Методы управления информационной безопасностью организации на основе анализа изменений облачных сред тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Чемёркин, Юрий Сергеевич

ВВЕДЕНИЕ

Современный этап развития общества характеризуется интенсивным развитием сред облачных вычислений (СОВ), в том числе публичных1. Развитие СОВ затрагивает в свою очередь развитие систем управления доступом (ОСУД). ОСУД являются одним из сервисов СОВ и представляют собой набор механизмов и средств управления безопасностью СОВ.

Вопросам организации управления доступом посвящено большое количество работ. Теоретическая и методологическая база заложена и продолжает формироваться такими отечественными учёными как Грушо A.A. [256-265], Тимонина Е.Е. [256-263], Зегжда Д.П. [266-267], Зегжда П.Д. [268], Герасименко В.А. [269], Петренко С.А. [270], зарубежными - МакЛин Д. [271], Садху Р. [272]. При рассмотрении вопросов управления безопасностью ИС можно выделить несколько подходов: нормативный, эксплуатационный, адаптированные для СОВ решения, научные подходы. Необходимо отметить недостатки подходов и решений при их применении в случае СОВ. Это ориентированность на известные классические информационные системы {ИС) и механизмы управления безопасностью ИС, неактуальность решения, низкая интегрируемость в СОВ и ориентированность на нелегитимное вмешательство в ИС. Ключевым является отсутствие путей выявления причин низкой защищённости и эффективности принятых мер. Отличительной особенностью публичных СОВ являются неконтролируемые пользователями сервисов СОВ изменения со стороны вендора. Эти изменения носят легитимный и постоянный характер, затрагивая функциональные возможности СОВ и ОСУД. Подобные аспекты меняют условия функционирования СОВ в сравнении с классическими (необлачными) ИС.

Такое положение создаёт предпосылки для более детальной проработки подходов к управлению ОСУД и возлагается на потребителя. В обычных условиях, не связанных с СОВ, потребителем решается задача исследования ИС

1 Под термином СОВ подразумеваются только публичные модели развёртывания СОВ, если явно не конкретизируется другая модель развёртывания СОВ

и проверки политик безопасности на предмет их невыполнения и включает (в отношении ИС и компонент ИС):

1. анализ решений по управлению доступом

2. построение моделей безопасности общего и частного характера

3. разработка методов, позволяющих оценить уровень защищённости Решение задачи управления ИБ в условиях СОВ известными способами

может приводить как к неточностям, так и явным ошибкам в отношении состояния защищённости ИС в организации. Это в свою очередь повышает риск возникновения угроз безопасности. Известные методы, используемые для решения задач управления ИБ, базируются на допущении слабо изменяющейся во времени версионности компонентов ИС и возможности фиксирования определённого состояния ИС, и в них не заложена возможность контроля легитимных действий извне. Эти методы с одной стороны не позволяют задействовать потенциальные возможности ОСУД для обеспечения защищённости облачной среды, с другой - могут привнести ошибки в её верифицированное состояние. В работе защищённость публичных облачных сред будет определяться как степень соответствия нормативным требованиям, реализованных существующими механизмами безопасности (ОСУД), с учётом выбранных возможностей публичных облачных сред. Под уровнем защищённости понимается показатель, который характеризуется реализованными мерами безопасности, снижающими угрозы безопасности СОВ. При оценке защищённости важно учитывать разную значимость мер, применимость, недостаток и избыток мер с учётом нормативных требований и существующих функциональных возможностей СОВ.

Исходя из сказанного, для управления безопасностью публичных облачных сред (для потребителя) требуется разработка новых подходов, опирающихся на принцип сохранения и поддержания требуемого уровня защищённости СОВ, с учётом изменений, возникающих со стороны вендора. Реализация данного принципа решается потребителем облачных услуг в рамках модели управления безопасностью СОВ согласно известным стандартам и предполагает:

• адаптацию подходов нормативных документов к конкретным облачным решениям и их возможностям.

• формирование моделей безопасности к облачным сервисам с учётом набора предъявляемых требований к возможностям этих сервисов;

• реализацию нормативных мер посредством ОСУД;

• оценку эффективности принятых мер с последующим определением необходимости корректировки мер безопасности;

• оценку происходящих динамических изменений в облачной среде различного характера (функционального, нормативного и конфигурационного) с целью адаптации параметров безопасности к изменениям

Таким образом, тема исследования, направленная на решение данной задачи, является актуальной и определяет цели, задачи и основные направления исследования.

Научная задача - обоснование и разработка методов управления безопасностью в условиях легитимных динамических изменений облачных сред Цель исследования - повышение уровня защищённости СОВ путём выявления динамических изменений СОВ, в т.ч. легитимного характера.

Объект исследования - облачная система управления доступом (ОСУД) СОВ, представляющая собой встроенные механизмы безопасности СОВ.

Предмет исследования - методы управления безопасностью СОВ, представляющие собой средство поддержки принятия решений в условиях динамических изменений СОВ.

В рамках диссертации были решены следующие задачи:

1. Проведён анализ существующих стандартов по управлению безопасностью СОВ с целью выявления особенностей применения требований стандартов к технологиям СОВ.

2. Проведён анализ встроенных механизмов безопасности СОВ с целью построения сервисо-зависимых моделей безопасности сервисов СОВ

3. Разработан способ комплексирования подходов к управлению безопасностью СОВ, учитывающий особенности действий вендора, приводящих к изменениям в инфраструктуре СОВ

4. Разработаны методы расчёта показателей значимости мер безопасности и количественной оценки выполнения мер безопасности

5. Разработаны методы оценки эффективности реализации мер безопасности и выбора оптимального варианта конфигурации мер безопасности Методы исследований поставленных задач в работе включали теорию

множеств, теорию вероятностей, теорию многокритериального выбора, методы системного анализа, оценки частных и групповых показателей, математической логики и статистики и экспериментальные методы исследования. Основные положения, выносимые на защиту:

1. Способ комплексирования подходов к управлению безопасностью СОВ обладает возможностью поддерживать заданный уровень защищённости СОВ с учётом происходящих в ней динамических изменений

2. Методы количественной оценки выполнения мер безопасности дают возможность учитывать специфику СОВ и актуальность угроз на основе независимой экспертной оценки на базе классификаторов CVSS

3. Методы оценки эффективности применяемых мер и выбора оптимального варианта конфигурации мер безопасности позволяют определять ошибки в наборе мер и снижать объём работы по конфигурации безопасности СОВ

Научная новизна исследований

В результате проведённых исследований получены следующие новые научные результаты:

1. Предлагаемый способ комплексирования подходов, в отличие от известных подходов, объединяет и расширяет известные подходы (функциональный, нормативный, эксплуатационный) к управлению безопасностью, а также данный комплекс подходов предлагается

2 Под мерами поднимаются программно-аппаратные меры, представленные требованиями стандартов и реализуемые в СОВ политиками разрешений/запретов («permissions»)

адаптированным к публичным СОВ, что позволяет исправить недостатки известных подходов.

2. Разработанные методы количественной оценки уровня выполнения мер безопасности (требований и разрешений) отличаются от известных тем, что полученная оценка характеризует уровень защищённости СОВ исходя из задействованных и необходимых функциональных возможностей. При расчёте уровня защищённости может быть получена предварительная (нормативная оценка - требований) и фактическая (конфигурационная/эксплуатационная, разрешения) оценки состояния

Л

защищённости. Оценки, получаемые для классических и неклассических4 случаев, позволяют выявлять наборы как недостающих, так и избыточных мер безопасности.

3. Разработанные методы оценки эффективности выполнения мер безопасности отличаются от известных тем, что для расчёта могут быть использованы отношения предварительной и фактической оценки состояния защищённости, отношения изменений набора мер и снижения показателей рисков до и после внедрения мер. Это позволяет выявлять ошибки в наборах мер, возникающих при корректировке набора мер ввиду возникающих изменений. Разработанные методы выбора оптимального варианта конфигурации мер безопасности отличаются от известных тем, что критерии выбора оптимального варианта опираются не на экспертные значения, являющиеся приоритетом конфигурации набора мер безопасности, а определяются значимостью (весом) меры. Также отдельно приведены возможные варианты оптимального переконфигурации с учётом возможных вариантов изменений, возникающих по разным причинам.

3 Классический случай оценки защищённости - набор применённых мер безопасности соответствуют набору необходимых к реализации мер и соотносится с набором задействованных возможностей, который соответствует полному набору доступных возможностей.

Неклассический случай оценки защищённости - набор применённых мер безопасности не соответствуют набору необходимых к реализации мер в большую или меньшую сторону и набор задействованных возможностей не соответствует полному набору доступных возможностей

Практическая значимость полученных результатов заключается в следующем:

1. Разработанный способ комплексирования может быть использован в качестве базы для автоматизации процессов управления безопасностью облачных сред для программных решений класса «управление осведомлённостью сотрудников в области информационной безопасности»

2. Разработанные методы позволяют выполнять оценку состояния защищённости СОВ и выявлять ошибки и нарушения безопасности, с последующей оценкой эффективности конфигурации СОВ

3. Разработанные методики использования способа и методов могут быть использованы для проведения работ по анализу защищённости СОВ на предмет предъявляемых к ней требований рассмотренных стандартов

Теоретические и практические результаты были использованы в проектах, разработанных и реализованных Компанией ЗАО «Перспективный Мониторинг» при разработке в виде:

1. Модели управления безопасностью публичных СОВ и методики оценки защищённости СОВ и оценки эффективности реализованных мер безопасности

2. Эскизных проектов программного обеспечения класса «Security Awareness» и «Décision Support System» с использованием разработанных методов оценки уровня защищённости и алгоритма принятия решений.

