснованную методику анализа информационных рисков в деятельности органов государственного управления.

3. Сформулировать методику автоматизации деятельности по защите информации в органах государственного управления.

4. Разработать и апробировать программный комплекс автоматизации деятельности по защите информации, включающий анализ информационных рисков в деятельности органов государственного управления.

5. Определить показатели оценки эффективности деятельности по защите информации в органах государственного управления и оценить эту деятельность.

Методы исследования. Для решения поставленных задач использовались методы системного анализа, теории вероятностей и теории множеств. При разработке программного комплекса использовались методы объектно-ориентированного программирования.

Основные положения, выносимые на защиту:

1. Методика анализа информационных рисков.

2. Программный комплекс автоматизации деятельности по защите информации в органах государственного управления.

3. Показатели оценки эффективности деятельности по защите информации в органах государственного управления.

Научная новизна работы заключается в следующем:

• разработанная методика анализа информационных рисков отличается от аналогов тем, что позволяет выполнять проверку согласованности результатов оценки рисков на основе метода анализа иерархий;

• разработанный способ получения экспертных оценок отличается тем, что позволяет добиваться более точных результатов при его использовании экспертами разной квалификации за счет применения метода парных сравнений;

• предложенный набор показателей оценки эффективности деятельности по защите информации в органах государственного управления позволяет обосновать необходимость инвестиций в информационную безопасность.

Практическая значимость работы. Разработанный программный комплекс автоматизации деятельности по защите информации, основывающийся на методике анализа информационных рисков, позволяет повысить эффективность деятельности по защите информации в органах государственного управления.

Методика анализа информационных рисков может быть использована для определения необходимых мер по обеспечению информационной безопасности в любой организации, где необходимо выполнять проверку согласованности результатов оценки рисков и существует потребность максимально упростить процесс оценки рисков.

Внедрение результатов диссертации. Программный комплекс автоматизации деятельности по защите информации, реализующий также методику анализа информационных рисков, внедрен в главном военно-мобилизационном управлении Тюменской области.

Методика анализа информационных рисков используется в учебном процессе. Она включена в лабораторный практикум «Анализ информационных рисков в небольшой организации» кафедры информационной безопасности Тюменского государственного университета и используется при изучении дисциплины «Управление рисками» кафедры комплексной информационной безопасности электронно-вычислительных систем Томского государственного университета систем управления и радиоэлектроники.

Достоверность положений и выводов исследования подтверждена положительными результатами эксперимента и внедрения программного комплекса автоматизации деятельности по защите информации органов государственного управления.

Апробация работы. Основные положения диссертационного исследования были представлены на следующих конференциях, конкурсах и семинарах:

• научных семинарах кафедры информационной безопасности (Тюмень, 2005, 2006, 2007, ТюмГУ);

• 6-м Всероссийском конкурсе студентов и аспирантов «SIBINFO-2006» (Томск, 2006, ТУ СУР);

• Международной научно-практической конференции «Безопасность информационного пространства» (Екатеринбург, 2006, УрГУПС);

• 8-й Международной научно-практической конференции «Информационная безопасность» (Таганрог, 2006, Таганрогский государственный радиотехнический университет);

• Всероссийской научно-практической конференции «Научная сессия ТУ СУР-2007» (Томск, 2007, ТУСУР);

• 4-й Международной научно-практической конференции «Исследование, разработка и применение высоких технологий в промышленности» (Санкт-Петербург, 2007, ИОА СО РАН);

• 2-й Международной научной конференции «Современные информационные системы, проблемы и тенденции развития» (Туапсе, 2007, Харьковский национальный университет радиоэлектроники);

• 4-й Международной научно-практической конференции «Электронные средства и системы управления. Опыт инновационного развития» (Томск, 2007, ТУСУР);

• IEEE семинарах кафедры КИБЭВС «Интеллектуальные системы моделирования, проектирования и управления» (Томск, 2007, ТУСУР).

Результаты диссертационного исследования обсуждались на заседаниях кафедры информационной безопасности Тюменского государственного университета и кафедры КИБЭВС Томского государственного университета систем управления и радиоэлектроники.

