Разработка и исследование модели и алгоритма выявления недекларированных возможностей в автоматизированных системах тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Дацун, Наталья Николаевна
- Специальность ВАК РФ05.13.19
- Количество страниц 121
Оглавление диссертации кандидат технических наук Дацун, Наталья Николаевна
ОГЛАВЛЕНИЕ
Термины и определения
Перечень принятых сокращений
Введение
Глава 1. Актуальность и постановка задачи
1.1 Классификация недекларированных возможностей
1.2 Систематизация причин возникновения недекларированных возможностей в автоматизированных системах
1.3 Анализ моделей выявления НДВ в программном обеспечении
1.3.1 Методы статистического анализа
1.3.2 Методы динамического анализа
1.3.3 Методы обнаружения уязвимостей в автоматизированных системах
1.4 Обзор существующих нормативных документов по информационной безопасности
1.5 Проблема выявления НДВ в автоматизированных системах
Выводы по первой главе
Глава 2. Разработка модели выявления недекларированных возможностей в автоматизированных системах
2.1 Формирование модели выявления НДВ в АС
2.2 Оценка влияния НДВ на АС
2.2.1 Оценка отказа в отношении функционирования АС
2.2.2 Оценка отказа целевых функций АС
Выводы по второй главе
Глава 3. Разработка алгоритма выявления НДВ в автоматизированных системах
3.1 Анализ АС
3.2 Анализ компонент АС
3.3 Анализ влияния НДВ на АС
3.4 Анализ полученных данных
Выводы по третьей главе
Глава 4. Результаты экспериментального использования модели и алгоритма выявления недекларированных возможностей в автоматизированных системах
4.1 Исследование разработанной модели и алгоритма выявления НДВ в АС
4.1.1 Исследование АС
4.1.2 Анализ компонент АС
4.1.3 Анализ влияния НДВ в АС
4.1.4 Анализ полученных данных
4.2 Рекомендации по минимизации риска возникновения НДВ
Выводы по четвертой главе
Заключение
Список использованной литературы
Список публикаций
Термины и определения
Здесь приведены определения, термины, их описания и сокращения, которые используются в рамках настоящей диссертационной работы.
Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технология выполнения установленных функций.
Автоматизированное рабочее место — программно-технический комплекс АС, предназначенный для автоматизации деятельности определенного вида.
Аудит безопасности (computer-system audit) - проверка реализованных в автоматизированной информационной системе процедур обеспечения безопасности с целью оценки их эффективности и корректности, а также разработки предложений по их совершенствованию.
Внемашинная информационная база автоматизированной системы
представляющая собой совокупность документов, предназначенных для непосредственного восприятия человеком без применения средств вычислительной техники.
Информационная база автоматизированной системы —
упорядоченной информации, используемой при функционировании АС.
Информационная безопасность — состояние защищенности информационной среды.
Информационное изделие в автоматизированной системе —
информационное средство, изготовленное, прошедшее испытания
установленного вида и поставляемое как продукция производственно-технического назначения для применения в АС.
Информационное обеспечение автоматизированной системы —
совокупность форм документов, классификаторов, нормативной базы и реализованных решений по объемам, размещению и формам существования информации, применяемой в АС при ее функционировании.
Информационное средство — комплекс упорядоченной относительно постоянной информации на носителе данных, описывающей параметры и характеристики заданной области применения, и соответствующей документации, предназначенный для поставки пользователю.
Комплекс средств автоматизации автоматизированной системы —
совокупность всех компонентов АС, за исключением людей.
Комплектующее изделие в автоматизированной системе — изделие или единица научно-технической продукции, применяемое как составная часть АС в соответствии с техническими условиями или техническим заданием на него.
Компонент автоматизированной системы — компонент АС: часть АС, выделенная по определенному признаку или совокупности признаков и рассматриваемая как единое целое.
Лингвистическое обеспечение автоматизированной системы —
совокупность средств и правил для формализации естественного языка, используемых при общении пользователей и эксплуатационного персонала АС с комплексом средств автоматизации при функционировании АС.
Математическое обеспечение автоматизированной системы —
математическое обеспечение АС: совокупность математических методов, моделей и алгоритмов, примененных в АС.
