Оценка эффективности систем защиты информации

Определение информационных и технических ресурсов, объектов ИС подлежащих защите. Представление элементов матрицы. Внедрение и организация использования выбранных мер, способов и средств защиты. Осуществление контроля целостности и управление системой.

Рубрика Программирование, компьютеры и кибернетика
Вид контрольная работа
Язык русский
Дата добавления 26.06.2014
Размер файла 498,3 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Финансово-технологическая академия

Кафедра информационной безопасности

Контрольная работа по дисциплине

Основы информационной безопасности

На тему

Оценка эффективности систем защиты информации

Выполнил: Студент группы ИБЗ-1

Рязанов А.В

Проверил

Федоров М. А.

Королёв, 2014 г.

Введение

Практически каждый системный интегратор в области ИБ обещает своим заказчикам создать эффективную систему защиты корпоративных информационных ресурсов.

При этом «типовые» решения, предлагаемые интеграторами, разнятся в соответствии со специализацией самих интеграторов: кто-то делает акцент на защите информации от утечек, кто-то - на защите сетевого взаимодействия, кто-то - на приведении корпоративных систем в соответствие с требованиями регуляторов. В связи с этим возникает вопрос: какую систему защиты считать эффективной и какими критериями руководствоваться?

Системный подход

Понятие системности заключается не просто в создании соответствующих механизмов защиты, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла ИС. При этом все средства, методы и мероприятия, используемые для защиты информации объединяются в единый целостный механизм - систему защиты.

К сожалению, необходимость системного подхода к вопросам обеспечения безопасности информационных технологий пока еще не находит должного понимания у пользователей современных ИС.

Сегодня специалисты из самых разных областей знаний, так или иначе, вынуждены заниматься вопросами обеспечения информационной безопасности. Это обусловлено тем, что в ближайшие лет сто нам придется жить в обществе (среде) информационных технологий, куда перекочуют все социальные проблемы человечества, в том числе и вопросы безопасности.

Каждый из указанных специалистов по-своему решает задачу обеспечения информационной безопасности и применяет свои способы и методы для достижения заданных целей. Самое интересное, что при этом каждый из них в своем конкретном случае находит свои совершенно правильные решения. Однако, как показывает практика, совокупность таких правильных решений не дает в сумме положительного результата - система безопасности в общем и целом работает не эффективно.

Если собрать всех специалистов вместе, то при наличии у каждого из них огромного опыта и знаний, создать СИСТЕМУ информационной безопасности зачастую так и не удается.

Разговаривая об одних и тех же вещах, специалисты зачастую не понимают друг друга поскольку у каждого из них свой подход, своя модель представления системы защиты информации. Такое положение дел обусловлено отсутствием системного подхода, который определил бы взаимные связи (отношения) между существующими понятиями, определениями, принципами, способами и механизмами защиты:

1). Постановка задачи.

Одиннадцать отдельно взятых футболистов (даже очень хороших) не составляют команду до тех пор, пока на основе заданных целей не будет отработано взаимодействие каждого с каждым. Аналогично СЗИ лишь тогда станет СИСТЕМОЙ, когда будут установлены логические связи между всеми ее составляющими.

Как же организовать такое взаимодействие? В футболе команды проводят регулярные тренировки, определяя роль, место и задачи каждого игрока. Качество или эффективность команд оценивается по игре в матчах, результаты которых заносятся в турнирную таблицу. Таким образом, после проведения всех встреч команд (каждой с каждой), можно сделать вывод об уровне состояния мастерства как команды в целом, так и отдельных ее игроков. Побеждает тот, у кого наиболее четко организовано взаимодействие:

Выражаясь терминами современного бизнеса, для решения вопросов взаимодействия нужно перейти от "чисто" технического на "конкретно" логический уровень представления процессов создания и функционирования СИСТЕМ защиты информации. Хотелось бы, чтобы все специалисты, считающие себя профессионалами в информационных технологиях, поднялись чуть выше "багов" и "кряков" и уже сейчас задумались над тем как их знания и опыт будут логически увязаны со знаниями и опытом других специалистов.

В "строгой научной постановке" задача автора состоит в предоставлении пользователям вспомогательного инструмента "елки" - (модели СЗИ), а задача читателя (пользователя) - украсить эту "елку" новогодними игрушками - (своими знаниями и решениями). Даже если "игрушек" пока еще нет, наличие "елки" поможет выбрать и приобрести нужные "украшения".

Конечный результат работы (степень красоты елки) зависит от ваших желаний, способностей и возможностей. У кого-то получится хорошо, у кого-то - не совсем: Но это естественный процесс развития, приобретения знаний и опыта.

Кстати, оценить красоту елки (эффективность системы защиты) весьма проблематично, поскольку у каждого из нас свои требования и вкусы, о которых, как известно, не спорят, особенно с руководством.