Теоретические и практические результаты были использованы в проектах, реализованных Компанией ООО «Сертифицированные Информационные Системы» в виде:

1. Рекомендаций по выбору вариантов конфигурации мер безопасности при использовании различных публичных облачных сред, включая решения управления корпоративной мобильностью (Enterprise Mobile Management, ЕММ), являющихся разновидностью облачных сред

2. Методики проведения анализа безопасности публичных облачных сред в рамках рассмотренных существующих нормативных документов и вендорных решений публичных облачных сред

Теоретические и практические результаты были использованы в процессе проектирования информационных систем ФГУП «ЦентрИнформ» в виде

1. Программного комплекса, управляющего применением средств защиты корпоративной облачной среды, предоставляющей инфраструктуры и платформу как услуги5, построенной на основе решений с открытым исходным кодом (Openshift Origin и Openstack);

2. Программных модулей, контролирующих применение средств защиты информации в указанных информационных системах, применяемых в пределах принятой на предприятии системы мониторинга на основе программного комплекса Zenoss.

Обоснованность и достоверность результатов работы подтверждается применением корректных исходных данных, проверкой непротиворечивости и адекватности положений и выводов, аналитическими и экспериментальными исследованиями, апробацией результатов исследования в докладах и публикациях на российских и зарубежных научных конференциях, а также положительными результатами внедрения разработанного решения в практику.

Публикации. По результатам проведённых по теме диссертационной работы исследований без соавторов выполнено 29 публикаций, в т.ч. в журналах, рекомендуемых ВАК - 7 и Scopus - 3. Апробация работы

Результаты практической апробации подтверждают адекватность и корректность разработанных методов. Результаты и основные положения диссертационного исследования докладывались и нашли одобрение на 24 зарубежных и отечественных конференциях и конгрессах, в т.ч. 7 научных.

1. Восьмая выставка-конференция по ИБ InfoSecurity Russia, 2011, Moscow, Russia

2. Девятая выставка-конференция по ИБ InfoSecurity Russia, 2012, Moscow, Russia

3. The 2nd South East European Regional Forum on Cybersecurity and Cybercrime, 2012, Sofia, Bulgaria

5 Infrastructure as a Service, IaaS, и Platform as a Service, Paas

4. The 7th International Conference for Internet Technology and Secured Transactions (ICITST), 2012, London, UK

5. The 2nd Cyber Times International Journal of Technology & Management (CTICon), 2013, New Delhi, India

6. The 3rd International Security Conference, Nullcon Goa, 2013, Goa, India

7. Второй международный форум Positive Hack Days, 2013, Moscow, Russia

8. The 11th Information Security Conference CONFidence, 2013, Krakow, Poland

9. The 2nd International Conference on Information Society (i-Society), 2013, Toronto, Canada

10. Второй форум по безопасности корпоративной мобильной связи 2013 (The 2nd Enterprise Mobile Security Forum 2013), Moscow, Russia

11. The 1st Balkan Computer Congress (BalCCon), 2013, Novi Sad, Serbia

12. The 2nd Security Intelligence DeepINTEL Conference, 2013, Carinthia, Austria

13. The 5th International Conference on Internet Technologies & Applications (ITA), 2013, Wrexham, UK

14. The Security Industrial Conference and Exhibition Cyber Intelligence Europe, 2013, Brussels, Belgium

15. The 4th Information Security Conference Hacker Halted, 2013, Atlanta, USA

16. The 10th International Security Conference Hacktivity, 2013, Budapest, Hungary

17. The 3rd Cyber Times International Journal of Technology & Management (CTICon), 2013, New Delhi, India

18. The 5th International Security Conference, Hackfest, 2013, Quebec, Canada

19. Международная научно-техническая конференция «НАУКА, ТЕХНИКА, ИННОВАЦИИ 2014», март 2014, Брянск, Россия

20. The 11th International Security Conference, Notacon, 2014, Cleveland, USA

21. The 2nd International Security Conference, HackMiami, 2014, Maimi, USA

22. The 5th Information Security Conference Hacker Halted, 2014, Atlanta, USA

23. The 5th International Security Conference, DefCamp, 2014, Bucharest, Romania

24. Международная научно-техническая конференция «НАУКА, ТЕХНИКА, ИННОВАЦИИ 2015», апрель 2015, Брянск, Россия

Структура и объем работы

Диссертационная работа состоит из введения, четырёх разделов с выводами, заключения, списка литературы и 3 приложений. Содержание изложено на 253 страницах, включает 13 рисунков и графиков, 35 таблиц, список литературы из 272 наименований. Общий объем работы 253 стр., из них приложения и список литературы - 90 листов.

ГЛАВА 1. АКТУАЛЬНЫЕ ЗАДАЧИ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ ОБЛАЧНЫХ СРЕД

В данной главе будут рассмотрены основные задачи обеспечения безопасности облачных сред, архитектура безопасности облачных сред, включая отдельные сервисы, в т.ч. облачную систему управления доступом. Также будут рассмотрены меры обеспечения безопасности, основные аспекты управления безопасности с позиции применимых типов мер безопасности и поставлена задача диссертационной работы

1.1. Задачи обеспечения защищённости облачных сред

На сегодняшний день наблюдается активное применение сред облачных

вычислений (СОВ, или облачных сред) для решения задач в различных сферах.

СОВ присуще свойство гетерогенности, что делает СОВ в большей степени

уязвимыми, нежели чем каждый отдельный сервис или технология. Вопросам

управления ИБ посвящены работы российских [202-218] и зарубежных авторов

[219, 220]. При этом, управление ИБ ИС рассматривается через подходы и

методы, оринетированные на различные задачи. Можно выделить среди

предлагаемых решений несколько подходов, включая их адаптации:

нормативный, эксплуатационный, адаптированные для конкретных ИС

решения, научные подходы. В этих подходах заложена идея управления

безопасностью СОВ в условиях воздействий на ИС, возникающих извне и

изнутри, как нелегитимных, так и легитимных (эксплуатационных).

Рассматривая, хостинг сервисы, к которым относятся в том числе СОВ, следует

отметить, что в подобных условиях воздействия не ограничиваются только

воздействиями злоумышленников или пользователей. Здесь появляется ещё

один участник, представленный вендором или поставщиком услуг. Изменения,

возникающие в результате его действий, могут быть значительны, равно как и

действия злоумышленником, но при этом они не являются нелегитимными.

Наоборот, его действия являются легитимными в рамках соглашения с

конечным пользователем. Также, традиционно исследуются ИС, состояние

которых можно зафиксировать и верифицировать, рассматривая как эталонное

состояние. Хостинг сервисы не предоставляют контроля к ряду

17

функциональных возможностей виртуальных объектов СОВ либо могут изменять их ввиду различных причин. Например, это может быть обновление безопасности, относящееся к драйверу, в котором была найдена уязвимость или же изменение набора настроек безопасности. Подобные изменения происходят не на прикладном уровне, доступном пользователю СОВ, а на более низком уровне. Следствием таких изменений может являться отмена верифицированного ранее состояния. В известных работах, управление безопасностью ИС подразумевает уточнение набора настроек безопасности при появлении, изменении, удалении объектов или субъектов доступа. Эти изменения являются эксплуатационными, однако в ИС, предоставляемых на хостинг основне, кроме эксплуатационных изменений, возникают и так называемые функциональные изменения. Функциональные изменения представляют собой изменения набора возможностей (функциональных возможностей) СОВ как в целом, так и на уровне сервиса, в том числе относящиеся к механизмам безопасности. Решая задачи управления в таком ключе, необходимо проводить аудит не только в отношении правил доступа, но настроек безопасности более высокого уровня, а также оценивать правила доступа на предмет ошибок ввиду возникших изменений. Говоря об управлении, невозможно обойти вопрос оценки эффективности создаваемых решений ИБ. В последние несколько лет появилось достаточно большое число работ, в которых рассматривается эта проблема [223-236, 237]. В этих работах решается задача уменьшения потерь от возникновения рисков до приемлемого уровня. В рассматриваемом случае СОВ вопрос оптимизации также является важным. Более того, возникающие изменения могут привести к пересмотору всей политики безопасности при серьёзных изменениях со стороны вендора. В отдельных случаях вопрос пересмотра реализованных мер безопасности стоит не только в отношении прикладного уровня, но также нормативного (стандартов), так как изменения носят в первую очередь функциональный характер.

Классические6 СЗИ возникли в результате совокупного использования набора технических средств и организационных мероприятий. Часто отдельные решения плохо сочетаются между собой ввиду их специфики. Напротив, СОВ обладает хорошо структурированным, проработанным сервисом ОСУД, объединившим различные компоненты в единое целое, и минимизировав негативное влияние элементов друг на друга. Стоит отметить вопрос управления безопасностью публичными СОВ с использованием сторонних средств безопасности. Не все традиционные средства защиты здесь применимы в полной мере; в частности, антивирусные средства (AV), средства детектирования уязвимостей и вторжений (IDS, IPS), межсетевые экраны (Firewall). Это связано с отсутствием на данный момент сторонних решений задействующих функциональность СОВ, ввиду чего использование встроенного решения сервиса ОСУД оказывается более эффективно для управления безопасностью СОВ. Решение задач обеспечения защищённости публичных облачных сред находится на начальном этапе, и подходы к их решению недостаточно проработаны. Также, они направлены на разрешение аналогичных вопросов применительно к частным СОВ. Такие решения имеют свою специфику и сходство с классическими ИС больше нежели с публичными облачными средами. В связи с этим, актуальным является обеспечение стабильного состояния СОВ через сервис ОСУД в соответствии с требованиями стандартов и корпоративной политики в меняющихся условиях окружения.

1.2. Нарушения безопасности в облачных средах

Отличительной особенностью системы защиты является возможность проведения сбора информации о происходящих в инфраструктуре событиях. Это позволяет проводить анализ самих инцидентов и выявлять имеющиеся проблемы, устранять их и локализовывать слабые места инфраструктуры. Другими словами, наличие слабых мест СОВ показывает, что система защиты функционирует образом, не соответствующим предъявляемым требованиям к нему, в связи с некорректной её конфигурацией. Об актуальности этого вопроса

6 Под классическими ИС различного характера понимаются необлачные решения

свидетельствуют различные публикаци [2-15], [22-24], [28], [32], [49], [51-69], [73-74], [76-82], [86-87], [89-93], [98], [101-105], [112-127], [192-193], [190-191], [197]. Так как задача определения свойств, присущих нарушениям защищённости СОВ, имеет целью выявление ключевых механизмов нарушения, то достижение цели позволяет реализовать эффективный способ обеспечения и поддержания защищённости СОВ на приемлемом уровне, осуществлять прогнозирование возникновения угроз и потенциальных нарушений в перспективе.