Машинная информационная база автоматизированной системы —
часть информационной базы АС, представляющая собой совокупность используемой в АС информации на носителях данных.
Методическое обеспечение автоматизированной системы —
совокупность документов, списывающих технологию функционирования АС, методы выбора и применения пользователями технологических приемов для получения конкретных результатов при функционировании АС.
Надежность в АС — это свойство объекта сохранять во времени в установленных пределах значения всех параметров, характеризующих способность выполнять требуемые функции в заданных режимах и условиях применения, технического обслуживания, ремонтов, хранения и транспортирования.
Недекларированные возможности - функциональные возможности ПО, не описанных или не соответствующих описанным в документации, при использовании которых возможно нарушение конфиденциальности, целостности.
Недекларированные возможности в автоматизированной системе -
функциональные возможности компонент автоматизированной системы, не описанных или не соответствующих описанным в документации, при использовании которых возможно нарушение конфиденциальности, целостности.
Организационное обеспечение автоматизированной системы —
совокупность документов, устанавливающих организационную структуру, права и обязанности пользователей и эксплуатационного персонала АС в условиях функционирования, проверки и обеспечения работоспособности АС.
Пользователь автоматизированной системы — лицо, участвующее в функционировании АС или использующее результаты ее функционирования.
Правовое обеспечение автоматизированной системы — совокупность правовых норм, регламентирующих правовые отношения при функционировании АС и юридический статус результатов ее функционирования.
Программно-технический комплекс автоматизированной системы —
продукция, представляющая собой совокупность средств вычислительной техники, программного обеспечения и средств создания и заполнения машинной информационной базы при вводе системы в действие достаточных для выполнения одной или более задач АС.
Программное изделие в автоматизированной системе — программное средство, изготовленное, прошедшее испытания установленного вида и поставляемое как продукция производственно-технического назначения для применения в АС.
Программное обеспечение автоматизированной системы —
программное обеспечение АС: совокупность программ на носителях данных и программных документов, предназначенная для отладки, функционирования и проверки работоспособности АС.
Техническое обеспечение автоматизированной системы —
совокупность всех технических средств, используемых при функционировании АС.
Уязвимость (vulnerability) — недостаток или слабое место в автоматизированной системе, которые могут быть условием реализации угрозы безопасности обрабатываемой информации.
Эргономическое обеспечение автоматизированной системы —
совокупность реализованных решений в АС по согласованию психологических, психофизиологических, антропометрических, физиологических характеристик и возможностей пользователей АС с техническими характеристиками комплекса средств автоматизации АС и параметрами рабочей среды на рабочих местах персонала АС.
Перечень принятых сокращений
АС -автоматизированная система
ИБ - информационная безопасность
ЛВС - локально-вычислительная сеть
НД - недекларированные
НДВ - недекларированные возможности
нсд - несанкционированный доступ
ОС - операционная система
ПИБ - подсистема информационной безопасности
по - программное обеспечение
1111 - программный продукт
рд - руководящий документ
РДНДВ - руководящий документ Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (введен в действия Приказом Председателя Гостехкомиссии России № 114 от 04.06.1999 г.)
свт - средство вычислительной техники
сзи - система защиты информации
СУИБ - система управления информационной безопасностью
Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Идентификация недекларированных воздействий в процессе сетевой передачи информации2012 год, кандидат технических наук Бабенко, Герман Валерьевич
Метод поддержки принятия решения о безопасности программного обеспечения2013 год, кандидат технических наук Беляков, Игорь Александрович
Разработка информационно-аналитических средств безбумажного документооборота в строительном производстве2005 год, доктор технических наук Лим, Владимир Григорьевич
Объектно-функциональная верификация информационной безопасности распределенных автоматизированных информационных систем таможенных органов2009 год, доктор технических наук Скиба, Владимир Юрьевич
Система поддержки принятия управленческих решений при выборе вариантов информационной безопасности2011 год, кандидат экономических наук Рагозин, Юрий Николаевич
Введение диссертации (часть автореферата) на тему «Разработка и исследование модели и алгоритма выявления недекларированных возможностей в автоматизированных системах»
Введение
На современном этапе столь динамичного развития и применения информационных технологий неизбежно возникает проблема защиты общества от использования этих технологий в преступных целях. Основная особенность информационных технологий состоит в том, что их определяющим компонентом является программное обеспечение (ПО). Именно оно и выступает источником угроз информационной безопасности в большинстве случаев. Важной проблемой в ходе процесса обработки информации является повышение степени доверия к используемому программному обеспечению. Недостаточное внимание уделено проблеме выявления и локализации недекларированных возможностей (НДВ).
