Методика аудита информационной безопасности объектов электронной коммерции тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Ерохин, Сергей Сергеевич

  • Ерохин, Сергей Сергеевич
  • кандидат технических науккандидат технических наук
  • 2010, Томск
  • Специальность ВАК РФ05.13.19
  • Количество страниц 341
Ерохин, Сергей Сергеевич. Методика аудита информационной безопасности объектов электронной коммерции: дис. кандидат технических наук: 05.13.19 - Методы и системы защиты информации, информационная безопасность. Томск. 2010. 341 с.

Оглавление диссертации кандидат технических наук Ерохин, Сергей Сергеевич

Введение.

1. Система защиты информации и методики оценки защищенности информационных систем.

1.1. Система защиты информации.

1.2. Оценка защищенности в соответствии с зарубежными стандартами.

1.2.1. Стандарт NIST 800-30.

1.2.2. Стандарт Cobit 4 Edition.

1.2.3. Стандарт BS ISO 27002.

1.3. Оценка защищенности в соответствии с российскими стандартами.

1.3.1. Стандарт ГОСТ Р ИСО\МЭК ТО 13335-3.

1.3.2. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа. Классификация автоматизированных систем и требования к защите.

1.3.3. Профили защиты.

1.4. Инструментальные средства оценки защищенности.

1.4.1. ГРИФ 2005 из состава Digital Security Office.

1.4.2. Экспертная система «АванГард».

1.4.3. RiskWatch.

1.4.4. Метод CRAMM.

1.5. Обоснование цели и задач исследования.

1.6. Основные результаты главы 1.

2. Исследование безопасности информационных систем электронных коммерции.

2.1. Процессный подход при исследовании безопасности.

2.2. Модели безопасности информационных систем электронной коммерции

2.2.1. Модель «Бизнес - потребитель»

2.2.2. Модель «Бизнес - бизнес».

2.2.3. Модель «Бизнес — государство».

2.3. Математический аппарат для оценки защищенности организаций электронной коммерции.

2.3.1. Марковские цепи.

2.3.2. Марковский процесс.

2.4. Методы экспертного оценивания для решения вспомогательных задач оценки защищенности.

2.4.1. Постановка задач экспертного оценивания.

2.4.2. Основы методов экспертного оценивания.

2.4.3. Метод лингвистических термов.

2.4.4. Метод формирования множества элементов оценивания.

2.4.5. Метод парных сравнений.

2.4.6. Метод количественной оценки на непрерывной шкале.

2.5. Основные результаты главы 2.

3. Оценка защищенности с использованием Марковских процессов.

3.1. Описание объекта исследования.

3.2. Идентификация угроз информационной безопасности.

3.2.1. Методика идентификации угроз информационной безопасности.

3.2.2. Прогнозирование и оценка инцидентов по субъективным и объективным дестабилизирующим факторам.

3.3. Основные результаты главы 3.

4. Исследование методики аудита информационной безопасности в автоматизированной информационной системе «Электронные торговые площадки».

4.1. Описание автоматизированной информационной системы «Электронные торговые площадки».

4.1.1. Функциональные требования.

4.1.2. Цель и задачи.

4.1.3. Архитектура подсистемы информационной безопасности.

4.1.4. Объекты автоматизированной информационной системы.

4.1.5. Технические характеристики объектов.

4.1.6. Перечень конфиденциальной информации.

4.2. Идентификация угроз информационной безопасности.

4.2.1. Оценка количества инцидентов информационной безопасности.

4.2.2. Оценка степени влияния угроз.

4.2.3. Оценка вероятности восстановления автоматизированной информационной системы после реализации угроз.

4.2.4. Оценка степени значимости угроз.

4.3. Исследование методики аудита информационной безопасности в автоматизированной информационной системе «Электронные торговые площадки» по одной базовой угрозе информационной безопасности.

4.3.1. Графа автоматизированной информационной системы.