Можно выделить следующие группы уязвимостей, или слабых мест, СОВ:

• Архитектурные уязвимости СОВ. Представляют собой набор серьёзных недоработок СОВ, исправление которых крайне затруднительно без серьёзного изменения в функционировании СОВ как инфраструктуры. Исправляются на стороне вендора и применяются автоматически.

• Программные уязвимости СОВ. Представляют собой набор неточностей, связанных с реализацией СОВ и её составляющих компонентов, включая стороннее ПО. Исправляются на стороне вендора и применяются автоматически, в связи с чем неочевиден сам факт наличия, если только об этом не уведомляет сам вендор. Вопрос исправления также зависит напрямую от вендора СОВ.

• Конфигурационные уязвимости СОВ. Представляют собой набор как явных, так и неявных ошибок конфигурации параметров систему управления ОСУД, включая дополнительное ПО, для которого так или иначе задаются политики разрешения. Характерной особенностью этой группы уязвимостей является неочевидность самого факта наличия таких ошибок. Не зависят от вендора.

• Аутентификационные уязвимости СОВ. Представляют собой отдельный класс уязвимостей, связанных с ошибками в управлении доступом, включая федеративный доступ. Если ошибка в пределах СОВ, то исправляется путём выявления ошибок реконфигурации; в противном случае исправление ошибок может зависеть от сторонних провайдеров и вендоров.

Необходимо рассмотреть основные причины подобных уязвимостей СОВ. В большинстве случаев это связано с предконфигурированием по умолчанию со стороны вендоров СОВ

• Неточности и ошибки конфигурирования политик безопасности СОВ и политики безопасности «из коробки». Свойственны не только СОВ, но и классическим ИС и, как правило, приводят к потенциальным брешам в обеспечении защищённости СОВ. Количество растёт с числом конфигураций и их комбинаций.

• Высокая степень автоматизация процессов и упрощение выполняемых действий «из коробки». Понижает гранулярность управления процессами и увеличивает возможность возникновения риска реализации угроз.

• Гетерогенная среда и система «из коробки». Появление и активное распространение СОВ привело к совмещению ряда разнородных технологий и предоставлению большего количества сервисов СОВ. Это требует применения мер безопасности с учётом особенностей технологий.

• Соответствие новым стандартам и практиками для СОВ (Compliance) «из коробки». На сегодняшний день практически все облачные вендоры имеют сертификаты соответствия тому или иному стандарту, в т.ч. новому CS A STAR [21]. Известно, что стандарты декларирует требования в общем виде и большинство из них не рассматривает особенности различных технологий. Облачные стандарты, напротив, имеют целью сформировать СОВ-зависимый набор требований. Однако, на данный момент, количество совмещаемых технологий со стороны СОВ превышает на порядок количество технологий, для которых сформулированы требования. В таких стандартах слабо учётены зависимости различных сервисов и типов СОВ, а также неочевидным образом распределены обязанности между

вендорами и потребителями услуг СОВ по выполнению задач, направленных на обеспечение защищённости СОВ.

Рассмотрение причин позволяет выделить соответствующие группы задач, решение которых является наиболее актуальным:

• Минимизация влияния внешнего фактора (со стороны вендора) для конфигурирования системы управления доступом ОСУД. С учётом специфики различных сервисов СОВ, а также достаточно большого количества параметров, относящихся к ОСУД, влияние внешнего фактора должно быть уменьшено до приемлего уровня. Приемлимым можно считать тот уровень, при котором возможность использования авторизированных средств управления этими параметрами достаточна для поддержания определённого уровня защищённости СОВ.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. "Amazon AWS CAI Questionnaire". [Электронный ресурс]. Режим доступа: https://aws.amazon.com/security/ (дата обращения 04.09.2013)

2. "Analyzing Complex Systems. The BlackBerry Case", [Электронный ресурс]. Режим доступа: http://www.blackhat.com/presentations/bh-europe-06/bh-eu-06-fx.pdf/ (дата обращения 20.03.2013)

3. "Android and Security", [Электронный ресурс]. Режим доступа: Online resource, http://googlemobile.blogspot.ru/2012/02/android-and-security.html (дата обращения 07.03.2013)

4. "Android Forensics Study of Password and Pattern Lock Protection", ForensicFocus, [Электронный ресурс]. Режим доступа: http://articles.forensicfocus.com/2011/ll/18/android-forensics-study-of-password-and-pattern-lock-protection/ (дата обращения 02.02.2012)

5. "Attack Surface Analysis of BlackBerry Devices" Symantec Whitepaper, [Электронный ресурс]. Режим доступа: http ://www. Symantec. com/avcenter/reference/attack. surface. analysis. of .blackberry. device s.pdf (дата обращения 20.03.2013)

6. "AWS Abuses reports (EC2, other AWS services)" [Электронный ресурс]. Режим доступа: https://portal.aws.amazon.com/gp/aws/html-forms-controller/contactus/AWSAbuse (дата обращения 16.02.2013)

7. "AWS Securtiy Bulletins" [Электронный ресурс]. Режим доступа: https://aws.amazon.com/security/security-bulletins/ (дата обращения 16.02.2013)

8. "AWS Vulnerability Reporting" [Электронный ресурс]. Режим доступа: https://aws.amazon.com/security/vulnerability-reporting/ (дата обращения 16.02.2013)

9. "AWS Vulnerability/Pentesting Request Form" [Электронный ресурс]. Режим доступа: https://portal.aws.amazon.com/gp/aws/html-forms-controller/contactus/AWSSecurityPenTestRequest (дата обращения 16.02.2013)

10. "BlackBerry PlayBook Security: Part one" NCC Group Whitepaper, [Электронный ресурс]. Режим доступа: http ://www.nccgroup. com/media/1843 6/blackberry_playbook_security._part_one.pdf (дата обращения 27.03.2013)

11. "BlackBerry PlayBook Security: Part two BlackBerry Bridge" NCC Group Whitepaper, [Электронный ресурс]. Режим доступа: http ://www.nccgroup. com/media/1843 9/blackberry_playbook_security._part_two_blackb erry_bridge.pdf (дата обращения 27.03.2013)

12. "Blackberry security: Ripe for the picking?" Symantec Whitepaper, [Электронный ресурс]. Режим доступа: http://ru.scribd.com/doc/44941192/Blackberry-Security-Ripe-for-the-Picking (дата обращения 20.03.2013)

13. "BlackBerry software ruled not safe enough for essential government work" [Электронный ресурс]. Режим доступа: http://sto-strategy.com/blog/2013/3/23/blackberry-software-ruled-not-safe-enough-for-essential-government-work (дата обращения 23.03.2013)

14. "Blackjacking - Owning the Enterprise via Blackberry", [Электронный ресурс]. Режим доступа: https://www.defcon.org/images/defcon-14/dc-14-presentations/DC-14-X30n.pdf (дата обращения 20.03.2013)

15. "Cloud Security Alliance, Top Threats to Cloud Computing in 2010" [Электронный ресурс]. Режим доступа:

165

http://www.cloudsecurityalliance.Org/topthreats/csathreats.vl.0 (дата обращения 01.09.2012)

16. "CSA Cloud Controls Matrix vl.l" [Электронный ресурс]. Режим доступа: cloudsecurityalliance.org/research/cai/ (дата обращения 15.01.2013)

17. "CSA Cloud Controls Matrix vl.3" [Электронный ресурс]. Режим доступа: https://cloudsecurityalliance.org/research/cai/ (дата обращения 22.01.2013)

18. "CSA Consensus Assessments Initiative Questionnaire vl.3" / CSA Cloud Controls Matrix vl.3" [Электронный ресурс]. Режим доступа: https cloudsecurityalliance.org/wp-content/uploads/2012/03/Microsoft-Azure-CAIQ-vl. 1-2012-03-25.zip (дата обращения 15.01.2013)

19. "CSA Consensus Assessments Initiative Questionnaire vl.3" [Электронный ресурс]. Режим доступа: https://cloudsecurityalliance.org/research/cai/ (дата обращения 22.12.2012)

20. "CSA Security, Trust & Assurance Registry (STAR)". [Электронный ресурс]. Режим доступа: https://cloudsecurityalliance.org/star/?r=1339#_registry (дата обращения 06.07.2013)

21. "CSA Top Threats Cloud Computing VI.О" [Электронный ресурс]. Режим доступа: https://cloudsecurityalliance.org/topthreats/csathreats.vl. 0.pdf (дата обращения 06.03.2013)

22. "CSA The Notorious Nine Cloud Computing Top Threats in 2013" [Электронный ресурс]. Режим доступа: downloads. cloudsecurityalliance. org/initiative s/top_threats/The_Notorious_Nine_Cloud_ Computing_Top_Threats_in_2013.pdf (дата обращения 06.03.2013)

23. "DingleBerry jailbreak", [Электронный ресурс]. Режим доступа: Электронный ресурс, Режим доступа: http://www.engadget.com/2011/12/05/dingleberry-jailbreak-hits-beta-frees-playbooks-until-tomorrow/ (дата обращения 27.03.2013)

24. "Dissecting Android's Bouncer", [Электронный ресурс]. Режим доступа: Online resource, https://blog.duosecurity.com/2012/06/dissecting-androids-bouncer/ (дата обращения 07.03.2013)

25. "FireHost CAI Questionnaire". [Электронный ресурс]. Режим доступа: https://cloudsecurityalliance.org/wp-content/uploads/2012/09/FireHost-CAI-vl. 1-2012-09-13.zip (дата обращения 16.10.2013)