Преступность в сфере высоких технологий не имеет границ и составляет угрозу безопасности, как отдельной организации, так и целого государства. При использовании программного обеспечения существует риск утечки, модификации обрабатываемой информации. Одним из видов опасности для автоматизированных систем (АС) является наличие в их программном обеспечении НДВ, проявляющихся через исполнение программного кода и приводящее как к разрушению данных и программ, так и к резкому замедлению времени исполнения.
В сложившихся условиях, когда главными критериями разработки программного обеспечения является его функциональность, а также время, затрачиваемое на его разработку безопасности ПО, внимание, в большинстве случаев, уделяется по остаточному принципу. Существующая статистика наглядно показывает рост количества новых уязвимостей, а с ними и НДВ, ежегодно выявляемых в программном обеспечении.
Открытой остается серьезная проблема выявление НДВ разрабатываемой системы в целом, а не отдельных ее элементов. На сегодняшний день контроль отсутствия НДВ ПО определяется положениями руководящего документа Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (введен в действия Приказом Председателя Гостехкомиссии России № 114 от 04.06.1999 г., далее по тексту - РД НДВ). Но никак не регламентирован контроль отсутствия НДВ в информационных (ИС) и автоматизированных системах (АС). Сертификационные испытания на наличие НДВ проводятся конкретного ПО, а не ИС и АС в целом, и как показывает практика, может привести к инцидентам информационной безопасности. Безопасность ПО зависит от безопасности инфраструктуры, в которой оно будет развернуто. В данной работе рассмотрена модель выявления НДВ ИС с учетом возникших проблем [19-24].
Цель диссертационной работы. Целью данной работы является решение проблемы выявления НДВ в АС путем разработки новой модели и нового алгоритма выявления НДВ в АС, учитывающие влияние на АС взаимодействия функциональных возможностей составных частей (далее компонентов) АС.
Для решения поставленной цели необходимо решить следующие основные задачи:
- Раскрыть понятие недекларированных возможностей в автоматизированной системе;
- Провести анализ предметной области для установления существующих и разрабатываемых подходов к вопросу выявления НДВ;
- Формализовать проблемы выявления НДВ в АС;
- Формализовано описание модели выявления НДВ в АС с учетом взаимодействия компонентов АС;
- Разработать модель выявления НДВ в АС с учетом взаимодействия компонентов АС;
- Провести оценку степени влияния НДВ на АС;
- Разработать на основе модели алгоритм в АС;
- Провести исследование экспериментального использования предложенной модели и алгоритма выявления НДВ.
В соответствии с целями и задачами диссертационного исследования определены его предмет и объект.
Предметом исследования диссертационной работы выступает автоматизированная система, с помощью которой осуществляется обработка, хранение и передача информации с учетом возможных НДВ. В качестве объекта исследования выступают современные технологии обнаружения НДВ, их достоинства и недостатки.
Научная новизна. Новизна данной работы заключается в том, что рассматриваемая задача выявления НДВ в условиях влияния на АС взаимодействия составных частей АС решается впервые. Достаточно больше число работ посвящено выявлению НДВ, однако рассматривается только НДВ в ПО, не учитываются факторы взаимодействия компонентов АС (ПО, персонал, комплекс технических средств и т.д.). И, несмотря на большое разнообразие методов решения проблемы выявления НДВ задача выявления НДВ, учитывающая особенности взаимодействия компонентов АС, ранее не рассматривалась.
Практическая значимость.
Практическая значимость полученных результатов заключается в том, что данные модель и алгоритм выявления НДВ в АС могут быть эффективно применены на этапах проектирования, внедрения и эксплуатации АС, предназначенных для обработки, хранения и передачи информации. Применение полученного алгоритма и модели выявления НДВ позволяют выявить НДВ в АС. Теоретические изыскания доведены до практического алгоритма, которые могут быть применены при проведении аудита информационной безопасности АС силами сотрудников подразделений информационной безопасности и может эффективно применяться для разработки программы и методики исследований АС.