4.3.2. Формальное описание состояний графа.

4.3.3. Матрица переходных вероятностей.

4.3.4. Планирование эксперимента.

4.3.5. Исходные данные для моделирования.

4.4. Исследование методики аудита информационной безопасности в информационной системе по трем базовым угрозам (конфиденциальность, целостность, доступность).

4.4.1. Графа автоматизированной информационной системы.

4.4.2. Формальное описание состояний графа.

4.4.3. Матрица переходных вероятностей.

4.4.4. Исходные данные для моделирования.

4.5. Исследование методики аудита информационной безопасности в информационной системе по всем угрозам.

4.5.1. Граф автоматизированной информационной системы.

4.5.2. Формальное описание состояний графа.

4.5.3. Матрица переходных вероятностей.

4.5.4. Исходные данные для моделирования.

4.6. Исследование методики аудита информационной безопасности в информационной системе по всем угрозам информационной безопасности для классов нарушителей.

4.6.1. Исследование по экспертным оценкам нарушитель В1.

4.6.2. Исследование по экспертным оценкам нарушитель В2.

4.6.3. Исследование по экспертным оценкам нарушитель ВЗ.

4.6.4. Исследование по экспертным оценкам нарушитель Q1.

4.6.5. Исследование по экспертным оценкам нарушитель Q2.

4.6.6. Исследование по экспертным оценкам нарушитель Q3.

4.6.7. Исследование по статистическим данным нарушитель В1.

4.6.8. Исследование по статистическим данным ВЗ.

4.6.9. Исследование по статистическим данным Q1.

4.6.10. Исследование по статистическим данным Q2.

4.6.11. Исследование по статистическим данным Q3.

4.7. Оценка инцидентов информационной безопасности по объективным факторам, воздействующим на информацию.

4.8. Рекомендации по увеличению уровня защищенности.

4.8.1. Рекомендации по увеличению уровня защищенности для нарушителя В1.

4.8.2. Рекомендации по увеличению уровня защищенности для нарушителя В2.

4.8.3. Рекомендации по увеличению уровня защищенности для нарушителя ВЗ.

4.8.4. Рекомендации по увеличению уровня защищенности для нарушителя Q1.

4.8.5. Рекомендации по увеличению уровня защищенности для нарушителя Q2.

4.8.6. Рекомендации по увеличению уровня защищенности для нарушителя Q3.

4.9. Оценка эффекта работы методики.

4.10. Основные результаты главы 4.

Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Введение диссертации (часть автореферата) на тему «Методика аудита информационной безопасности объектов электронной коммерции»

Актуальность темы. В течение последних лет информационная безопасность (ИБ) в жизни общества приобретает одну из важнейших ролей, что связанно, в первую очередь, с глобальной информатизацией практически всех сфер деятельности человека, одной из которых является сфера электронной коммерции. В настоящее время существует большое количество информационных систем (ИС) электронной коммерции (В2В, В2С, B2G), в которых обрабатывается конфиденциальная информация различного рода: финансовые транзакции, персональные данные, сведения о торгах.

К ИС электронной коммерции типа В2В и В2С относятся ИС банковского сектора, так же к системам типа В2С могут относиться интернет магазины, автомобильные аукционы. К системам B2G относятся электронные торговые площадки для нужд государственного сектора.

Требования к безопасности ИС банковского сектора регламентируются серией стандартов Банка России, требования к безопасности интернет магазинов и автомобильных аукционов не регламентируются. Требования к безопасности электронных торговых площадок регламентируются в части использования электронной цифровой подписи для обеспечения целостности и неотказуемости от передаваемой информации.

Наряду с функциями передачи информации в электронных торговых площадках существуют функции по хранению и обработки информации, а так же закрытых ключей шифрования пользователей и персональных данных, требования, к обеспечению которых не регламентируются, следовательно, защитные механизмы отсутствуют.