26. "Guidelines on Security and Privacy in Public Cloud Computing", [Электронный ресурс]. Режим доступа: csrc.nist.gov/publications/nistpubs/800-144/SP800- 144.pdf (дата обращения 04.02.2013)

27. "HP Software-as-a-Service CAI Questionnaire". [Электронный ресурс]. Режим доступа: https://cloudsecurityalliance.org/wp-content/uploads/2013/09/HP-Software-as-a-Service-CAIQ-v2-2013-09-09.zip (дата обращения 28.11.2013)

28. "iOS Security", Apple Security Whitepaper [Электронный ресурс]. Режим доступа: Электронный ресурс, Режим доступа: http://images.apple.com/iphone/business/docs/iOS_Security_Octl2.pdf (дата обращения 02-April-2013)

29. "MaaS360 by Fiberlink CAI Questionnaire". [Электронный ресурс]. Режим доступа: https://cloudsecurityalliance.org/wp-content/uploads/2013/0l/MaaS360-CCM-vl.3-2012-12-31.zip (дата обращения 24.02.2013)

30. "Microsoft Office 365 CAI Questionnaire". [Электронный ресурс]. Режим доступа: https://cloudsecurityalliance.org/wp-content/uploads/2011/12/Microsoft-Office365-CAIQ-vl.l-2011-10-19.zip (дата обращения 05.08.2013)

31. "Microsoft Windows Azure CAI Questionnaire". [Электронный ресурс]. Режим доступа: https://downloads.cloudsecurityalliance.org/star/self-assessment/StandardResponsetoRequestforlnformationWindowsAzureSecurityPrivacy.do сх (дата обращения 10.03.2013)

32. "Mobile Threat Report", Lookout Security Report [Электронный ресурс]. Режим доступа: Online resource, http://lookout.weightshift.com/mobile-threat-report (дата обращения 06.03.2013)

33. "NIST Cloud Computing Synopsis and Recommendations. SP 800-146", [Электронный ресурс]. Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-146/sp800-146.pdf (дата обращения 23.01.2013)

34. "Information technology ~ Security techniques ~ Evaluation criteria for IT security -- Part 1: Introduction and general model, [Электронный ресурс]. Режим доступа:

http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber= 50341 (дата обращения 10.12.2013)

35. "NIST Definition of Cloud Computing. SP 800-145", [Электронный ресурс]. Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf (дата обращения 13.09.2013)

36. "NIST Guide for Assessing the Security Controls in Federal Information Systems and Organizations", [Электронный ресурс]. Режим доступа: Building Effective Security Assessment Plans. SP 800-53 A Rev. 1", [Электронный ресурс]. Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-53A-revl/sp800-53A-revl-final.pdf (дата обращения 11.12.2013)

37. "NIST Guide to Bluetooth Security. SP 800-121 Rev. 1", [Электронный ресурс]. Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-121-revl/sp800-121_revl.pdf (дата обращения 27.02.2013)

38. "NIST Guide to Security for Full Virtualization Technologies. SP 800-125", [Электронный ресурс]. Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-125/SP800- 125-final.pdf (дата обращения 09.11.2013)

39. "NIST Guide to SSL VPNs. SP 800-113", [Электронный ресурс]. Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-l 13/SP800-113.pdf (дата обращения 14.06.2013)

40. "NIST Guide to Storage Encryption Technologies for End User Devices. SP 800-111", [Электронный ресурс]. Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-111/SP800- 111 .pdf (дата обращения 24.09.2013)

41. "NIST Guidelines for Managing the Security of Mobile Devices in the Enterprise. SP-800-124 Rev. 1", [Электронный ресурс]. Режим доступа: http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-124rl.pdf (дата обращения 15.04.2013)

42. "NIST Guidelines for Securing Wireless Local Area Networks (WLANs). SP 800-153", [Электронный ресурс]. Режим доступа: http://csrc.nist.gov/publications/nistpubs/800- 153/sp800-153 .pdf (дата обращения 08.05.2013)

43. "NIST Guidelines on Hardware-Rooted Security in Mobile Devices (Draft). SP 800-164", [Электронный ресурс]. Режим доступа: http://csrc.nist.gOv/publications/PubsDrafts.html#SP-800-164 (дата обращения 04.08.2013)

44. "NIST Guidelines on Security and Privacy in Public Cloud Computing. SP 800-144", [Электронный ресурс]. Режим доступа: http://csrc.nist.gov/publications/nistpubs/800- 144/SP800- 144.pdf (дата обращения 06.06.2013)

45. "NIST Information Security Continuous Monitoring for Federal Information Systems and Organizations. SP 800-137", [Электронный ресурс]. Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-137/SP800-137-Final.pdf (дата обращения 17.07.2013)

46. "NIST Recommended Security Controls for Federal Information Systems and Organizations. SP 800-53, Rev.3", [Электронный ресурс]. Режим доступа: csrc.nist.gOv/publications/nistpubs/800-53-Rev3/sp800-53-rev3-final_updated-errata_05-01-2010.pdf (дата обращения 04.02.2013)

47. "NIST Security and Privacy Controls for Federal Information Systems and Organizations. SP 800-53 Rev. 4", [Электронный ресурс]. Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-53-

rev4/sp800_53_r4_final_word_errata_01_15_2014.docx (дата обращения 10.12.2013)

48. "NIST User's Guide to Securing External Devices for Telework and Remote Access. SP 800-114", [Электронный ресурс]. Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-114/SP800-114.pdf (дата обращения 06.07.2013)

49. "Overview of UEFI" (Unified Extensible Firmware Interface), [Электронный ресурс]. Режим доступа: http://msdn.microsoft.com/en-us/windows/hardware/gg463149.aspx/ (дата обращения 01-April-2013)

50. "Information technology ~ Security techniques ~ Information security management systems - Requirements. ISO/IEC 27001:2013", [Электронный ресурс]. Режим доступа: http://www.iso.org/iso/catalogue_detail?csnumber=54534 (дата обращения 10.12.2013)

51. Y. Chemerkin, "BlackBerry Playbook - New Challenges" Hakin9 E-Book Magazine, Software Press Sp. z o.o. Sp. Komandytowa 02-682 Warszawa, vol. 1 №3 Issue 03/2012 (3) ISSN 1733-7186, стр. 1-34, Сентябрь 2012

52. "Reported SOAP Request Parsing Vulnerabilities", [Электронный ресурс]. Режим доступа: https://aws.amazon.com/security/security-bulletins/reported-soap-request-parsing-vulnerabilities-reso/ (дата обращения 15.01.2013)

53. "Reported SSL Certificate Validation Errors in API Tools and SDKs", [Электронный ресурс]. Режим доступа: https://aws.amazon.com/security/security-bulletins/reported-ssl-certificate-validation-errors-in-api-tools-and-sdks/ (дата обращения 15.01.2013)

54. "RIM rcfs image dumper" [Электронный ресурс]. Режим доступа: Электронный ресурс, Режим доступа: http://cmw.me/?q=node/60/ (дата обращения 27.03.2013)

55. "State of Mobile Security 2012". Lookout Security Report, [Электронный ресурс]. Режим доступа: Online resource, https://www.lookout.com/resources/reports/state-of-mobile-security-2012 (дата обращения 07.03.2013)

56. "The Essential Intelligent Client", [Электронный ресурс]. Режим доступа: http://www.vmworld.com/servlet/JiveServlet/downloadBody/5700-102-l-8823/Intel%20The%20Essential%20Intelligent%20Client.pdf (дата обращения 15.01.2013)

57. Y. Chemerkin, "Security compliance challenges on clouds",Cyber Times International Journal of Technology & Management 2013, Vol. 6 Issue-1, ISSN No.: 2278-7518, Март 2013

58. "The most dangerous code in the world: validating SSL certificates in non-browser software", 19th ACM Conference on Computer and Communications Security, pp.38-49, October 2012

59. Y. Chemerkin, "New security paradigms raised by Cloud Solutions as a vital necessity to renew cloud management strategies". [Электронный ресурс]. Режим доступа: www.itsec.ru/articles2/cloud-security/problemi-novih-paradigm-i-neobhodimosti-novih-podhodov (дата обращения 01.03.2012)

60. "Xen Security Advisories", [Электронный ресурс]. Режим доступа: https://aws.amazon.com/security/security-bulletins/xen-security-advisories/ (дата обращения 15.01.2013)

61. Зегжда П.Д., Зегжда Д.П., Каретников А.В. Облачные вычисления. Виртуальная безопасность или безопасная виртуализация, XIV международная конференция «РусКрипто'2012», 2012.

62. A. Abuhussein, H. Bedi, S. Shiva, "Evaluating Security and Privacy in Cloud Computing Services:A Stakeholder's Perspective", The 7th International Conference for Internet Technology and Secured Transactions (ICITST-2012), pp.388 - 395, December 2012

63. A. Belenko, D. Sklyarov "Dark and Bright Sides of iCloud (In)security", [Электронный ресурс]. Режим доступа: viaforensics.com/android-forensics/icloud-insecurity-examining-ios-data-backup-cloud.html (дата обращения 01.03.2013)

64. A. Hoog, Android Forensics: Investigation, Analysis and Mobile Security for Google Android. Syngress, 2011.

65. A.P. Felt, E. Chin, S. Hanna, D. Song, D. Wagner, "Android Permissions Demystifed", 18th ACM conference on Computer and communications security, pp.627-638, 2011

66. Abdullah Abuhussein, Harkeerat Bedi, Sajjan Shiva, "Evaluating Security and Privacy in Cloud Computing Services:A Stakeholder's Perspective", The 7th International Conference for Internet Technology and Secured Transactions (ICITST-2012), стр. 388 - 395, December 2012

67. Alexey Lukashin, Vladimir Zaborovsky and Sergey Kupreenko. Access Isolation Mechanism Based On Virtual Connection Management In Cloud Systems, 13th International Conference on Enterprise Information Systems (ICEIS 2011), стр. 371 -375.