Методы исследования.
При получении теоретических результатов использовались стандарты, нормативные и руководящие документы в области информационной безопасности, существующие методы, модели выявления НДВ. В работе также использованы общие методы теории множеств, теории вероятностей, теории надежности, общей теории алгоритмов.
На защиту выносятся следующие основные результаты и положения:
1) Новая модель выявления НДВ в АС, учитывающая особенности
возникновения НДВ при взаимодействии компонент АС.
2) Новый алгоритм выявления НДВ в АС на основе разработанной
модели.
По материалам диссертации опубликованы работы, представленные в списке публикаций.
Диссертация состоит из введения, четырех глав, заключения и списка литературы. Материал изложен на 121 странице машинописного текста, содержит 11 рисунков и 7 таблиц, список литературы состоит из 89 наименований.
В первой главе автором рассматриваются общие вопросы обеспечения информационной безопасности, роль и место информации и информационных технологий в современной жизни. Определено понятие НДВ в АС, сформулировано определение НДВ в АС, а так же дано определение уязвимости АС. Представлен аналитический обзор исследований в области информационной безопасности, напрямую или косвенно решает проблемы выявления НДВ. Так систематизированы причины возникновения НДВ в АС. Приведена классификация НДВ.
Итогом проведенных исследований в первой главе является формализация проблем выявления НДВ в АС.
Во второй главе представлена разработанная модель выявления НДВ в АС с учетом влияния взаимодействия компонентов и функциональных возможностей АС. Модель выявления разработана на основе положений руководящих документов, ГОСТов, международных и российских стандартов по информационной безопасности. Предложена классификация АС подверженности отказам при возникновении НДВ в АС.
В третьей главе теоретические изыскания доведены до практического алгоритма, который может быть применен при проведении аудита информационной безопасности АС силами сотрудников подразделений
информационной безопасности и может эффективно применяться для разработки программы и методики исследований АС.
Четвертая глава посвящена описанию практического использования полученных в диссертационной работе результатов. Представлен результат реализации разработанной модели и алгоритма выявления НДВ в АС.
Результатом работы алгоритма является выявленные НДВ, оказывающие влияние на работоспособность АС, а так же конфиденциальность, доступность и целостность обрабатываемой информации.
В заключение диссертации изложены основные выводы, обобщения и предложения, вытекающие из логики и результатов исследования.
Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Разработка моделей и методик оценки эффективности комплексной системы защиты информации2006 год, кандидат технических наук Бабиков, Владимир Николаевич
Системный анализ политики информационной безопасности автоматизированной системы депозитарного обслуживания2000 год, кандидат технических наук Стародубцева, Галина Геннадиевна
Программные системы информационного обеспечения научной деятельности: модели, структуры и алгоритмы2010 год, доктор технических наук Барахнин, Владимир Борисович
Метод обеспечения целостности информации в автоматизированных информационных системах, функционирующих на основе систем управления базами данных2009 год, кандидат технических наук Архипочкин, Евгений Витальевич
Модели и методы поддержки принятия решений в интеллектуальной системе защиты информации2006 год, кандидат технических наук Рахимов, Евгений Александрович
Заключение диссертации по теме «Методы и системы защиты информации, информационная безопасность», Дацун, Наталья Николаевна
Основные результаты представленных исследований, выполненных для достижения поставленных целей, могут быть сформулированы следующим образом:
1. Введено понятие недекларированных возможностей в автоматизированной системе.
2. Решена задача повышения уровня ИБ АС посредством выявления НДВ в АС на различных этапах жизненного цикла, что позволяет предотвратить угрозы возникновения инцидентов ИБ.
3. Осуществлена формальная постановка задачи поиска НДВ в АС.
4. Предложена классификация НДВ.
5. Систематизированы причины возникновения НДВ в АС.
6. Разработана и исследована модель выявления НДВ в АС на основе существующих моделей и методов выявления НДВ и уязвимостей, положений руководящих документов, ГОСТов, международных и российских стандартов по ИБ.
7. На основе модели выявления НДВ предложен общий алгоритм выявления НДВ в АС.