Таким образом, система защиты электронных торговых площадок должна включать в себя организационные мероприятия, программноаппаратные и технические средства защиты, а так же обеспечивать надежный уровень безопасности обрабатываемых в ней данных.

В развитие темы обеспечения надежного уровня функционирования систем защиты информации внесли большой вклад такие ученые как

B.А. Герасименко, О.Ю. Гаценко, П.Д. Зегжда, Д-П. Зегжда, Л.Г. Осовецкий, Джон Кэррол, Дэвид Кларк, Джон Миллен, A.A. Малюк, A.A. Грушо, И.И. Быстров, B.C. Заборовский, A.A. Шелупанов,

C.П. Расторгуев, однако вопросы повышения надежности функционирования информационных систем в области электронной коммерции рассмотрены не достаточно глубоко.

Объектом исследования является комплексная система обеспечения информационной безопасности в объектах электронной коммерции.

Предметом исследования является аудит информационной безопасности, позволяющий оценить уровень защищенности информационной системы на основе прогнозных оценок.

Цель исследования состоит в разработке методики аудита информационной безопасности, позволяющей получить количественные прогнозные оценки уровня защищенности информационной системы на всем жизненном цикле ее функционирования в условиях воздействия субъективных и объективных дестабилизирующих факторов.

Для достижения поставленной цели необходимо решить ряд следующих задач:

1) провести процессный анализ организаций электронной коммерции как объекта защиты и выполнить анализ подходов аудита и оценки защищенности информационных систем в организациях электронной коммерции;

2) разработать методику проведения аудита информационной безопасности в организациях электронной коммерции;

3) создать методику прогнозирования инцидентов информационной безопасности, вызванных объективными и субъективными дестабилизирующими факторами;

4) сформулировать модель угроз и модель нарушителей для организаций электронной коммерции;

5) провести внедрение в организацию электронной коммерции, исследование разработанной методики и оценить ее эффективность.

В качестве основных методов для решения поставленных задач применялись методы системного анализа, теории вероятности и математической статистики, теории случайных процессов, методы экспертного оценивания.

Научная новизна работы заключается в следующем:

1) развита теория аудита информационной безопасности организаций электронной коммерции, позволяющая проводить оценку значимых угроз и прогнозировать инциденты информационной безопасности;

2) предложена методика оценки инцидентов информационной безопасности, учитывающая объективные и субъективные дестабилизирующие факторы;

3) предложена модель нарушителя информационной безопасности, которая характеризует три класса нарушителей: «имеющих доступ в доверенную зону и к автоматизированной системе», «имеющих доступ в доверенную зону, но не имеющих доступа к автоматизированной системе», «не имеющих доступ в доверенную зону».

Основные положения, выносимые на защиту:

1) методика аудита информационной безопасности позволяющая прогнозировать инциденты информационной безопасности в информационных системах организаций электронной коммерции;

2) методика оценки инцидентов информационной безопасности позволяющая получить значения субъективных и объективных дестабилизирующих факторов, воздействующих на информационную систему;

3) модель нарушителя информационной безопасности, которая характеризует три класса нарушителей с точки зрения легальных прав доступа в доверенную зону и к автоматизированной системе.

Практическая значимость результатов заключается:

1) в повышении надежности функционирования системы защиты информации на протяжении всего жизненного цикла информационной системы, путем снижения количества инцидентов нарушения информационной безопасности;

2) в снижении затрат на систему защиты информации, путем оценки значимых угроз и нарушителей информационной безопасности.

Внедрение результатов диссертационной работы. Методика проведения аудита ИБ внедрена в «Электронных торговых площадках» Администрации Томской области (разработка ООО «Системы автоматизации бизнеса»), в «Научно-производственную фирму «Информационные системы безопасности».

Предложенная методика внедрена в учебный процесс Томского государственного университета систем управления и радиоэлектроники и используется при изучении дисциплин «Программно-аппаратные системы обеспечения информационной безопасности», «Комплексное обеспечение информационной безопасности автоматизированных систем».