68. Amazon S3 used by Facebook spammers / CloudPro [Электронный ресурс]. Режим доступа:Режим доступа: http://www.cloudpro.co.uk/iaas/cloud-hosting/2729/amazon-s3- used-facebook-spammers, свободный. - Загл. с экрана (дата обращения 01.09.2012).

69. Ch. Miller, "Don't Hassle The Hoff: Breaking iOS Code Signing", Infiltrate 2012

70. Christopher Clark, Keir Fraser, Steven Hand, Jacob Gorm Hansen, Eric Jul, Christian Limpach, Ian Pratt, Andrew Warfield, «Live Migration of Virtual Machines»

Proceedings of the 2nd Symposium on Networked Systems Design and Implementation, 2005.

71. Cisco Global Cloud Index: Forecast and Methodology, 2010~2015 -http://www.cisco.com/en/US/solutions/collateral/ns341/ns525/ns537/ns705/ns

1175/Cloud_Index_White_Paper.html

72. Comparison of Multiple Cloud Frameworks. Von Laszewski, G., J. Diaz, F. Wang, and G. Fox., IEEE CLOUD 2012, 5th International Conference on Cloud Computing, Honolulu, Hawaii, 2012.

73. Cracking Passwords in the Cloud: Breaking PGP on EC2 with EDPR [Электронный ресурс]. Режим доступа: http://news.electricalchemy.net/2009/10/cracking-passwords-in-cloud.html/ (дата обращения 22.11.2013)

74. D. М. Gomez, A. Davis, BlackBerry PlayBook Security: Part one. NGS Secure, 2011.

75. Daniele Tosatto. Citrix XenServer 6.0 Administration Essential Guide. / Packt Publishing, 2012, ISBN: 978-1849686167.

76. How BlackBerry 10 avoids Android's security issues [Электронный ресурс]. Режим доступа: Online resource, http://www.techradar.com/news/phone-and-communications/mobile-phones/how-blackberry-10-avoids-androids-security-issues-1103381 (дата обращения 06.03.2013)

77. IaaS vs. PaaS vs. SaaS, [Электронный ресурс]. Режим доступа: http://www.networkworld.com/news/2011/102511-tech-argument-iaas-paas-saas-252357.html (дата обращения 20.12.2013)

78. J. Medsger, A. Srinivasan, «ERASE- EntRopy-based SAnitization of SEnsitive Data for Privacy Preservation», The 7th International Conference for Internet Technology and Secured Transactions (ICITST-2012), pp.427 - 432, December 2012

79. J. Somorovsky, M. Heiderich, M. Jensen, J. Schwenk, N. Gruschka, L. L. Iacono, «All Your Clouds are Belong to us - Security Analysis of Cloud Management Interfaces», 3rd ACM workshop on Cloud computing security workshop (CCSW), pp.3-14, October 2011

80. Jun Feng, Yu Chen, Pu Liu, "Bridging the Missing Link of Cloud Data Storage Security in AWS," 7th Consumer Communications and networking Conference (CCNC), pp. 1-2, Januray 2010

81. Juraj Somorovsky, Mario Heiderich, Meiko Jensen, Jorg Schwenk, Nils Gruschka, Luigi Lo Iacono, «All Your Clouds are Belong to us - Security Analysis of Cloud Management Interfaces», 3rd ACM workshop on Cloud computing security workshop (CCSW), стр. 3-14, October 2011

82. R. Kissel, M. Scholl, S. Skolochenko, and X. Li, "Guidelines for media sanitization: Recommendations of the national institute of standards and technology," in NIST SP800-88 Report, 2006

83. S. Gai, T. Salli and R. Andersson. Cisco Unified Computing System (UCS) A Complete Reference Guide to the Cisco Data Center Visualization Server Architecture. / Cisco Press, ISBN-10: 158714193, 2010.

84. Scott Lowe. Mastering VMware vSphere 5. / Sybex Publishing, 2011, ISBN: 978-0470890806.

85. "Information technology ~ Security techniques ~ Information security management systems ~ Requirements ISO/IEC 27001:2005", [Электронный ресурс].

Режим доступа: www.iso.org/iso/catalogue_detail?csnumber=42103 (дата обращения 10.12.2013)

86. Security Bulletin 2011, G Data Software AG http://www.npsod.ru/rus2/analitics/document3 3715 .phtml

87. Simple Object Access Protocol (SOAP) 1.1 / World Wide Web Consortium [Электронный ресурс]. Режим доступа: http://www.w3.org/TR/2000/NOTE- SOAP-20000508/ (дата обращения 01.09.2012).

88. Ю.Чемеркин, «Облачные вычисления как инструмент обработки конфиденциальной информации», «ВЕСТНИК РЕЕУ», № 14 (94), стр.53-65 [ВАК]

89. US Government Cloud Computing Technology Roadmap Volume I Release 1.0 (Draft) [Электронный ресурс]. Режим доступа: http://www.nist.gov/itl/cloud/upload/SP_500_293_volumeI-2.pdf (дата обращения 06.11.2012)

90. US Government Cloud Computing Technology Roadmap Volume II Release 1.0 (Draft) [Электронный ресурс]. Режим доступа: http://www.nist.gov/itl/cloud/upload/SP_500_293_volumeII.pdf (дата обращения 06.11.2012)

91. V. Mohan, К. Hamlen, "Frankenstein: Stitching Malware from Benign Binaries", 6th USENIX Workshop on Offensive Technologies (WOOT) August 2012 [Annual WOOT Conf., 2012]

92. V. Zaborovsky, V. Mulukha, A. Silinenko and S. Kupreenko. Dynamic Firewall Configuration: Security System Architecture and Algebra of the Filtering Rules, Proceedings of The Third International Conference on Evolving Internet - INTERNET 2011, 2011, стр. 40-45.

93. Vladimir Zaborovsky, Alexey Lukashin, Sergey Kupreenko and Vladimir Mulukha. Dynamic Access Control in Cloud Services., IEEE International Conference on Systems, Man and Cybernetics, 2011, стр. 1400-1405.

94. William von Hagen. Professional Xen Visualization / Indiana: Wiley Publishing, 2008, ISBN: 978-0470138113. P. 435.

95. Williams D.E. Visualization with Xen / Ed. By J. Garcia. - Burlington: Syngress Publishing, 2007. p. 364.

96. Windows Azure Security Overview whitepaper, [Электронный ресурс]. Режим доступа: go.microsoft.com/?linkid=9740388 (дата обращения 01.02.2013)

97. Y. Chemerkin "Insecurity of blackberry solutions: Vulnerability on the edge of the technologies," vol. 6, стр. 20-21, Декабрь 2011 [Annual InfoSecurity Russia Conf., 2011]

98. Y. Chemerkin, "A Security System That Changed The World", Hakin9 Magazine, Software Press Sp. z o.o. Sp. Komandytowa 02-682 Warszawa, vol. 6 №2 Issue 02/2011 (38) ISSN 1733-7186, стр. 10-13, February 2011

99. Y. Chemerkin, "AWS Cloud Security from the point of view of the Compliance", PenTest Magazine, Software Press Sp. z o.o. Sp. Komandytowa Warszawa, vol. 2 №10 Issue 10/2012 (12) ISSN 2084-1116, стр. 50-59, Декабрь 2012

100. Restrict Access to Containers and Blobs", [Электронный ресурс]. Режим доступа: http://msdn.microsoft.com/en-us/library/ddl79354.aspx (дата обращения 13.11.2013)

101. Y. Chemerkin, "Comparative Analysis on Forensics", InfoSecurity Russia 2013. [Электронный ресурс]. Режим доступа: www.itsec.ru/articles2/control/analiz-effektivnosti-sinteza-forensics-podhodov (дата обращения 12.01.2013)

102. Y. Chemerkin, "Comparison of Android and BlackBerry Forensic Techniques," Hakin9 Extra Magazine, Software Press Sp. z o.o. Sp. Komandytowa 02-682 Warszawa, vol. 11 №4 Issue 04/2012 (11) ISSN 1733-7186, стр. 28-36, Апрель 2012

103. Y. Chemerkin, "Does your BlackBerry smartphone have ears?", Hakin9 Magazine, Software Press Sp. z o.o. Sp. Komandytowa 02-682 Warszawa, vol. 6 №7 Issue 07/2011 (43) ISSN 1733-7186, стр. 26-40, Июль 2011

104. Y. Chemerkin, "Insecurity of Blackberry Solutions: Vulnerability on The Edge of The Technologies", [Электронный ресурс]. Режим доступа: http://itsec.m/articles2/mobile-security/bezopasnost-blackberryreshenii-yyazvimosti-na-stike-tehnologii/ (дата обращения 03.01.2012)

105. Y. Chemerkin, "Is Data Secure on the Password Protected Blackberry Device?", Hakin9 Magazine, Software Press Sp. z o.o. Sp. Komandytowa 02-682 Warszawa, vol. 6 №2 Issue 02/2011 (38) ISSN 1733-7186, стр. 22-29, Февраль 2011

106. Y. Chemerkin, "Limitations of Security Standards Against Public Clouds", Proceedings of the International Conference on Information Society (i-Society 2013), стр.55-60, Июль, 2013 [Scopus]

107. Y. Chemerkin, "Mobile Security Challenges on Compliance", CTICon-2013(11) - International Conference on «Exploring Global Transformations in Technology & Management», Октябрь 2013

108. Y. Chemerkin, "Mobile Security from the BYOD's Viewpoint", CTICon-2013(11) - International Conference on «Exploring Global Transformations in Technology & Management», Октябрь 2013

109. Y. Chemerkin, "Increasing Security Guidelines' Framework Efficiency", International Journal for Information Security Research (IJISR), Volume 3 Issues 1/2, ISSN 2042-4639

110. Y. Chemerkin, "Security compliance challenges on clouds", Proceedings of the Fifth International Conference on Internet Technologies and Applications (ITA 13), Сентябрь 2013, [Scopus]