Публикации. Основные положения диссертации опубликованы в 4 статьях (из них 2 статьи в журналах из списка ВАК) и 6 тезисах докладов на конференциях.

Объем и структура диссертационной работы. Диссертация состоит из введения, четырех глав, заключения и списка литературы. Основной текст диссертационной работы изложен на 152 страницах и включает 25 рисунков и 10 таблиц. Список литературы содержит 133 источника, в том числе 34 на иностранном языке. Объем приложений составляет 9 страницы.

136 Выводы

На основании результатов внедрения программного комплекса автоматизации деятельности по защите информации были получены зависимости параметров оценки эффективности деятельности по защите информации от времени. Проанализировав эти зависимости, можно сделать следующие выводы:

• на всех графиках, описывающих зависимости процента наличия документов по защите информации от времени наблюдается увеличение значения большинства параметров оценки, что свидетельствует об эффективности внедренного программного комплекса автоматизации;

• неизменность некоторых показателей оценки эффективности деятельности в течение времени эксперимента свидетельствует о наличии социальных, экономических и других факторов, которые также могут вносить вклад в деятельность по защите информации, например, приоритеты в оформлении документов по защите информации;

• уменьшение значения информационного риска как для ресурсов и служб, так и для организации в целом свидетельствует об уменьшении величины возможного денежного ущерба вследствие реализации угроз информационной безопасности.

ЗАКЛЮЧЕНИЕ

Увеличение темпов информатизации в органах государственного управления выдвигает все новые требования к эффективности деятельности по защите информации. К сожалению, отечественная нормативно-правовая база по защите информации не успевает учитывать все практические аспекты обеспечения информационной безопасности, поэтому для обеспечения эффективной деятельности по защите информации в органах государственного управления необходимо дополнять требования по защите информации, указанные в нормативно-правовых актах, информацией, получаемой на основе анализа информационных рисков.

На основе анализа информационных рисков в органах государственного управления удается классифицировать по критерию стоимости информационные активы и инфраструктуру, определить возможные угрозы информационной безопасности и выбрать необходимые практические меры по обеспечению защиты информации. Осуществление периодического анализа информационных рисков позволит специалистам подразделений по защите информации иметь целостное представление о состоянии информационной безопасности в организации и сконцентрировать свое внимание на ключевых моментах обеспечения защиты информации.

В настоящее время вопросам анализа информационных рисков в органах государственного управления уделяется недостаточное внимание. В диссертационной работе представлены научно обоснованные методические и программные средства в области анализа информационных рисков имеющие существенное значение для оптимизации деятельности по защите информации в органах государственного управления.

В ходе диссертационного исследования решены следующие задачи:

• сформулированы требования к анализу информационных рисков в органах государственного управления;

• разработана методика анализа информационных рисков в органах государственного управления;

• сформулирована методика автоматизации деятельности по защите информации в органах государственного управления;

• разработан и апробирован программный комплекс автоматизации деятельности по защите информации органов государственного управления;

• предложена система показателей и выполнена оценка эффективности деятельности по защите информации в органах государственного управления.

В результате проведенных исследований были получены следующие результаты:

1. Определено, что ключевыми требованиями к процессу анализа информационных рисков в органах государственного управления являются: простота процесса анализа рисков, возможность проверки согласованности ответов экспертов и возможность определения спектра учитываемых угроз.

2. Разработана методика анализа информационных рисков, учитывающая специфику деятельности органов государственного управления, позволяющая выполнять проверку согласованности ответов экспертов, осуществляющих оценку рисков. Алгоритм методики обеспечивает уменьшение расхождений в ответах экспертов как минимум в 2 раза по сравнению с подобной методикой, что свидетельствует об увеличении точности получаемых данных о параметрах угроз.

3. Реализован способ получения экспертных оценок на базе метода анализа иерархий, который позволяет получать в 2 раза более точные результаты в сравнении со способами прямой оценки параметров угроз при использовании экспертами разной квалификации, что позволяет увеличить область применения методики анализа информационных рисков.

4. Способ определения мер по уменьшению рисков угроз информационной безопасности, реализованный в методике анализа рисков, позволяет указывать необходимые практические меры по обеспечению защиты информации.