Обоснованность и достоверность результатов. Обоснованы теоретические положения, базирующиеся на использовании апробированных методов исследования и корректном применении математического аппарата. Достоверность научных положений, методических разработок, рекомендаций и выводов подтверждается результатами математического моделирования и экспериментальных исследований статистических характеристик, разработанных методик, а также натурными экспериментами.

Апробация работы. Основные положения диссертационного исследования были представлены на следующих конференциях, конкурсах и семинарах:

- Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых «Научная сессия ТУ СУР» (Томск, 20072009 ТУСУР);

- Общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2007 Политехнический университет);

- 3-й научно-технической конференции «Актуальные проблемы безопасности информационных технологий» (Москва, 2007 Московский инженерно-физический институт);

- 5-й научно-практической конференции «Электронные средства и системы управления» (Томск, 2008, ТУСУР);

- Всероссийской научно-практическая конференция «Проблемы информационной безопасности государства, общества и личности» (Томск, 2007, 2008, ТУСУР)

- IEEE семинарах кафедры КИБЭВС «Интеллектуальные системы моделирования, проектирования и управления» (Томск 2007-2010, ТУСУР).

Публикации по теме диссертации

По теме диссертационного исследования имеется 12 публикаций (из них четыре статьи в журналах, рекомендованных ВАК).

Диссертация состоит из введения, четырех глав, заключения, списка используемых источников и 70 приложений. В первой главе приведено описание объекта исследования, даются определения системы защиты информации и оценки защищенности с точки зрения российской и

Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Заключение диссертации по теме «Методы и системы защиты информации, информационная безопасность», Ерохин, Сергей Сергеевич

4.10. Основные результаты главы 4

Глава 4 посвящена исследованию предложенной методики аудита и оценки защищенности на примере АИС «Электронные торговые площадки». В данной главе представлены следующие результаты: исследования методики оценки защищенности АИС «Электронные торговые площадки» для субъективных дестабилизирующих факторов, в соответствии с моделью угроз и моделью нарушителей;

- исследованию методики оценки защищенности АИС «Электронные торговые площадки» для объективных дестабилизирующих факторов.

На основе практических экспериментов доказано, что моделируемые процессы по информационной безопасности, адекватны реально протекающим процессам информационной безопасности. Анализ полученных экспериментальных данных сравнивался со статистическими данными представленными администратором безопасности АИС «Электронные торговые площадки».

Приведено доказательство того, что количество экспертов принимаемых участие в оценки вероятности реализации угроз информационной безопасности является достаточным для получения объективных оценок, так как мнения экспертов являются согласованными (коэффициент конкордации W = 0,87) и коэффициент согласованности является значимым (j? = 180,71 > Хкрип?) •

Даны рекомендации по увеличению уровня защищенности АИС «Электронные торговые площадки» в соответствии с российскими и международными стандартами в области информационной безопасности.

Представлен расчет эффекта разработанной модели после ее внедрения в АИС «Электронные торговые площадки», которая выражается отношением количества инцидентов до внедрения модели и количеством инцидентов после внедрения модели.

Заключение

Главным результатом диссертационного исследования стало решение проблемы повышение надежности системы защиты информации АИС организаций электронной коммерции. В ходе диссертационного исследования были получены следующие результаты.

Проведен анализ существующих стандартов в области информационной безопасности по проведению аудита информационной безопасности и оценки защищенности информационных систем. По результатам анализа были сделаны выводы о том, что большинство стандартов отражают только требования к безопасности информационных систем и не описывают количественные подходы к решению вопросов аудита информационной безопасности и оценки защищенности организаций. А так же не существует стандартов регламентирующих деятельность по оценки защищенности организаций электронной коммерции.