111. "Queue Service REST API", [Электронный ресурс]. Режим доступа: http://msdn.microsoft.com/en-us/library/ddl79363.aspx (дата обращения 13.11.2013)

112. Y. Chemerkin, "STATE OF ART OF MOBILE FORENSICS", eForensics Magazine, Software Press Sp. z o.o. Sp. Komandytowa Warszawa, vol. 2 №10 Issue 03/2013 (8) ISSN 2300-6986, стр. 22-28, Апрель 2013

113. Y. Chemerkin, "The Backroom Message That's Stolen Your Deal", Hakin9 Magazine, Software Press Sp. z o.o. Sp. Komandytowa 02-682 Warszawa, vol. 6 №4 Issue 04/2011 (40) ISSN 1733-7186, стр. 22-27, Апрель 2011

114. Y. Chemerkin, "To get round to the heart of fortress," Hakin9 Extra Magazine, Software Press Sp. z o.o. Sp. Komandytowa 02-682 Warszawa, vol. 1 №3 Issue 03/2011 (03) ISSN 1733-7186, стр. 20-37, Август 2011

115. Y. Chemerkin, "When Developer's API Simplify User-Mode Rootkits Developing," Hakin9 Mobile Magazine, Software Press Sp. z o.o. Sp. Komandytowa 02-682 Warszawa, vol. 2 №2 Issue 02/2012 (3) ISSN 1733-7186, стр. 16-21, Февраль 2012

116. Y. Chemerkin, "When Developers API Simplify User-Mode Rootkits Development - Part II," Hakin9 OnDemand Magazine, Software Press Sp. z o.o. Sp. Komandytowa 02-682 Warszawa, vol. 1 №4 Issue 04/2012 (4) ISSN 1733-7186, стр. 56-81, Июль 2012

117. Y. Chemerkin, "Why is password protection a Fallacy Point of View", Hakin9 Magazine, Software Press Sp. z o.o. Sp. Komandytowa 02-682 Warszawa, vol. 1 №1 Issue 01/2011 (01) ISSN 1733-7186, стр. 36-53, Июнь 2011

118. Yan Hu, Fangjie Lu, Israr Khan, Guohua Bai, «А Cloud Computing Solution for Sharing Healthcare Information", The 7th International Conference for Internet Technology and Secured Transactions (ICITST-2012), стр. 465 - 470, December 2012

119. Z. Epstein, "Huge iPhone security vulnerability discovered in ios 6.1", [Электронный ресурс]. Режим доступа: Электронный ресурс, Режим доступа: http://bgr.com/2013/02/14/iphone-security-vulnerability-ios-6-1-327260/ (дата обращения 06-April-2013)

120. Z. Lanier and В. Nell, «Voight-Kampffing The BlackBerry Playbook», [Электронный ресурс]. Режим доступа: Электронный ресурс, Режим доступа: http: //www. slide share. net/quine slide share/voightkampffing -the-blackberry-playb ook (дата обращения 27.03.2013)

121. В.Мулюха, A.F.Новопашенный, Ю.Е. Подгурский, B.C. Заборовский Методы и средства защиты компьютерной информации. Межсетевое экранирование. Издательство СПб Еосударственный политехнический университет, СПб, 2010, 90 с.

122. B.C. Заборовский, А.А. Лукашин. Система контроля доступа в среде облачных вычислений., Научно-технические ведомости СПбЕПУ. Информатика, Телекоммуникации, Управление. №4 (152) 2012. - СПб.: Изд-во Политехи. Ун-та, 2012. 142 с.

123. Еайдамакин Н.А. Теоретические основы компьютерной безопасности. Учебное пособие. - Екатеринбург: изд-во Урал. Ун-та, 2008. 212 с.

124. Еайдамакин Н. А. Разграничение доступа к информации в компьютерных системах. Екатеринбург: Издательство Уральского Университета. 2003. 328 с.

125. Ерушо А.А., Тимонина Е.Е. - Проблемы компьютерной безопасности. - Сб. научных докладов «Информационные технологии в производстве, медицине, психологии и этике» Академии информационных управленческих технологий. -М.: Центр Управления Полетами, 2003

126. Ерушо А.А., Тимонина Е.Е. - Распределенные атаки на распределенные системы. М.: Информационный бюллетень JET INFO, 2006

127. Ерушо А.А., Тимонина Е.Е. - Теоретические основы защиты информации. М.: ., изд. <Яхтсмен>, 1996

128. Документация "AWS Import/Export Developer Guide. [Электронный ресурс]. Режим доступа: http://aws.amazon.com/documentation/importexport/ (дата обращения 16.12.2012)

129. Документация "Amazon AWS Security Token Service API Reference. [Электронный ресурс]. Режим доступа: http://docs.aws.amazon.com/STS/latest/APIReference/ (дата обращения 29.12.2012)

130. Документация "Amazon Command Line Reference. [Электронный ресурс]. Режим доступа: http://docs.aws.amazon.com/IAM/latest/CLIReference/ (дата обращения 29.12.2012)

131. Документация "Amazon Direct Connect API Reference . [Электронный ресурс]. Режим доступа: http://docs.aws.amazon.com/DirectConnect/latest/APIReference/Welcome.html (дата обращения 05.12.2012)

132. Документация "Amazon Direct Connect User Guide. [Электронный ресурс]. Режим доступа: http://docs.aws.amazon.com/DirectConnect/latest/UserGuide/ (дата обращения 05.12.2012)

133. Документация "Amazon ЕС2 Microsoft API Reference. [Электронный ресурс]. Режим доступа: http://docs.aws.amazon.com/AWSEC2/latest/APIReference/ (дата обращения 05.12.2012)

134. Документация "Amazon ЕС2 Microsoft Windows Guide. [Электронный ресурс]. Режим доступа: http://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ (дата обращения 05.12.2012)

135. Документация "Amazon ЕС2 User Guide. [Электронный ресурс]. Режим доступа: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ (дата обращения 05.12.2012)

136. Документация "Amazon Glacier Developer Guide. [Электронный ресурс]. Режим доступа: http://docs.aws.amazon.com/amazonglacier/latest/dev/ (дата обращения 20.12.2012)

137. Документация "Amazon IAM API Reference. [Электронный ресурс]. Режим доступа: http://docs.aws.amazon.com/IAM/latest/APIReference/ (дата обращения 29.12.2012)

138. Документация "Amazon S3 API Reference. [Электронный ресурс]. Режим доступа: http://docs.aws.amazon.com/AmazonS3/latest/API/ (дата обращения 20.12.2012)

139. Документация "Amazon S3 Console User Guide. [Электронный ресурс]. Режим доступа: http://docs.aws.amazon.com/AmazonS3/latest/UG/ (дата обращения 20.12.2012)

140. Документация "Amazon S3 Developer Guide. [Электронный ресурс]. Режим доступа: http://docs.aws.amazon.com/AmazonS3/latest/dev/ (дата обращения 20.12.2012)

141. Документация "Amazon Storage Gateway. [Электронный ресурс]. Режим доступа:

http://docs.aws.amazon.com/storagegateway/latest/userguide/WhatIsStorageGateway.ht ml (дата обращения 20.12.2012)

142. Документация "Amazon Using Temporary Security Credentials. [Электронный ресурс]. Режим доступа: http://docs.aws.amazon.com/IAM/latest/UsingSTS/ (дата обращения 29.12.2012)

143. Документация "Amazon Virtual Private Cloud Network Administrator Guide. [Электронный ресурс]. Режим доступа: http://docs.aws.amazon.com/AmazonVPC/latest/NetworkAdminGuide (дата обращения 05.12.2012)

144. Документация "Amazon Virtual Private Cloud User Guide. [Электронный ресурс]. Режим доступа: http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide (дата обращения 05.12.2012)

145. Документация "AWS MF А" [Электронный ресурс]. Режим доступа: http://aws.amazon.com/mfa (дата обращения 16.02.2013)

146. Документация "АWS Services Health Status with the history status" [Электронный ресурс]. Режим доступа: http://status.aws.amazon.com/ (дата обращения 16.02.2013)

147. Документация "Google cloud services - App Engine". [Электронный ресурс]. Режим доступа: http://www.google.com/enterprise/cloud/appengine/ (дата обращения

23.11.2012)

148. Документация "Products and Services by Region with AWS Edge Locations" [Электронный ресурс]. Режим доступа: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html (дата обращения 10.02.2013)

149. Документация "Security Whitepaper. Google Apps Messaging and Collaboration Products", [Электронный ресурс]. Режим доступа: http://cryptome.org/2012/12/google-cloud-sec.pdf (дата обращения 23.11.2013)

150. Документация "Technical Overview of the Security Features in the Windows Azure Platform". [Электронный ресурс]. Режим доступа: http://www.google.com/enterprise/cloud/appengine/ (дата обращения 23.11.2012)

151. Документация Abiquo. [Электронный ресурс]. Режим доступа: http://wiki.abiquo.com/display/ABI26/Abiquo+Documentation+Home (дата обращения

17.09.2013)

152. Документация AppDynamics. [Электронный ресурс]. Режим доступа: http://docs.appdynamics.com/display/DASH/Learn+AppDynamics (дата обращения 11.02.2013)

153. Документация Apprenda. [Электронный ресурс]. Режим доступа: http://docs.apprenda.com (дата обращения 08.05.2013)

154. Документация AppScale. [Электронный ресурс]. Режим доступа: http://www.appscale.com/resources (дата обращения 04.09.2013)

155. Документация AT&T. [Электронный ресурс]. Режим доступа: http://cloudarchitect.att.com/API/Resources/ (дата обращения 20.06.2013)

156. Документация BlackBerry. [Электронный ресурс]. Режим доступа: http://us.blackberry.com/business/software/bes-10.html (дата обращения 10.03.2013)

157. Документация Bluelock. [Электронный ресурс]. Режим доступа: www.bluelock.com/resources/ (дата обращения 04.09.2013)