Таким образом, многообразие вариантов построения информационных систем порождает необходимость создания различных систем защиты, учитывающих индивидуальные особенности каждой из них. В то же время, большой объем имеющихся публикаций вряд ли может сформировать четкое представление о том как же приступить к созданию системы защиты информации для конкретной информационной системы, с учетом присущих ей особенностей и условий функционирования. Как сказал классик юмора: многообразие ваших вопросов порождает многообразие наших ответов:"

Возникает вопрос: можно ли сформировать такой подход к созданию систем защиты информации, который объединил бы в нечто единое целое усилия, знания и опыт различных специалистов? При этом желательно что бы указанный подход был универсальным, простым, понятным и позволял бы в одинаковой степени удовлетворить любые вкусы (требования) гурманов информационной безопасности?

Модель представления системы информационной безопасности.

Практическая задача обеспечения информационной безопасности состоит в разработке модели представления системы (процессов) ИБ, которая на основе научно-методического аппарата, позволяла бы решать задачи создания, использования и оценки эффективности СЗИ для проектируемых и существующих уникальных ИС. Что понимается под моделью СЗИ? Насколько реально создать такую модель? В упрощенном виде модель СЗИ представлена на Рис.1.

Рис.1. Модель СЗИ

Основной задачей модели является научное обеспечение процесса создания системы информационной безопасности за счет правильной оценки эффективности принимаемых решений и выбора рационального варианта технической реализации системы защиты информации.

Специфическими особенностями решения задачи создания систем защиты являются:

· неполнота и неопределенность исходной информации о составе ИС и характерных угрозах;

· многокритериальность задачи, связанная с необходимостью учета большого числа частных показателей (требований) СЗИ;

· наличие как количественных, так и качественных показателей, которые необходимо учитывать при решении задач разработки и внедрения СЗИ;

невозможность применения классических методов оптимизации.

Требования к модели

Такая модель должна удовлетворять следующим требованиям (Рис. 2.):

Использоваться в качестве:

· Руководства по созданию СЗИ

· Методики формирования показателей и требований к СЗИ

· Инструмента (методика) оценки СЗИ

· Модели СЗИ для проведения исследований (матрица состояния)

Обладать свойствами:

· Универсальность

· Комплексность

· Простота использования

· Наглядность

· Практическая направленность

· Быть самообучаемой (возможность наращивания знаний)·

· Функционировать в условиях высокой неопределенности исходной информации

Позволять:

· Установить взаимосвязь между показателями (требованиями)

· Задавать различные уровни защиты

· Получать количественные оценки

· Контролировать состояние СЗИ

· Применять различные методики оценок

· Оперативно реагировать на изменения условий функционирования

· Объединить усилия различных специалистов единым замыслом

Рис. 2. Требования к модели СЗИ

Описание подхода к формированию модели ИБ.

Как составить такое представление об информационной безопасности, что бы охватить все аспекты проблемы? Человек получает наиболее полное представление об интересующем его явлении, когда ему удается рассмотреть это нечто неизвестное со всех сторон, в трехмерном измерении.

Воспользуемся этим принципом.

Рассмотрим три "координаты измерений" - три группы составляющих модели СЗИ.

1. Из чего состоит (ОСНОВЫ)

2. Для чего предназначена (НАПРАВЛЕНИЯ)

3. Как работает (ЭТАПЫ)

Рис. 3. Три "координаты измерений" - три группы составляющих модели СЗИ

ОСНОВАМИ или составными частями практически любой сложной СИСТЕМЫ (в том числе и системы защиты информации) являются:

· Законодательная, нормативно-правовая и научная база;

· Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ;

· Организационно-технические и режимные меры и методы (политика информационной безопасности);

· Программно-технические способы и средства.

Рис. 4. Координата ОСНОВЫ

НАПРАВЛЕНИЯ формируются исходя из конкретных особенностей ИС как объекта защиты. В общем случае, учитывая типовую структуру ИС и исторически сложившиеся виды работ по защите информации, предлагается рассмотреть следующие направления:

· Защита объектов информационных систем;

· Защита процессов, процедур и программ обработки информации;

· Защита каналов связи;

· Подавление побочных электромагнитных излучений.

· Управление системой защиты;

Рис. 5. Координата НАПРАВЛЕНИЯ

Но, поскольку каждое из этих НАПРАВЛЕНИЙ базируется на перечисленных выше ОСНОВАХ, то элементы ОСНОВ и НАПРАВЛЕНИЙ, рассматриваются неразрывно друг с другом. Например, одну из ОСНОВ под названием "Законодательная база:" необходимо рассматривать по всем НАПРАВЛЕНИЯМ, а именно:

Законодательная база защиты объектов:

Законодательная база защиты процессов, процедур и программ:

Законодательная база защиты каналов связи:

Законодательная база подавления побочных электромагнитных излучений:

Законодательная база по управлению и контролю самой системы защиты:

Аналогично следует рассматривать остальные грани ОСНОВ (структуру:, меры:, средства) по всем НАПРАВЛЕНИЯМ.