5. Разработан программный комплекс автоматизации, позволяющий специалистам подразделений по защите информации эффективно управлять задачами поддержания режима информационной безопасности и иметь целостную картину состояния информационной безопасности в органе государственного управления.

6. Сформулированы показатели оценки эффективности защиты информации в органе государственного управления, которые могут быть использованы также для оценки эффективности деятельности подразделений по защите информации.

7. На основании анализа эффективности деятельности по защите информации, проведенного в нескольких органах государственного управления, подтверждена эффективность внедренного программного комплекса автоматизации.

Решение задачи анализа информационных рисков в органах государственного управления позволило повысить эффективность деятельности по защите информации за счет определения наиболее важных активов в инфраструктуре организации и описания необходимых мер по снижению рисков от реализации угроз информационной безопасности.

1. ГОСТ Р 51141-98. Делопроизводство и архивное дело. Термины и определения. Введ. 1998-02-27. - М.: ИПК Издательство стандартов, 1998.

2. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Введ. 2002-0404. - М.: ИПК Издательство стандартов, 2000.

3. ГОСТ Р ИСО/МЭК 15408-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Введ. 2002-04-04. - М.: ИПК Издательство стандартов, 2002.

4. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. -Введ. 2005-12-29. -М.: ИПК Издательство стандартов, 2005.

5. ГОСТ Р 52636-2006. Электронная история болезни. Общие положения. -Введ. 2006-12-27. -М.: ИПК Издательство стандартов, 2006.

6. Доктрина информационной безопасности Российской Федерации. М.: Ось-89, 2004.-47 с.

7. Конституция Российской Федерации: принята всенар. голосованием 12.12.1993. СПб.: Манускрипт, 1996. - 47 с.

8. Об информатизации, информационных технологиях и защите информации: Федеральный закон РФ от 27.07.2006 № 149-ФЗ // Российская газета. 2006. - 29 июля.

9. Об обязательном экземпляре документов: Федеральный закон РФ от 29.12.1994 № 77-ФЗ // Российская газета. 2006. - 22 декабря.

10. Об утверждении перечня сведений конфиденциального характера: Указ Президента РФ от 06.03.1997 № 188 // Собрание законодательства РФ. 2005. №39. ст. 3951.

11. Положение о сертификации средств защиты информации (Утверждено постановлением Правительства Российской Федерации от 26 июня 1995 года № 608).

12. Положение о сертификации средств защиты информации по требованиям безопасности информации (Утверждено приказом председателя Гостехкомиссии России от 27 октября 1995 года№ 199).

13. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации, 1992.

14. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения, 1992.

15. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, 1992.

16. Руководящий документ. Положение по аттестации объектов информатизации по требованиям безопасности информации, 1994.

17. Стандарт Банка России. СТО БР ИББС 1.0 - 2006. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения. - Введ. 2007-05-01. // Вестник Банка России. - 2007. - № 29 (973).

18. Типовое положение об испытательной лаборатории (Утверждено приказом председателя Гостехкомиссии России от 5 января 1996 года №3..

19. Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации (Утверждено приказом председателя Гостехкомиссии России от 5 января 1996 года № 3).

20. Типовое положение об органе по сертификации средств защиты информации по требованиям безопасности информации (Утверждено приказом председателя Гостехкомиссии России от 5 января 1996 года №3..

21. Анодина, Н.Н. Документооборот в организации: практ. пособие / Н.Н. Анодина. 3-е изд., перераб. и доп. - М.: Омега-Л, 2007. - 184 е.: ил., табл.

22. Антонов, А.В. Системный анализ. Учеб. для вузов / А.В. Антонов. — М.: Высшая школа, 2004. 454 е.: ил.

23. Астахов, А. Общее описание процедуры аттестации автоматизированных систем по требованиям информационной безопасности / А. Астахов // Jet Info. 2000. - № 11 (90).

24. Баканова, Е. Особенности отраслевого документооборота / Е. Баканова // Журнал CNews. 2007. - № 5. - С. 88 -92.

25. Баутов, А. Экономический взгляд на проблемы информационной безопасности / А. Баутов // Открытые системы. 2002. - № 2.