Рассмотрены и проанализированы основные инструментальные средств по оценки защищенности информационных систем. На основании проведенного анализа были сделаны следующие выводы: в качестве параметров оценки защищенности используются либо требования стандартов, либо оценка и анализ рисков; инструментальные средства дают оценку защищенности без учета нарушителей информационной безопасности; инструментальные средства дают оценку защищенности в срезе временного интервала.

Сформированы основные требования к разрабатываемой методике аудита информационной безопасности и оценки защищенности.

Проведен анализ существующих подходов к построению моделей информационной безопасности организаций электронной коммерции и построена обобщенная модель информационных потоков по обеспечению безопасности, а так же ее декомпозиция по направлению аудита информационной безопасности и оценки защищенности.

Выявлены основные проблемные области при проведении аудита информационной безопасности и оценки защищенности, определены методы решения и приведено обоснование выбора математического аппарата для решения поставленных проблем.

Представлены результаты практического применения предлагаемой методики аудита информационной безопасности и оценки защищенности АИС «Электронные торговые площадки».

На основе практических экспериментов доказано, что моделируемые процессы по информационной безопасности, адекватны реально протекающим процессам информационной безопасности. Анализ полученных экспериментальных данных сравнивался со статистическими данными представленными администратором безопасности АИС «Электронные торговые площадки».

Проведена оценка количества инцидентов по информационной безопасности до внедрения разработанной методики и после внедрения. После внедрения методики проведения аудита информационной безопасности и оценки защищенности количество инцидентов по информационной безопасности снизилось на 36 процентов, что показывает эффективность работы предлагаемой методики.

В результате диссертационного исследования решены следующие задачи:

- разработана методика проведения аудита информационной безопасности информационных систем на основе прогнозирования и оценки инцидентов информационной безопасности по субъективным и объективным дестабилизирующим факторам; разработана модель угроз и модель нарушителей информационной безопасности, которая учитывает внутренних (персонал), внутренних (партнеры, клиенты) и внешних нарушителей информационной безопасности, а так же построена таблица позиционирования угроз и нарушителей информационной безопасности; предложен подход оценки коэффициента компетентности экспертов, в основе которого лежат подходы анкетирования, а так же предложена методика оценки согласованности мнений экспертов на основе коэффициента конкордации и оценки его значимости по критерию Пирсона; предложен подход к оценке значимых угроз информационной безопасности путем расширения параметров оценки в методе стратегического анализа SWOT.

Список литературы диссертационного исследования кандидат технических наук Ерохин, Сергей Сергеевич, 2010 год

1. Андронов A.M. Теория вероятности и математическая статистика: -СПб.: Питер, 2004. -461с.

2. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России 15.02.2008г — 54с.

3. Быков В.А. Новые технологии электронного бизнеса и безопасности. М.: Радио и связь. 2002 512с.

4. Бешелев С.Д. Математико-статистические методы экспертных оценок.- М.: Статистика, 1974. 159 с.

5. Вентцель Е.С. Теория случайных процессов и ее инженерные приложения. -М.: Издательский центр «Академия», 2003. —432с.

6. Герасименко В.А. Основы защиты информации. М.: Изд-во МИФИ, 1997. - 537с.

7. ГОСТ Р 50922 Защита информации. Основные термины и определения.- М.: ИПК Издательство стандартов, 2004.-6с.

8. ГОСТ Р 50.1.028-2001 Информационные технологии поддержки жизненного цикла продукции. Методология функционального моделирования.

9. ГОСТ Р ИСО 9000-2001 Система менеджмента качества. Основные положения и словарь. М: Стандарт-информ.

10. ГОСТ Р ИСО\МЭК ТО 13335-3 Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий. М-: Стандарт-информ, 2007.-50с.

11. ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Ведение и общая модель. Госстандарт России.

12. ГОСТ Р ИСО/МЭК 15408-2-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Функциональные требования безопасности. Госстандарт России.

13. ГОСТ Р ИСО/МЭК 15408-3-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Требования доверия к безопасности. Госстандарт России.