8. Приведена система оценки для каждого выявленного НДВ по отношению к ПО и для НДВ по отношению к АС в целом, что позволяет провести сравнительный анализ полученных результатов.
9. Даны рекомендации по минимизации числа НДВ в АС на различных этапах жизненного цикла АС.
Заключение
В диссертационной работе осуществлено исследование проблемы возникновения НДВ в АС, предложена модель выявления НДВ в АС, алгоритм выявления НДВ в АС, предложена система оценки степени влияния НДВ на АС, даны рекомендации по минимизации случаев возникновения НДВ в АС.
Список литературы диссертационного исследования кандидат технических наук Дацун, Наталья Николаевна, 2012 год
Список использованной литературы
1. Руководящий документ «Информационная безопасность и защита информации. Сборник терминов и определений» - М.: Гостехкомиссия России, 2001.
2. Руководящий документ «Концепция защиты средств вычислительной техники и АС от НСД к информации» - М.: Гостехкомиссия России, 1992.
3. Руководящий документ «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации» -М.: Гостехкомиссия России, 1992.
4. Руководящий документ «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ» - М.: Гостехкомиссия России, 1992.
5. Руководящий документ «Положение по аттестации объектов информатизации по требованиям безопасности информации» - М.: Гостехкомиссия России, 1994.
6. Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования к защите информации» - М.: Гостехкомиссия России, 1997.
7. Руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» - М.: Гостехкомиссия России, 1997.
8. Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты
информации. Классификация по уровню контроля отсутствия недекларированных возможностей» - М.: Гостехкомиссия России, 1999.
9. Руководящий документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» - М.: Гостехкомиссия России, 2001.
Ю.ГОСТ 34.601-90 Автоматизированные системы. Стадии создания. М. : ИПК Издательство стандартов, 1992.
11.ГОСТ 34.201-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем. М. : ИПК Издательство стандартов, 2002.
12.ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы воздействующие на информацию. М.: Издательство стандартов, 2006.
13. ISO 15408 The Common Criteria for Information Technology Security Evaluation — «Общие критерии оценки безопасности информационных технологий».
14.ГОСТ Р ИСО/МЭК 15408-1-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
15.ГОСТ Р ИСО/МЭК 15408-2-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
16.ГОСТ Р ИСО/МЭК 15408-3-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности
информационных технологий. Часть 3. Требования доверия к безопасности.
17.Компаниец Р.И., Ковалев В.В., Маньков Е.В. Экспертиза и защита кода программ на основе автоматов динамического контроля// Защита информации. Инсайд. - 2007. -№ 3.
18.Хогланд Г., Мак-Гроу Г. Взлом программного обеспечения: анализ и использование кода. М.: Вильяме, 2005. - 400с.
19.Козиол Дж., Личфилд Д., Эйтэл Д., Энли К. Искусство взлома и защиты систем. Питер, 2006. - 417с.
20.Марков А., Миронов С., Цирлов В. Выявление уязвимостей в программном коде. // Открытые системы, №12 2005.
21.Марк Эбердур. Достижение качества открытого программного обеспечения // Открытые системы, №1 2007
22.Темнов О.Д. Анализ и исследование методов средств обнаружения недекларированных возможностей//Научно-технический вестник СПбГУ ИТМО. - 2008. - №39. С. 45-50.
23.0совецкий Л.Г. Технология выявления недекларированных возможностей (НДВ) при сертификации промышленного программного обеспечения по требованиям безопасности информации // Труды 10-й международной научно-технической конференции «Теория и технология программирования и защиты информации» - СПб: Изд-во СПбГУ ИТМО, 2006. - с. 8-14.
24.0совецкий J1.T., Биячуев Т. А. Выявление недекларированных возможностей и методика вирусного анализа // Сборник материалов VIII международной научно-практической конференции "Информационная безопасность", Таганрог, 2006. - С. 109-111.
25.Калашник Е.О., Любимов A.B. Анализ и прогнозирование динамики
уязвимостей // Труды XI-й международной научно-практической конференции «Теория и технология программирования и защиты информации» - СПб: Изд-во СПбГУ ИТМО, 2007. - с. 54-56.
26.Федоров А. Учет требований безопасности при разработке программных продуктов. Часть 1 // КомпьютерПресс, №11, 2006.