26. Брегг, Р. Безопасность сети на основе Microsoft Windows Server 2003. Учебный курс Microsoft: Пер. с англ. М.: Издательско-торговый дом «Русская Редакция»; СПб.: «Питер», 2006. - 672 е.: ил.

27. Бурдин, O.A. Система автоматизации управления информационной безопасностью больших организационных систем / О.А Бурдин, A.A. Кононов // Проблемы управления информационной безопасностью: Сб. трудов. М.: Едиториал УРСС, 2002. - С. 54-58.

28. Галатенко, В.А. Основы информационной безопасности. Учеб. пособие / В.А. Галатеко под ред. член-кор. РАН В.Б. Бетелина / 2 изд., испр. М.: ИНТУИТ.РУ «Интернет университет Информационных технологий», 2004.-264 с.

29. Галатенко, В.А. Оценка безопасности автоматизированных систем / В.А. Галатенко // Jet Info. 2005. - № 7 (146).

30. Галатенко, В.А. Стандарты информационной безопасности / В.А. Галатенко. М.: Изд-во «Интернет-университет информационных технологий - ИНТУИТ.ру», 2004. - 328 е.: ил.

31. Герасименко, В.А. Защита информации в автоматизированных системах обработки данных / В.А. Герасименко. — М.: Энергоатомиздат, 1994 ^

32. Глобальное исследование по информационной безопасности 2004 года, проведенное Ernst & Young Электронный ресурс. 2004. - Режим доступа: http://www.ey.com/globaL/content.nsf/Russia/AABS-GlobalInformationSecuritySurvey

33. Гмурман, В.Е. Теория вероятностей и математическая статистика: Учеб. пособие для вузов. / В.Е. Гмурман 8-е изд., стер. - М.: Высшая школа, 2002.-479 е.: ил.

34. Грушо, A.A. Теоретические основы защиты информации / A.A. Грушо, Е.Е. Тимонина. М.: Изд-во Агенства «Яхтсмен», 1996. - 188 с.

35. Гузик, С. Стандарт CobiT. Управление и аудит информационных технологий. Особенности проведения внешнего аудита ИТ / С. Гузик // Jet Info.-2003.-№ 1 (116).

36. Данилин, А., Слюсаренко, А. Архитектура и стратегия. «Инь» и «янь» информационных технологий / А. Данилин, А. Слюсаренко. М.:

37. Интернет-университет информационных технологий ИНТУИТ.ру, 2005. - 504 с.

38. Девянин, П.Н. Модели безопасности компьютерных систем: Учеб. пособие для студ. высш. учеб. заведений / П.Н. Девянин. М.: Издательский центр «Академия», 2005. - 144 с.

39. Домарев, В.В. Безопасность информационных технологий. Методология создания СЗИ / В.В. Домарев. -М.: Диасофт, 2004. 688 е.: ил.

40. Информация о продуктах компании Информзащита Электронный ресурс. 2007. - Режим доступа: http://www.infosec.ru.

41. Информация о продуктах компании Digital Security Электронный ресурс. 2007. - Режим доступа: http://www.dsec.ru.

42. Информация о сертификации СУБД MS SQL Server 2000 Электронный ресурс. 2005. - Режим доступа: http://www.microsoft.com/Rus/NewsЯssues/2005/05/MicrosoftFederal.mspx.

43. Информация о статусе сертификатов продуктов компании Microsoft Электронный ресурс. 2007. - Режим доступа: http://www.altx.ru/.

44. Информация о системе автоматизации управления безопасностью «АванГард» Электронный ресурс. 2007. - Режим доступа: http://ocenkariskov.narod.ru/.

45. Информация о федеральной целевой программе «Электронная Россия» Электронный ресурс. 2007. - Режим доступа: http://www.e-rus.ru/.

46. Казанцев, С .Я. Правовое обеспечение информационной безопасности: учеб. пособие для студ. высш. учеб. заведений / С.Я. Казанцев, О.Э. Згадзай, P.M. Оболенский и др.; под ред. С.Я. Казанцева. М.: Издательский центр «Академия», 2005. — 240 с.