Как видите, для формирования самого общего представления о конкретной системе защиты необходимо ответить минимально на 20 (4*5=20) самых простых вопросов. Но и это еще не все... Далее необходимо рассмотреть ЭТАПЫ (последовательность шагов) создания СЗИ, которые необходимо реализовать в равной степени для каждого в отдельности НАПРАВЛЕНИЯ с учетом указанных выше ОСНОВ.

Проведенный анализ существующих методик (последовательностей) работ по созданию СЗИ позволяет выделить следующие ЭТАПЫ:

· Определение информационных и технических ресурсов, а также объектов ИС подлежащих защите;

· Выявление полного множество потенциально возможных угроз и каналов утечки информации;

· Проведение оценки уязвимости и рисков информации (ресурсов ИС) при имеющемся множестве угроз и каналов утечки;

· Определение требований к системе защиты информации;

· Осуществление выбора средств защиты информации и их характеристик;

· Внедрение и организация использования выбранных мер, способов и средств защиты.

· Осуществление контроля целостности и управление системой защиты.

Рис. 6. Этапы создания систем защиты информации.

Поскольку ЭТАПОВ семь, и по каждому надо осветить 20 уже известных вам вопросов то в общей сложности для формирования представления о конкретной системе защиты необходимо ответить на 140 простых вопросов. Совершенно очевидно что по каждому вопросу (элементу) возникнет несколько десятков уточнений.

В общем случае количество элементов матрицы может быть определено из соотношения

K = Oi*Hj*Mk

Где К - количество элементов матрицы

Oi - количество составляющих блока "ОСНОВЫ"

Hj - количество составляющих блока "НАПРАВЛЕНИЯ"

Mk - количество составляющих блока "ЭТАПЫ"

В нашем случае общее количество элементов "матрицы" равно 140

K=4*5*7=140.

поскольку Oi=4, Hj=5, Mk=7

Все это можно представить в виде своеобразного кубика Рубика, на гранях которого образовалась мозаика взаимосвязанных составляющих элементов системы защиты.

А теперь для простоты понимания попробуем преобразовать трехмерную фигуру в двухмерную. Для этого развернем трехмерный куб на плоскости (на листе бумаги) и получим трехмерную матрицу в виде двухмерной таблицы, которая поможет логически объединить составляющие блоков "ОСНОВЫ", "НАПРАВЛЕНИЯ" и "ЭТАПЫ" по принципу каждый с каждым.

Напомним, что матрица в виде двухмерной таблицы появляется не сама по себе, а формируется в каждом конкретном случае, исходя из конкретных задач по созданию конкретной СЗИ для конкретной ИС.

Представление элементов матрицы

Элементы матрицы имеют соответствующую нумерацию. Следует обратить внимание на обозначения каждого из элементов матрицы, где: первое знакоместо (Х00) соответствует номерам составляющих блока "ЭТАПЫ", второе знакоместо (0Х0) соответствует номерам составляющих блока "НАПРАВЛЕНИЯ", третье знакоместо (00Х) соответствует номерам составляющих блока "ОСНОВЫ".

На Рис.7 представлен пример, элемента матрицы 321, который формируется с учетом следующих составляющих:

300 - Проведение оценки уязвимости и рисков (составляющая № 3 блока "ЭТАПЫ");

020 - Защита процессов и программ (составляющая № 2 блока "НАПРАВЛЕНИЯ")

001 - Нормативная база (составляющая № 1 блока "ОСНОВЫ")

Рис. 7. Пример нумерации элемента матрицы №321

Приведем пример содержания информации для элементов матрицы № 321, 322, 323, 324, которые объединяют следующие составляющие:

№ 3 (300 проведение оценки уязвимости и рисков) блока "ЭТАПЫ",

№ 2 (020 защита процессов и программ) блока "НАПРАВЛЕНИЯ"

№ 1, 2, 3, 4 (001 нормативная база, 002 структура органов, 003 мероприятия, 004 используемые средства) блока "ОСНОВЫ".

Вот что получилось:

Элемент № 321 содержит информацию о том насколько полно отражены в законодательных, нормативных и методических документах вопросы, определяющие порядок проведения оценки уязвимости и рисков для информации используемой в процессах и программах конкретной ИС?

Элемент № 322 содержит информацию о том имеется ли структура органов (сотрудники), ответственная за проведение оценки уязвимости и рисков для процессов и программ ИС?

Элемент № 323 содержит информацию о том определены ли режимные меры, обеспечивающие своевременное и качественное проведение оценки уязвимости и рисков для информации используемой в процессах и программах ИС?