27.Федоров А. Учет требований безопасности при разработке программных продуктов. Часть 2 // КомпьютерПресс, №3, 2007.
28. Марков А. С. Аудит программного кода по требованиям безопасности // Information Security/ Информационная безопасность, №2, 2008. - 56-57.
29. Charles Н. Le. Software security assurance: A Framework for Software Vulnerability Management and Audit. CHL Global Associates and Ounce Labs, 2005 - 70p.
30.Маликов О.Р., Автоматическое обнаружение уязвимостей в исходном коде программ, Известия ТРТУ, №4, с. 48-53,2005
31. Маликов О.Р., Несов B.C. Автоматический поиск уязвимостей в больших программах. // Информационное противодействие угрозам терроризма? №7,2006.-281-291.
32. Метод обнаружения недекларированных возможностей ПО, основанный на использовании подхода «Общих критериев оценки безопасности информационных технологий / Д.В. Гуцко// Научная сессия МИФИ - 2008. Сборник научных трудов. - с. 40-41
33.Secure programming with static analysis / Chess? Brain - Addison - Wesley -588c-0-321-42477-8
34.Беляков И. А. Применение интеллектуальных технологий в процессе сертификации программного обеспечения / И. А. Беляков, М. А. Еремеев // Молодой ученый. — 2011. — №11. Т. 1. — С. 23-31.
35.H.H. Дацун, Г.П. Жигулин, О.Ю. Королева, М.М. Несвит Методы оценки защищенности информационных систем от уязвимостей, включая НДВ // Научно-технический вестник Поволжья, Том №6 - К., 2011 г. - 152-155с.
36.Дацун H.H., Билык Т.А., Потехонченко А.Ю. Обеспечение безопасности передаваемых данных с помощью кодов аутентификации сообщений // Автоматизация в промышленности Выпуск 12, - М., 2010
37.Дацун H.H. Выявление НДВ в Open Source продуктах в условиях информационного противоборства // Сборник тезисов докладов конференции молодых ученых. Выпуск 7. Труды молодых ученых / Главный редактор д.т.н., проф. В.О. Никифоров. - СПб: СПбГУ ИТМО, 2010.- 150-152с.
38.Потехонченко А.Ю., Дацун H.H. Методы и средства выявления недекларированных возможностей в программном обеспечении, альтернативный подход // Сборник трудов конференции молодых ученых, Выпуск 6. Информационные технологии / Главный редактор д.т.н., проф. В.Л. Ткалич. - СПб: СПбГУ ИТМО, 2009. - 90-92 с.
39.Дацун H.H., Потехонченко А.Ю. Проблемы выявления НДВ в программном коде // Сборник трудов конференции молодых ученых, Выпуск 6. Информационные технологии / Главный редактор д.т.н., проф. В.Л. Ткалич. - СПб: СПбГУ ИТМО, 2009. - 106-107 с.
40.Дацун H.H. Влияние НДВ в Open Source продуктах на информационную безопасность в условиях информационного противоборства // Труды XII-й международной конференции «Теория и технология программирования и защиты информации», Санкт-Петербург, 2008 г. - 101-103 с.
41.Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. - М. : «Радио и связь», 2011 г.
42. Джек Козиол, Дэвид Личфилд, Дэйв Эйтэл, Крис Энли, Синаи Эрен, Нил Мехта, Рили Хассель Искусство взлома и защита систем. - СПб.: «Питер», 2006г.
43.Казарин О.В. Теория и практика защиты программ. -М.: «» 2004. - 450 с.
44.ГОСТ PB 51719-2001. Испытания программной продукции. М.: ИПК «Изд-во стандартов», 2001
45.Методическое руководство по оценке качества функционирования информационных систем. М.: Изд-во 3 ЦНИИ МО РФ, 2003
46.Качественные решения при выборе атаки/защиты информационного ресурса / А. И. Захаров, Э. А. Лидскии, У. А. Михалева // Надежность. -2005. -No3 (14). С. 12-20.
47.http://www.iso27000.ru/chitalnyi-zai/audit-infomiacionnoi-bezopasnosti/analiz-га5сЫ5с11еппо8й-кофогайупу11-ауШта112п-оуаппу11-5151ет.