14. ГОСТ Р ИСО\МЭК 17799 2005 Информационная технология. Практические правила управления информационной безопасностью. - М: Стандарт-информ, 2006.-55с.

15. ГОСТ Р ИСО\МЭК 27001 2005 Информационная технология. Технология безопасности. Система управления информационной безопасностью. Требования.

16. ГОСТ Р 51275 2006 Защита информации. Объект информатизации. Факторы воздействующие на информацию. Госстандарт России.

17. Деднев М.А. Защита информации в банковском деле и электронном бизнесе. М.: КУДИЦ-ОБРАЗ, 2004. - 512с.

18. Доктрина информационной безопасности Российской Федерации: утв. Приказом Президента РФ от 09.09.2000 № ПР-1985.

19. Домарев В.В. Безопасность информационных технологий. Системный подход: К.: ООО «ТИД ДС», 2004. - 992с.

20. Ерохин С.С. Метод оценки рисков основанный на построении модели угроз и уязвимости. Научная сессия ТУСУР — 2006: Материалы докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученных, Томск 4—7 мая 2006г. 43. 2с.

21. Ерохин С.С. Модель нарушителей для информационных систем электронной коммерции. Научная сессия ТУСУР — 2009: Материалы докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученных, Томск 12-15 мая 2009г. 43. 144-147с.

22. Ерохин С.С. Оценка защищенности объектов информатизации электронной коммерции. Научная сессия ТУСУР — 2009: Материалы докладов Всероссийской научно—технической конференции студентов, аспирантов и молодых ученных, Томск 12-15 мая 2009г. 43. 147-148с.

23. Ерохин С.С. Оценка эффективности контрмер угрозам информационной безопасности с использованием скрытых Марковских процессов. Доклады ТУСУР, 4.1, №2 2008г. 123-124с.

24. Ерохин С.С., Шелупанов A.A., Мицель A.A. Модель стратегического анализа информационной безопасности. Доклады ТУСУР, №2 2007г. 34-^41с.

25. Ерохин С.С., Голубев C.B. Основные этапы оценки защищенности объектов информационных систем. Электронные средства и системы управления. Материалы пятой молодежной научно-практической конференции. Томск:В-Спектр, 2009г. 51-53с.

26. Ерохии С.С. Голубев C.B. Оценка защищенности информационных систем с использованием скрытых Марковских процессов. Научная сессия

27. ТУСУР 2007: Материалы докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученных, Томск 4-7 мая 2007г. 42. — 133—137с.

28. Ерохин С.С., Мещеряков Р.В., Бондарчук С.С. Оценка защищенности информационных систем электронной коммерции. Информация и безопасность. Воронежский государственный технический университет, №2, т. 12, 2009г., 195-206с.

29. Инсайдерские угрозы в России 2009. Электронный ресурс. 2009. -Режим доступа: http://www.securitylab.ru/analytics/368176.php

30. Ищейнов В.Я., Мецатунян М.В. Защита конфиденциальной информации. М.: ФОРУМ, 2009. - 256с.

31. Кемени Дж., снелл Дж. Конечные цепи Маркова: Пер. с англ. М.: Наука, 1970.-271с.

32. Курило А.П. Аудит информационной безопасности. М.: Издательская группа «БДЦ-пресс», 2006. - 304с.

33. Литвак В.Г. Экспертная информация. Методы получения и анализа. — М.: Радио и связь, 1982. -184с.

34. Маковский В.А. Базы знаний (экспертные системы). — М.: Изд-во стандартов, 1993 -37с.

35. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России 14.02.2008г- 12с.