47. Кононов, A.A., Бурдин, O.A. Аксиоматика оценки рисков нарушения информационной безопасности компьютеризированных организационных систем / A.A. Кононов, O.A. Бурдин // Проблемы информационной безопасности. Компьютерные системы / Санкт

48. Петербургский государственный технический университет. 2002. № 1. С. 27-30.

49. Конявский, В.А. Основы понимания феномена электронного обмена информацией / В.А. Конявский, В.А. Гадасин. Минск, 2004. - 327 с.

50. Лысов, A.C. Повышения эффективности работы отделов по защите информации // Математическое и компьютерное моделирование: Сб. науч. тр. Вып. 8. Тюмень: Издательство «Вектор Бук», 2006 г. С. 121123.

51. Лысов, A.C. Оценка информационных рисков в государственных учреждениях // Математическое и компьютерное моделирование: Сб. науч. тр. Вып. 9. Тюмень: Издательство «Вектор Бук», 2007 г. С. 114-118.

52. Лысов, A.C. Методы повышения эффективности работы отделов по защите информации // Информационная безопасность: Материалы VIII Международной науч.-практ. конф. Таганрог: ТРТУ, 2006 г. с. 140 — 141.

53. Лысов, A.C. Архитектура системы автоматизации управления политикой безопасности для государственных учреждений // Безопасность информационного пространства: материалы междунар. науч.-практ. Конф. Екатеринбург: ГОУ ВПО УрГУПС, 2006 г. С. 94-95.

54. Лысов, A.C. Анализ информационных рисков в государственных учреждениях // Современные информационные системы. Проблемы и тенденции развития: Материалы 2-й Междунар. науч. конф. Харьков: ХНУРЕ, 2007. С. 419 - 420.

55. Лысов, A.C. Методика автоматизации задач документооборота: информации по аттестации ОИ и сертификации средств защиты от НСД // Безопасность информационных технологий. № 4. Москва: Издательство МИФИ, 2007 г. С. 55-59.

56. Лысов, A.C. Технология анализа информационных рисков на основе метода анализа иерархий // Вестник Тюменского государственного университета. № 5. Тюмень: Издательство Тюменского государственного университета, 2007 г. С. 106-111.

57. Лысов, A.C. Задача автоматизации работы отделов по защите информации в государственных учреждениях // Электронные средства и системы управления: Докл. Межд. науч.-практ. конф. Томск, 2007. - С. 178-180.

58. Маклаков, C.B. BPwin и ERwin: CASE-средства для разработки информационных систем /C.B. Маклаков. М.: Диалог-Мифи, 1999. -295 с.

59. Малюк, A.A. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. пособие для вузов / A.A. Малюк. М.: Горячая линия-Телеком, 2004. - 280 е.: ил.

60. Медведовский, И.Д. Современные методы и средства анализа и контроля рисков информационных систем компаний Электронный ресурс. / И.Д. Медведовский. 2004. - Режим доступа: http://www.dsec.ru/aboutyarticles/.

61. Методы и средства работы с документами: Сб. тр. Института системного анализа РАН / Под. ред. В.Л. Арлазарова, Н.Е. Емельянова. М.: Едиториал УРСС, 2000. - 376 с.

62. Патий, Е. Построение эффективного документооборота Электронный ресурс. / Е. Патий. 2007. - Режим доступа: http://www.citcity.rU/l 5090/.

63. Петраков, A.B. Основы практической защиты информации. Учеб. пособие / A.B. Петраков. 4-е изд., доп. М.: СОЛОН-Пресс, 2005. -384 е.: ил.

64. Петренко, A.A. Аудит безопасности Intranet / A.A. Петренко, С.А. Петренко. -М.: ДМК Пресс, 2002. 416 е.: ил.

65. Петренко, С.А. Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, C.B. Симонов. М.: Компания АйТи; ДМК Пресс, 2004. - 384 е.: ил.

66. Петров, A.A. Компьютерная безопасность. Криптографические методы защиты / A.A. Петров. М: ДМК, 2000. - 448 е.: ил.

67. Покровский, П. Оценка информационных рисков / П. Покровский // Журнал LAN. 2004. - № 10.