158. Документация Cloud9. [Электронный ресурс]. Режим доступа: https://docs.c9.io (дата обращения 17.09.2013)

159. Документация Cloudscaling. [Электронный ресурс]. Режим доступа: http://www.cloudscaling.com/resources/ (дата обращения 07.06.2013)

160. Документация Datapipe. [Электронный ресурс]. Режим доступа: http://blog.datapipe.com (дата обращения 08.05.2013)

161. "Blob Service REST API", [Электронный ресурс]. Режим доступа: http://msdn.microsoft.com/en-us/library/ddl35733.aspx (дата обращения 13.11.2013)

162. Документация Eloqua. [Электронный ресурс]. Режим доступа: https://cloudconnectors.eloqua.com (дата обращения 02.11.2013)

163. Документация Engine Yard. [Электронный ресурс]. Режим доступа: https://www.engineyard.com/resources (дата обращения 13.0.2013)

164. Документация Enomaly. [Электронный ресурс]. Режим доступа: http://www.enomaly.com (дата обращения 16.10.2013)

165. Документация Eucalyptus. [Электронный ресурс]. Режим доступа: https://www.eucalyptus.com/resources (дата обращения 11.02.2013)

166. Документация FinancialForce. [Электронный ресурс]. Режим доступа: http://developer.financialforce.com (дата обращения 22.04.2013)

167. Документация FireHost. [Электронный ресурс]. Режим доступа: http://www.firehost.com (дата обращения 18.08.2013)

168. Документация Gigaspaces. [Электронный ресурс]. Режим доступа: http://www.gigaspaces.com/cloudify-devops-cloud-application-management/meet-cloudify (дата обращения 09.04.2013)

169. Документация Go Grid. [Электронный ресурс]. Режим доступа: http://gogrid.force.com/kb (дата обращения 11.02.2013)

170. Документация Google. [Электронный ресурс]. Режим доступа: https://cloud.google.com/developers/ (дата обращения 08.05.2013)

171. Документация HP. [Электронный ресурс]. Режим доступа: http://www8.hp.com/us/en/software-solutions/software.html?compURI= 1224674 (дата обращения 14.12.2013)

172. Документация Intacct. [Электронный ресурс]. Режим доступа: http://us.intacct.com/service-and-support (дата обращения 19.07.2013)

173. Документация LayeredTech. [Электронный ресурс]. Режим доступа: http://www.layeredtech.com/support/ (дата обращения 01.12.2013)

174. Документация Logicworks. [Электронный ресурс]. Режим доступа: www.logicworks.net/tech-specs (дата обращения 07.06.2013)

175. Документация MaaS360 by Fiberlink. [Электронный ресурс]. Режим доступа: http://www.maas360.com/resources/ (дата обращения 18.08.2013)

176. Документация Marketo. [Электронный ресурс]. Режим доступа: http://eu.marketo.com/resources/ (дата обращения 03.10.2013)

177. Документация Microsoft Office 365. [Электронный ресурс]. Режим доступа: http://www.microsoft.com/office365/ (дата обращения 12.01.2013)

178. Документация Navisite. [Электронный ресурс]. Режим доступа: http://www.navisite.com/cloud-services (дата обращения 27.12.2013)

179. Документация Openstack. [Электронный ресурс]. Режим доступа: http://docs.openstack.org (дата обращения 07.06.2013)

180. Документация Opsource. [Электронный ресурс]. Режим доступа: cloud.dimensiondata.com/saas-solutions/learn/resources (дата обращения 12.01.2013)

181. Документация Oracle On Demand. [Электронный ресурс]. Режим доступа: https://support.oracle.com/epmos/faces/KmHome (дата обращения 27.12.2013)

182. Документация OrangeScape. [Электронный ресурс]. Режим доступа: www.orangescape.com (дата обращения -6.06.2013)

183. Документация Pardot. [Электронный ресурс]. Режим доступа: www.pardot.com/resources/ (дата обращения 21.05.2013)

184. Документация Rackspace. [Электронный ресурс]. Режим доступа: http://docs.rackspace.com/ (дата обращения 31.08.2013)

185. "Table Service REST API", [Электронный ресурс]. Режим доступа: http://msdn.microsoft.com/en-us/library/ddl79423.aspx (дата обращения 13.11.2013)

186. Документация Salesforce.com. [Электронный ресурс]. Режим доступа: http://www.salesforce.com (дата обращения 19.07.2013)

187. Документация Sawis. [Электронный ресурс]. Режим доступа: http://www.centurylinktechnology.com/resource-center (дата обращения 01.12.2013)

188. Документация Visual WebGui. [Электронный ресурс]. Режим доступа: www.gizmox.com/resources/ (дата обращения 01.12.2013)

189. Документация Windows Azure. [Электронный ресурс]. Режим доступа: www.windowsazure.com (дата обращения 01.12.2013)

190. Клементьев И. П. Устинов В. А. Введение в Облачные вычисления. / Издательство УГУ, 2009. 233 с.

191. Шмойлов Д. В. Облачные вычисления: актуальность и проблемы http://fetmag.mrsu.ru/201 l-l/pdf/Cloud_Computing.pdf

192. А. Сергеев, В. Минченков, В. Башун и А. Яковлев, "Too Young to be Secure: Analysis of UEFI Threats and Vulnerabilities", Proceedings of the 14th FRUCT Conference, Helsinki, Finland, 2013.

193. Address Allocation for Private Internets (RFC 1918). [Электронный ресурс]. Режим доступа: http://www.faqs.org/rfcs/rfcl918.html (дата обращения 01.12.2013)

194. "NIST Guide for Conducting Risk Assessments. SP 800-30 Rev. 1", [Электронный ресурс]. Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-30-revl/sp800_30_rl.pdf (дата обращения 10.12.2013)

195. "NIST Guide for Mapping Types of Information and Information Systems to Security Categories. NIST SP800-60 Volume II Rev.l, Volume II", [Электронный ресурс]. Режим доступа: csrc.nist.gov/publications/nistpubs/800-60-revl/SP800-60_Vol2-Revl.pdf (дата обращения 10.12.2013)

196. "CSA Security Guidance for Critical Areas of Mobile Computing", [Электронный ресурс]. Режим доступа: https://cloudsecurityalliance.org/download/security-guidance-for-critical-areas-of-mobile-computing/ (дата обращения 07.08.2013)

197. "CSA Mobile Device Management: Key Components", [Электронный ресурс]. Режим доступа: https://cloudsecurityalliance.org/download/mobile-device-management-key-components/ (дата обращения 07.08.2013)

198. Ю. Чемёркин, «Разработка нормативного подхода к управлению безопасностью сред облачных вычислений», Журнал «T-Comm Телекоммуникации и Транспорт», Том 8, №5, ISSN 2072-8735, стр.63-68, Июнь 2014 [ВАК]

199. Ю. Чемёркин, «Безопасность публичных сред облачных вычислений в условиях функциональной неопределённости», Журнал «T-Comm Телекоммуникации и Транспорт», Том 8, №6, ISSN 2072-8735, стр.56-60, Июль 2014

200.4. Ю. Чемёркин, «Оценка показателей безопасности публичных облачных сред», Международная научно-техническая конференция «Наука, Техника, Инновации 2014», сборник статей, стр. 281-284, Март 2014 [ВАК]

201.5. Ю. Чемёркин, «Оценка эффективности встроенных механизмов безопасности публичных сред облачных вычислений в рамках сервиса Identity and Access Management», Журнал «T-Comm - Телекоммуникации и Транспорт», Том 8, №8, стр.93-97, ISSN 2072-8735, Август 2014 [ВАК]

202. Аносов В.Д., Лепский В.Е., Войскунский А.Е., Стрельцов А.А. Проблемы обеспечения информационно-психологической безопасности, Информационное общество. 1997. № 4-6. С. 43 - 47.

203. Бурков В.Н., Дзюбко С.И., Щепкин А.В. Модели и методы управления безопасностью. М.: Синтег, 2001. - 160 с.

204. Гринберг А.С., Горбачев Н.Н., Тепляков А.А. Защита информационных ресурсов государственного управления: Учеб. пособие для вузов. - М.: ЮНИТИ -ДАНА, 2003. - 327 с.

205. Емельянов F.В., Лепскнй В.Е., Стрельцов A.A. Проблемы обеспечения информационно-психологической безопасности России, Информационное общество. 1999. № 3. С. 47 - 51.

206. Емельянов F.B., Стрельцов A.A. Информационная безопасность России. Ч. 1. Основные понятия и определения: Учебное пособие / Под ред. проф. A.A. Пригожева- M.: PAFC при Президенте РФ, 1999. - 52 с.

207. Емельянов Е.В., Стрельцов A.A. О доктрине информационной безопасности Российской Федерации, Информационное общество. 2000. № 3. С. 22 -25.

208. Зегжда Д.П., Ивашко A.M. Основы безопасности информационных систем.

- М.: Еорячая линия - Телеком, 2000. - 452 с.

209. Конев И.Р., Беляев A.B. Информационная безопасность предприятия. СПб.: БХВ Петербург, 2003. - 752 с.

210. Лепский В.Е. Информационно-психологическая безопасность организаций / Психология и безопасность организаций. Москва, 1997. С. 33 - 39.

211. Малюк A.A. Информационная безопасность: концептуальные и методические основы защиты информации. Учебное пособие для вузов. - М.: Еорячая линия - Телеком, 2004. - 280 с.

212. Петренко С. А. Методика организации корпоративной системы информационной безопасности, Проблемы управления информационной безопасностью: Сборник трудов Институту системного анализа Российской академии наук / Под. ред. д-ра техн. наук, проф. Д.С. Черешкина. - М.: Едиториал УРСС, 2002. С. 59 - 69.

213. Петренко С.А., Петренко A.A. Аудит безопасности Intranet. - M.: ДМК Пресс, 2002.-416 с.

214. Петренко С.А., Симонов C.B. Управление информационными рисками. Экономически оправданная безопасность. - М.: Компания АйТи; ДМК Пресс, 2004. -384 с.