48.ГОСТ 34.201-89 ИТ. Комплекс стандартов на автоматизированные системы. Виды комплектность и обозначение документов при создании автоматизированных систем
49.ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management, 2005
50.ISO/IEC 27001:2005 Information technology - Security techniques -Information security management systems - Requirements, 2005.
51.BS 7799-3:2006 Information security management systems - Part 3: Guidelines for information security risk management, 2006.
52.Бармен С., Разработка правил информационной безопасности, М., Вильяме, 2002, 208 с.
53.Ботт Э., Зихерт К. Безопасность Windows: Windows 2000 и Windows ХР,
СПб., Питер, 2003, 682 с.
54.Авраменко B.C., Козленке A.B. Модель для защищенности информации от несанкционированного доступа в автоматизированных системах по комплексному показателю
55.Девянин П. Н. и др. Теоретические основы компьютерной безопасности. — М.: «Радио и Связь» - 2000.
56.Common Criteria for Information Technology Security Evaluation. Version 2.2. Revision 256. Part 1 : Introduction and general model. - January 2004.
57. Громов Ю.Ю., Иванова О.Г., Мосягина Н.Г., Набатов К.А. Надежность информационных систем, Тамбов, Издательство ГОУ ВПО ТГТУ, 2010. -155с.
58.«Информационные технологии. Основные термины и определения в области технической защиты информации. Р 50.1.053-2005» (утв. Приказом Ростехрегулирования от 06.04.2005 №77-ст).
59. Мельников В.П., Клейменов С.А., Петраков A.M.. Информационная безопасность и защита информации. М: Академия, 2009. - 336с.
60. Компаниец Р-И. Инструментальные средства анализа и защиты программного кода от использования недокументированных возможностей / Конференция «защита информации в современных условиях - основа сохранения развития бизнеса», 2006
61.Скиба В., Курбатов В. Руководство по защите от внутренних угроз информационной безопасности. СПб:Питер, 2008. - 320с.
62.3апечников C.B., Милославская Н.Г., Толстой А.И., Ушаков Д.В.. Информационная безопасность открытых систем. В 2 томах. СПб: Горячая линия - Телеком, 2008. -
63.Жигулин Г.П. Прогнозирование угроз автоматизированным системам управления. СПб: СПб ГИТМО (ТУ), 2003.
64.Жигулин Т.П., A.C. Бузинов, Р.И. Шабаев. Моделирование и прогнозирование информационных угроз. СПб: СПб ГУ ИТМО, 2011.
65.Дорф Р., Бишоп Р. Современные системы управления. — М.: Лаборатория Базовых Знаний "Юнимедиастайл", 2002. - 832 с.
66.Мирошниченко М.В. Организация управления и обеспечение национальной безопасности Российской Федерации. — М.: Изд-во «Экзамен», 2002. - 256 с.
67.Коваленко И. Н. , Филиппова A.A. Теория вероятностей и математическая статистика. — М.: Высшая школа, 1978.- 368с.
68.Колмогоров А.Н. Теория информации и теория алгоритмов. — М.: Наука, 1987.-303 с.
69.Тараканов КВ., Овчаров JI.A., Тырышкин А.Н. Аналитические методы исследования систем. — М.: Советское радио, 1974. - 240 с.
70.Романов O.A., Бабин С.А., Жданов С.Г. Организационное обеспечение Информационной безопасности. -М.: Акаднмия, 2008. - 192 с.
71.Белов, Е.Б. Основы информационной безопасности / Е.Б. Белов, В.П. Лось, Мещеряков Р.В., Шелупанов A.A. -М.:"Горячая линия-Телеком",2006. - 544 с.
72. Девянин, П.Н. Модели безопасности компьютерных систем / П.Н. Девянин.-М.:"Академия". 2005. —144 с.
73.Ашихмин В.Н., Гитман М.Б., Келлер И.Э. Введение в математическое моделирование. — М.: Логос, 2005. - 439 с.
74.Садердинов A.A., Трайнев В.А., Федулов A.A. Информационная
безопасность предприятия. — М.: "Дашков и КО", 2006. -336 с.
75.Королева О.Ю. Методика оценки показателя эффективности защищенности информационной системы при построении системы защиты информации в государственных и коммерческих организациях// Развитие экономики и управления: Сборнике научных статей. Выпуск №3. - Москва: ООО «Издательство «Проспект», 2010. - С. 166.