68. Практическое применение международного стандарта безопасности информационных систем ISO 17799 Электронный ресурс. 2003. -Электронный учебный курс компании Digital Security (CD-ROM).

69. Саати, Т. Принятие решений: Метод анализа иерархий: Пер. с англ. / Т. Саати. М.: Радио и связь, 1993. - 278 е.: ил.

70. Сёмкин, С.Н. Основы организационного обеспечения информационной безопасности объектов информатизации: Учебное пособие / С.Н. Сёмкин,

71. Э.В. Беляков, C.B. Гребенев, В.И. Козачок. М.: Гелиос АРВ, 2005. - 192 с.

72. Сертификаты и центры сертификации в ОС Windows 2003 Электронный ресурс. 2007. - Режим доступа: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ru/library/ ServerHelp/4ee4fe7e-136f-43fd-8bd3-f3d9766d82c9.mspx?mfr=true

73. Симонов, С. Аудит безопасности информационных систем / С. Симонов // Jet Info.-1999.-№9(76).

74. Симонов, C.B. Методология анализа рисков в информационных системах / C.B. Симонов // Конфидент. Защита информации. № 1. - 2001 с. 72-76.

75. Снытников, A.A. Лицензирование и сертификации в области защиты информации / A.A. Снытников. М.: Гелиос АРВ, 2003. - 192 с.

76. Старостин, Е. Автоматизация документооборота в органах государственной власти Электронный ресурс. / Е. Старостин. — 2006. — Режим доступа: http://www.iemag.ru/?ID=607308.

77. Столлингс, В. Основы защиты сетей. Приложения и стандарты: Пер. с англ / В. Столлингс. М.: Издательский дом «Вильяме», 2002. - 432 е.: ил.

78. Стрельцов, A.A. Обеспечение информационной безопасности России. Теоретические и методологические основы / Под ред. В.А. Садовничего, В.П., Шерстюка / A.A. Стрельцов. М.: МЦМНО, 2002. - 296 с.

79. Сурмин, Ю.П. Теория систем и системный анализ: Учеб. пособие / Ю.П. Сурмин. К.: МАУП, 2003. - 368 с.

80. Тарасюк, М.В. Защищенные информационные технологии. Проектирование и применение / М.В. Тарасюк. М.: Солон-Пресс, 2004. - 192 е.: ил.

81. Фаулер, M. UML. Основы: Пер. с англ. / М. Фаулер, К. Скотт. Спб: Символ-Плюс, 2002. - 192 с. ил.

82. Федотова, Д.Э. CASE-технологии: практикум / Д.Э. Федотова, Ю.Д. Семенов, К.Н. Чижик. М.: Горячая линия Телеком, 2005. - 160 е.: ил.

83. Шумский, А.А. Системный анализ в защите информации: учеб. пособие для студ. вузов, обучающихся по специальностям в обл. информ. безопасности / А.А. Шумский, А.А. Шелупанов. М.: Гелиос АРВ, 2005.- 224 с.

84. Электронная документация к системе «КриптоПро CSP» Электронныйресурс. 2005. (CD-ROM). 96.Электронная документация к системе «КУБ» Электронный ресурс]. — 2006. (CD-ROM).

85. Электронная документация к системе «Digital Security Office 2006» Электронный ресурс. 2006. (CD-ROM).

86. Are you ready for a BS7799 audit? DISC PD 3003, 1998.

87. CISWG Phase II Report of Best Practices and Metrics Teams. Subcommittee on Technology, Information Policy, Intergovernmental Relations & the Census, 2004.

88. CobiT: Control Objectives. ISACA, 4th Edition, 2007.

89. CobiT: Executive Summary. ISACA, 4th Edition, 2007.

90. Code of practice for IT management. DISC PD 3005, 1998.

91. Common Criteria for Information Technology Security Evaluation, Version 2.2, Revision 256 CCIMB-2004-01-001, 2004.

92. Department of Defense Trusted Computer System Evaluation Criteria (TCSEC). National Computer Security Center, December 1985. DOD-5200.28-STD, Orange Book.