36. Отчет по безопасности Касперского. Основная статистика за 2008 год. Электронный ресурс. — 2009. — Режим доступа: http://www.securelist.com/ru/analvsis/204007644/Kaspersky Security Bulletin Osn ovnaya statistika za 2008 god

37. Отчет по безопасности Касперского. Развитие угроз в 2008 году. Электронный ресурс. 2009. - Режим доступа: http://www.securelist.com/ru/analysis/204007645/Kaspersky Security Bulletin Raz vitieugrozv 2008 godu

38. Петренко C.A. Управление информационными рисками. Экономически оправданная безопасность / Петренко С.А., Симонов C.B. М.: Компания АЙТИ; ДМК Пресс, 2005. - 384с.

39. Петренко A.A. Аудит безопасности Intranet. M.: ДМК Пресс, 2002.416с.

40. Половко A.M. Теория надежности. СПб.: БХВ-Петербург, 2006.704с.

41. Попов Е.В. Экспертные системы. М.: Наука, 1987.-288с.

42. Профиль защиты. Билинговые системы. Центр безопасности информации. Электронный ресурс. 2002. - Режим доступа: http://www.fstec.ru/ licen/13 .doc.

43. Профиль защиты. Клиентские операционные системы. Центр безопасности информации. Электронный ресурс. 2003. - Режим доступа: http://www.fstec.i~u/ licen/06.doc.

44. Профиль защиты. Контролируемый доступ. Центр безопасности информации. Электронный ресурс. 2002. - Режим доступа: http://www.fstec.ru/ licen/0 l.doc.

45. Профиль защиты. Межсетевые экраны корпоративного уровня. Центр безопасности информации. Электронный ресурс. 2002. — Режим доступа: http://www.fstec.ru/ licen/08.doc.

46. Профиль защиты. Межсетевые экраны провайдерского уровня. Центр безопасности информации. Электронный ресурс. 2002. - Режим доступа: http://www.fstec.ru/ licen/09.doc.

47. Профиль защиты. Меточная защита. Центр безопасности информации. Электронный ресурс. — 2002. Режим доступа: http://www.fstec.ru/ licen/02.doc.

48. Профиль защиты. Многоуровневые операционные системы. Центр безопасности информации. Электронный ресурс. — 2002. — Режим доступа: http://www.fstec.ru/ 1icen/05.doc.

49. Профиль защиты. Одноуровневые операционные системы. Центр безопасности информации. Электронный ресурс. — 2002. — Режим доступа: http://www.fstec.ru/ licen/04.doc.

50. Профиль защиты. Операционные системы. Центр безопасности информации. Электронный ресурс. 2003. - Режим доступа: http://www.fstec.ru/ licen/03.doc.

51. Профиль защиты. Система управления базой данных. Центр безопасности информации. Электронный ресурс. — 2002. — Режим доступа: http://www.fstec.ru/licen/07.doc.

52. Профиль защиты. Средства построения виртуальных ЛВС. Центр безопасности информации. Электронный ресурс. — 2002. — Режим доступа: http://www.fstec.ru/ licen/10.doc.

53. Профиль защиты. Средства построения виртуальных частных вычислительных сетей. Центр безопасности информации. Электронный ресурс. 2002. - Режим доступа: http://www.fstec.ni/licen/l 1 .doc.

54. Профиль защиты. Удостоверяющие центры инфраструктура открытых ключей. ЗАО Удостоверяющий центр. Электронный ресурс. — 2003. Режим доступа: http://www.fstec.ru/ licen/12.doc.

55. Профиль защиты. Средства защиты ресурсов компьютера от НСД на начальном этапе загрузки. Гостехкомиссия РФ. Электронный ресурс. — 2002. — Режим доступа: http://www.fstec.ru/ licen/14.doc

56. Пярин В.А., Кузьмины A.C., Смирнов С.Н. Безопасность электронного бизнеса / Под редакцией действительного члена РАЕН д.т.н., проф. В.А. Минаева. М.:Гелиос АРМ, 2002. - 432с.

57. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России 15.02.2008г 23с.

58. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Гостехкомиссия РФ 1992.

59. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия РФ 1997.

60. Рыбина Г.В. Технология проектирования прикладных экспертных систем. М.: МИФИ, 1991. - 104с.