76.Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. - М.; СПб.; Киев, 2002. - 688 с.
77.ISO 17799/27001 "Практические правила управления информационной безопасностью" (Code of practice for Information security management/ISO 17799/27001).
78.Официальный сайт ФСТЭК России - www.fstec.ru.
79.Официальный сайт компании «Консультант плюс» www.consultant.ru.
80.Сайт - База гостов РФ - gostexpert.ru.
81. Официальный сайт Федерального агентства по техническому регулированию и метрологии - www.gost.ru.
82.Пучков Ф. М. Средства аудита программного обеспечения на предмет обнаружения уязвимостеи. // Критически важные объекты и кибертерро- ризм. Часть 2. Аспекты программной реализации средств противодействия. / О. О. Андреев и др. Под ред. В. А. Васенина. — М.: МЦНМО, 2008, 607 с. — С. 375-455.
83.Пучков Ф. М., Шапченко К. А. Статическии метод анализа программного обеспечения на наличие угроз переполнения буферов. // Программирование. — 2005. —N.4. —С. 19-34.
84.Курило А. П. Аудит информационной безопасности. М.: БДЦ-пресс, 2006 г.
-304 с
85. Баранов А. П., Борисенко Н. П., Зегжда П. Д., Корт С. С., Ростовцев А. Г. математические основы информационной безопасности: Пособие. Орел: ВиПс - 1997.-354 с.
86.Партыка Т.Д., Попов И.И. Информационная безопасность. М.: Формум, 2008. - 432с.
87.Комов С.А., Ракитин В.В. и др. Термины и определения в области информационной безопасности. М.: АС-траст, 2009. - 304с.
88.Благадаренко A.B. Схема выявления вредоносных данных, поступающих из сети на основе динамического анализа исполняемого кода. // Известия ЮФУ. Технические науки. Тематический выпуск. «Информационная безопасность». - Таганрог: Изд-во ТТИ ЮФУ, 2009. №11 (100). - с.64-73.
89.Лаздин A.B., Немолочнов О.Ф. Метод построения графа функциональной программы для решения задач верификации и тестирования. / Научно-технический вестник СПб ГИТМО (ТУ). Выпуск 6. Информационные, вычислительные и управляющие системы / Гл. ред. В.Н. Васильев. - СПб.: СПб ГИТМО (ТУ), 2002.
Список публикаций
1. H.H. Дацун, Г.П. Жигулин, О.Ю. Королева, М.М. Несвит Методы оценки защищенности информационных систем от уязвимостей, включая НДВ // Научно-технический вестник Поволжья, Том №6 - К., 2011 г. - 152-155с.
2. Дацун H.H., Билык Т.А., Потехонченко А.Ю. Обеспечение безопасности передаваемых данных с помощью кодов аутентификации сообщений // Автоматизация в промышленности Выпуск 12, - М., 2010
3. Дацун H.H. Выявление НДВ в Open Source продуктах в условиях информационного противоборства // Сборник тезисов докладов конференции молодых ученых. Выпуск 7. Труды молодых ученых / Главный редактор д.т.н., проф. В.О. Никифоров. - СПб: СПбГУ ИТМО, 2010. - 150-152с.
4. Потехонченко А.Ю., Дацун H.H. Методы и средства выявления недекларированных возможностей в программном обеспечении, альтернативный подход // Сборник трудов конференции молодых ученых, Выпуск 6. Информационные технологии / Главный редактор д.т.н., проф. B.JI. Ткалич. - СПб: СПбГУ ИТМО, 2009. - 90-92 с.
5. Дацун H.H., Потехонченко А.Ю. Проблемы выявления НДВ в программном коде // Сборник трудов конференции молодых ученых, Выпуск 6. Информационные технологии / Главный редактор д.т.н., проф. B.JI. Ткалич. - СПб: СПбГУ ИТМО, 2009. - 106-107 с.
6. Дацун H.H. Влияние НДВ в Open Source продуктах на информационную безопасность в условиях информационного противоборства // Труды ХП-й международной конференции «Теория и технология программирования и защиты информации», Санкт-Петербург, 2008 г. - 101-103с.
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.