93. Guide to BS7799 auditing. DISC PD 3004, 1998.

94. Guide to BS7799 risk assessment and management. DICS PD 3002, 1998.

95. Government Information Security Reform Act (GISRA) Электронный ресурс. 2002. - Режим доступа: http://www.sstc-online.org/Proceedings/2002/SpkrPDFS/TuesTrac/p697.pdf.

96. Information about Risk Analysis Software «COBRA» Электронный ресурс. 2007. — Режим доступа: http://www.riskworld.net/.

97. Information about Risk Analysis Software «CRAMM» Электронный ресурс. 2007. — Режим доступа: http://www.cramm.com/.

98. Information about Risk Analysis Software «MethodWare» Электронный ресурс. 2007. - Режим доступа: http://www.methodware.com/products/riskmanagement.shtml.

99. Information about Risk Analysis Software «RA2 art of risk» Электронный ресурс. 2007. - Режим доступа: http://www.aexis.de/RA2Tool.htm.

100. Information about Risk Analysis Software «RiskWatch» Электронный ресурс. 2007. - Режим доступа: http://www.riskwatch.com.

101. Information technology — Code of practice for Information security management / International Standard ISO/IEC 17799, 2005 (E).

102. Information security management. Part 2. Specification for information security management systems. British Standard BS7799, Part 2, 1998.

103. ISSEA Metrics. -ISSEA, CS1/05-0045, 2005.

104. ISSPCS Practitioner Reference F: Personnel Security Functional Discipline. ISSPCS, 2005.

105. IT Baseline protection manual. Standard BSI Электронный ресурс. 2004. - Режим доступа: http://www.bsi.de/english/publications/index.htm.

106. IT Security Metrics Workshop: A Practical Approach to Measuring Information Security: Measuring Security at the System Level. — Federal Computer Security Program Managers Forum, 2002.

107. Kahraman E. Evaluating IT security performance with quantifiable metrics Электронный ресурс. 2005. - Режим flocTyna:http://dsv.su.se/en/seclab/pages/pdf-files/2005-x-245.pdf.

108. KPMG «Information Security Survey» Электронный ресурс. 2002. - Режим доступа: http://www.kpmg.com/microsite/informationsecurity/isssecleameaandrep.ht ml.

109. Lennon E. В. «IT Security Metrics», NIST USA Электронный ресурс. 2004. — Режим доступа: http://www.itl.nist.gov/lab/bulletns/bltnaug03.htm.

110. Method Implementation Guide Version 2.0. CMU/SEI, 2001.

111. NCSC. Trusted Network Interpretation (TNI). National Computer Security Center, 31 July 1987/ NCSC-TG-005, Version-1, Red Book.

112. Octave criteria, version 2.0. Networked Systems Survivability Program. Technical report CMU/SEI-2001-TR-016, 2001.

113. Ozier W. Risk Metrics Needed For IT Security Электронный ресурс. — 2003. — Режим доступа: http://www.securitypronews.com/securitypronews-24-20030805RiskMetricsNeededforITSecurity.html.

114. Preparing for BS7799 certification. DISC PD 3001, 1998.

115. Recommended Security Controls for Federal Information Systems. -NIST Special Publication 800-53, 2005.

116. Risk Management Guide for Information Technology Systems NIST 800-30 Электронный ресурс. 2002. - Режим доступа: http://csrc.nist.gov/publications/PubsSPs.html.

117. Savola R. Information Security Evaluation based on Requirements, Metrics and Evidence Information Электронный ресурс. 2007. - Режим доступа: http://www.vtt.fi/inf/pdf/publications/2007/P629.pdf.

118. Security assessment of operational systems / 2nd Proposed Draft Technical Report, PDTR 19791, 2004.

119. Security Metrics Guide for Information Technology Systems. NIST Special Publication 800-55; 2003.

120. Security Self-Assessment Guide for Information Technology Systems. -NIST Special Publication 800-26, 2001.

121. Systems Security Engineering Capability Maturity Model, (SSE-CMM Version 3) Электронный ресурс. 2003. - Режим доступа: http://www.sse-cmm.org/model/ssecmmv2final.pdf.

122. Перечень приложений к диссертационной работе