215. Проблемы управления информационной безопасностью / Сборник трудов Института системного анализа Российской академии наук / Под ред. д-ра техн. наук, проф. Д.С. Черешкина. - М.: Едиториал УРСС, 2002. - 224 с.

216. Симонов C.B. Зарубежный опыт стандартизации в области управления информационной безопасностью, Проблемы управления информационной безопасностью: Сборник трудов Институту системного анализа Российской академии наук / Под. ред. д-ра техн. наук, проф. Д.С. Черешкина. - М.: Едиториал УРСС, 2002. С. 140 - 149.

217. Стрельцов A.A. Обеспечение информационной безопасности России: Теоретические и методологические основы / Под ред. В.А. Садовничего, В.П. Шерстюка. - М.: Издательство Московского Центра непрерывного математического образования (МЦНМО), 2002. - 296 с.

218. Устинов E.H. Основы информационной безопасности систем и сетей передачи данных: Учебное пособие. Серия «Безопасность». - М.: СИНТЕЕ, 2000. -248 с.

219. Бармен С. Разработка правил информационной безопасности / Пер. с англ.

- М.: Издательский дом «Вильяме», 2002. - 208 с.

220. Verdee N., Ohrimenco S., Paramonov D., Cernei Gh. Abuznri programate, Ciber. 1993. №1-2. C. 22 - 23.

221. Арзуманов С.В. Оценка эффективности инвестиций в информационную безопасность, Информационно - методический журнал «Защита информации. ИНСАЙД», № 1(1) январь - февраль 2005. С. 23 -25.

222. Баранов Д. Оценка эффективности управления рисками, Informationsecurity / Информационная безопасность. № 2. апрель 2004. С. 26 - 28.

223. Баутов А. Экономический взгляд на проблемы информационной безопасности, «Открытые системы». № 2 февраль 2003.

224. Баутов А. Эффективность защиты информации, «Открытые системы», № 7-8 июль - август 2003.

225. Брусничкин Г.Д. Способы оценки затрат и проблемы освоения рынка информационной безопасности, Information Security / Информационная безопасность. № 2. апрель 2004. С. 28 - 29.

226. Вишняков Я.Д., Харченко С.А. Управление обеспечением безопасности предприятий: экономические подходы, Менеджмент в России и за рубежом. 2001. №5. С. 72-79.

227. Гостев И.М. Безопасность - бесполезная трата денег или выгодное вложение, Информационно - методический журнал «Защита информации.

228. Марков А.С., Миронов С.В., Цирлов B.JI. Разработка политики безопасности организации в свете новейшей нормативной базы, Информационно-методический журнал «Защита информации. КОНФИДЕНТ». № 2(56) март -апрель 2004. С. 20 - 28.

229. Минаев В.А., Карпычев В.Ю. Цена информационной безопасности, Informations ecurity / Информационная безопасность, декабрь 2003. С. 26.

230. Панин О.А., Журин С.И. Оптимизация параметров систем охранной сигнализации как задача многокритериального выбора, Информационно -методический журнал «Защита информации. КОНФИДЕНТ». № 1(55) январь -февраль 2004. С. 84 - 87.

231. Петренко С.А., Курбатов В.А. Оценка эффективности и зрелости технологий безопасности, Информационно - методический журнал «Защита информации. ИНСАЙД». № 1(1) январь - февраль 2005. С. 16 - 22.

232. Петренко С.А., Попов Ю.И. Оценка затрат на информационную безопасность, Информационно - методический журнал «Защита информации. КОНФИДЕНТ». № 1(49) январь - февраль 2003. С. 68-73.

233. Петренко С.А., Терехова Е.М. Обоснование инвестиций в безопасность, Информационно - методический журнал «Защита информации. ИНСАЙД», № 1(1) январь - февраль 2005. С. 49 - 53.

234. Петренко С.А., Терехова Е.М. Оценка затрат на защиту информации -, Информационно - методический журнал «Защита информации. ИНСАЙД», № 1(1) январь - февраль 2005. С. 36 - 48.

235. Провоторов В.Д. Защитить, чтобы не проиграть. Методика оптимального планирования бюджета на защиту информации в конкурентных условиях, Informations ecurity / Информационная безопасность. № 2. апрель 2004. - С. 26 - 28

236. Теренин А.А. Проектирование экономически эффективной системы информационной безопасности, Информационно - методический журнал «Защита информации. ИНСАЙД», № 1(1) январь - февраль 2005. С. 26 - 35.

237. Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. - М.: Компания АйТи; ДМК Пресс, 2004. -384 с.

238. Кононов A.A. Проблемы управления информационной безопасностью бизнеса, Проблемы управления информационной безопасностью: Сборник трудов Институту системного анализа Российской академии наук / Под. ред. д-ра техн. наук, проф. Д.С. Черешкина. - М.: Едиториал УРСС, 2002. С. 78 - 91.

239. Буянов В.П., Кирсанов К.А., Михайлов JIM. Рискология (управление рисками): Учебное пособие. 2-е изд. испр. и доп. / В.П. Буянов, К.А. Кирсанов, JIM. Михайлов. - М.: «Экзамен», 2003. - 384 с.

240. Хохлов Н.В. Управление риском: Учебное пособие для вузов. - М.: ЮНИТИ-ДАНА, 2003. - 239 с

241. Черней Г. А. Оценка угроз безопасности автоматизированным информационным системам, НТИ, Серия 2. Информационные процессы и системы. - 1997, № 10.

242. Y. Chemerkin, «Vulnerability elimination by force of new mobile OS Comparative research of security techniques on BlackBerry OS (incl. PlayBook)», The 7th International Conference for Internet Technology and Secured Transactions (ICITST-2012), стр.483 - 487, 2012 [Scopus]

243. «Криптографические средства защиты информации» [Электронный ресурс]. Режим доступа: http ://www. security, ase.md/publ/ru/pubru 107/Kaminskii_A.pdf/ (дата обращения 04.03.2014)

254. Ю. Чемёркин, «Разработка метода выбора варианта оптимальной конфигурации параметров безопасности облачных сред», Журнал «Научная Перспектива», №3, стр.131-135, ISSN 2077-3153, 2015 [ВАК]

255. Ю. Чемёркин, «Разработка метода оценки выполнения мер безопасности и оценка его эффективности», Международная научно-техническая конференция «Наука, Техника, Инновации 2015», сборник статей, стр. 156-161, 2015 [ВАК]

256. Грушо A.A., Тимонина Е.Е. «Теоретические основы защиты информации». М.: Яхтсмен, 1996. 192с.

257. Грушо A.A., Тимонина Е.Е., Гибридные политики безопасности, Методы и технические средства обеспечения безопасности информации, Санкт-Петербург, Россия, Россия, 1996

258. Грушо A.A., Тимонина Е.Е., «Безопасные архитектуры виртуальных систем», 23 научно-техническая конференция «Методы и технические средства обеспечения безопасности информации», Санкт-Петербург, Россия, 2014

259. Грушо A.A., Грушо H.A., Тимонина Е.Е., Шоргин С.Я., Возможности построения безопасной архитектуры для динамически изменяющейся информационной системы, в журнале Системы и средства информатики, издательство ИЛИ РАН (М.), том 25, № 3, с. 78-93, 2015

260. Грушо A.A., Тимонина Е.Е. «Двойственность многоуровневой политики безопасности» //Методы и технические средства обеспечения безопасности информации: Тез. докл. СПб: Изд-во СПбГТУ. 2000. С. 40-41.

261. Грушо A.A., Тимонина Е.Е., Поиск конфликтов в политиках безопасности: модель случайных графов, в журнале Информатика и ее применения, издательство ИЛИ РАН (М.), том 4, № 3, с. 38-41, 2010

262. Грушо, А. А. «Теоретические основы компьютерной безопасности»: учеб. пособие для студентов высш. учеб. заведений / А. А. Грушо, Э. А. Применко, Е. Е. Тимонина. - М. : Изд. центр "Академия", 2009. — 272 с.

263. Грушо A.A., Грушо H.A., Тимонина Е.Е., О безопасности и надежности подсистем защиты в распределенных информационных системах, в журнале

264. Грушо А.А., Исследование безопасности облачных вычислений (Устный), Международная конференция по прикладной информатике и 2-й Китайско-российский форум по технике и информационной безопасности (12-14 октября 2015, г. Мяньян, КНР), Мяньян, Китай, 12-14 октября 2015 Системы и средства информатики, издательство ИПИ РАН (М.), № 17, с. 79-86, 2007

265. Грушо А.А., Забежайло М.И., Зацаринный А.А., Контроль и управление информационными потоками в облачной среде, в журнале Информатика и ее применения, издательство ИПИ РАН (М.), том 9, № 4, с. 91-97, 2015

266. Зегжда Д.П., Калинин М.О. Оценка защищенности информационных систем // Проблемы информационной безопасности. Компьютерные системы. 2002. №3. С. 7-12.

267. Зегжда Д.П., Ивашко A.M. Как построить защищенную информационную систему. СПб: НПО "Мир и семья-95", 1997. 312 с.

268. Теория и практика обеспечения информационной безопасности / Под ред. П.Д. Зегжды. М.: Яхтсмен, 1996. 298 с.

269. Герасименко, В. А. Основы оптимизации в системах управления (Концепции, методы, модели) / В. А. Герасименко, Г. А. Попов, В. И. Таирян. - М., 1990.

270. Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность / С. А. Петренко, СВ. Симонов. —М.: Компания АйТи; ДМК Пресс, 2004. - 384 с.

271. McLean J. The specification and modeling of computer security. IEEE Computer, 23(1), 1990. p. 9-16. McLean J. Security models and information flow. In Proceedings of the 1990 IEEE Symposium on Research in Security and Privacy. IEEE Computer Society Press, 1990. p. 180-187.

272. Sandhu R.S. The typed matrix access model // Proceedings of the 1992 IEEE Symposium on Security and Privacy, 1992. p. 122-136