61. Сайт компании «Digital Security». Информационный ресурс — http: //www. dsec.ru/.

62. Серафинович Л.П. Планирование эксперимента. — Томск: Издательство В-Спектр. 2006.-128с.

63. Специальные требования и рекомендации по технической защите конфиденциальной информации. Гостехкомиссия РФ 2003.

64. Тарасенко Ф.П. Прикладной системный анализ: — Томск: Изд-во Том. ун-та, 2004. 186с.

65. Уотермен Д. Руководство по экспертным системам. — М.: Мир, 1989. —388с.

66. Штобова С.Д. Введение в теорию нечетких множеств и нечеткую логику. Электронный ресурс. М.: 2001-2008г. Режим доступа: http://matlab.exponenta.ru\fuzzvlogic\bookl\index.php

67. Щербаков А.Ю. Современная компьютерная безопасность. Практические аспекты. М.: Книжный мир, 2009. - 352

68. Электронная документация к системе «АванГард» 2002 (CD-ROM).

69. BS 7799 Part 1. Code of Practice for Information Security Management.

70. BS 7799 Part 2. Information Security management Specification for information security management system.

71. BS 7799 Part 3. Information Security management Guidelines for information security risk management.

72. BSI. IT Baseline Protection Manual. Standard security safeguards.

73. CobiT: Control Objectives. ISACA, 4 Edition, 2007.

74. CobiT: Executive Summary. ISACA, 4 Edition, 2007.

75. Draft Federal Information Processing Standards Publication 183, Integration definition for function modeling (IDEF 0) 1993.

76. Draft Federal Information Processing Standards Publication 184, Integration definition for function modeling (IDEF IX) 1993.

77. ISOUEC 13335-1: 2004 Information technology. Guidelines for the management of IT security. Concepts and models for information and communication technology security management.

78. ISOUEC 13335-2: 1997 Information technology Guidelines for the management of IT Security - Part 2: Managing and planning IT Security.

79. ISOUEC 13335-3: 1998 Information technology Guidelines for the management of IT Security - Part 3: Techniques for the management of IT Security.

80. ISOUEC 13335-4: 2000 Information technology Guidelines for the management of IT Security - Part 4: Selection of safeguards.

81. ISOUEC 13335-5: 2001 Information technology Guidelines for the management of IT Security - Part 5: Management guidance on network security.

82. ISOUEC 17799:2000 Information technology Security techniques - Code of practice for information security management.

83. ISOUEC 17799:2005 Information technology Security techniques - Code of practice for information security management.

84. ISOUEC 27001:2005 Information technology Security techniques -Information security management system - Requirements.1. Q/b

85. ISOMEC 27002:2005 Information technology Security techniques - Code of practice for information security management.

86. Information about Risk Analysis Software «CRAMM» Электронный ресурс. — 2007. Режим доступа: http://www.cramm.com.

87. Information about Risk Analysis Software «RiskWatch» Электронный ресурс. 2007. - Режим доступа: http://www.riskwatch.com.

88. NIST 800-30. Risk Management Guide for Information Technology System.

89. Payment Card Industry Data Security Standard 1.1. Security Standards Council 2008.

90. Payment Card Industry Data Security Standard 1.1. Security Audit Procedures. Security Standards Council 2008.

91. Министерство образования и науки Российской Федерации Федеральное агентство по образованию

92. Томский государственный университет систем управления и радиоэлектроники1. ТУСУР)

93. МЕТОДИКА АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБЪЕКТОВ ЭЛЕКТРОННОЙ КОММЕРЦИИ1. Том 20513.19 Методы и системы защиты информации, информационнаябезопасность

94. Диссертация на соискание ученой степени кандидата технических наук042.01 0 587 2 9'"1. Ерохин Сергей Сергеевич

95. Научный руководитель доктор технических наук профессор А.А. Шелупанов1. Томск 20101. Оглавление

Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.