Элемент № 324 содержит информацию о том применяются ли технические, программные или другие средства, для обеспечения оперативности и качества проведения оценки уязвимости и рисков в процессах и программах ИС?

Это содержание только четырех вопросов из ста сорока, но ответы на них уже позволяют сформировать некое представление о состоянии дел по защите информации в конкретной ИС.

В общем случае рассматриваются все 140 вопросов (по числу элементов матрицы). Полное содержание 140 элементов матрицы можно посмотреть здесь. Описание этих вопросов позволяют составить полное представление о СЗИ и оценить достигнутый уровень защиты.

Сложно? Да! Однако именно такой подход дает возможность держать правильное направление в процессе создания сложных систем защиты. ":Верной дорогой идете, товарищи:". А поскольку при этом постоянно учитываются взаимные логические связи между многочисленными элементами СЗИ, то есть шанс построить именно СИСТЕМУ, а не набор решений. Напомним, что матрица не сществует сама по себе, а формируется исходя из описания конкретной ИС и конкретных задач по защите информации в этой системе, см. рисунок

Свойства матрицы

Предложенная модель представления СЗИ в виде трехмерной матрицы позволяет не только жестко отслеживать взаимные связи между элементами защиты, но может выступать в роли руководства по созданию СЗИ. Если вы, приступая к созданию системы защиты, не знаете с чего начать, попробуйте ответить на предлагаемые общие вопросы, начиная с любого из них. И когда вы пройдетесь по всем, то поймете что уже есть, а чего не хватает для достижения поставленной цели.

Если желаете поставить задачу на создание СЗИ, то заполнив 140 элементов матрицы соответствующими требованиями, получим достаточно полное техническое задание. Причем сформулировать эти требования можно на основе любых стандартов - международных, европейских, американских., российских, украинских:

Ну а как оценить эффективность создаваемой или уже функционирующей СЗИ?

Снова поможет подход на основе трехмерной матрицы. Только теперь по 140 показателям (элементам матрицы) надо выставить соответствующие оценки. Существует много методов оценок, выбирайте любой понятный и прозрачный для вас. Наиболее популярный на сегодняшний день метод "Три П" - пол, палец, потолок.

Наглядно указанные свойства матрицы приведены на Рис.8.

матрица объект информационный контроль

Рисунок 8. Свойства матрицы информационной безопасности

Программа оценки эффективности систем защиты информации "Оценка СЗИ"

Программа "Оценка СЗИ" иллюстрирует работу модели СЗИ представленной в виде трехмерной матрицы, описание которой приведено выше, она разработана с целью демонстрации преимуществ системного подхода к созданию и оценке эффективности систем защиты информации.

С помощью указанной программы осуществляется расчет условных показателей эффективности СЗИ, а также графическое представление состояния достигнутого уровня безопасности по отношению к заданному.

Программа "Оценка СЗИ" реализована на языке программирования Delphi и предназначена для оценки эффективности мероприятий, проводимых при создании и функционировании систем защиты информации.

Предложенная модель СЗИ в виде трехмерной матрицы позволяет не только жестко отслеживать взаимные связи между элементами защиты, но может выступать в роли руководства по созданию СЗИ. Если вы, приступая к созданию системы защиты, не знаете с чего начать, попробуйте ответить на предлагаемые в матрице вопросы, начиная с любого из них. И когда вы пройдетесь по всем вопросам, то поймете что уже сделано, а чего не хватает для достижения поставленной цели.

Если желаете поставить задачу на создание СЗИ, то заполнив 140 элементов (вопросов) матрицы соответствующими требованиями, получим достаточно полное техническое задание. Причем сформулировать эти требования можно на основе любых стандартов - международных, европейских, американских., российских, украинских:

Ну а как оценить эффективность создаваемой или уже функционирующей СЗИ?

Снова поможет подход на основе трехмерной матрицы. Только теперь по 140 показателям (элементам матрицы) надо выставить соответствующие оценки. Существует много методов оценок, выбирайте любой понятный и прозрачный для вас. Наиболее популярный на сегодняшний день метод "Три П" - пол, палец, потолок.

Интерфейсы программы с некоторыми комментариями представлены на рисунках 9, 10, 11, 12.

При внимательном рассмотрении можно узнать уже знакомую нам "матрицу знаний СЗИ" в несколько другом представлении.

На Рис. 9. показан интерфейс ввода данных. Заказчик определяет необходимые требования к системе защиты и устанавливает заданный уровень безопасности в соответствующие элементы матрицы. Экесперты в процессе проведения оценки качества созданной системы защиты определяют реализован ли заданный уровень безопасности и свои оценки выставляют в тех же элементах матрицы, только в режиме "достигнутый"

Рис. 9. Интерфейс ввода данных

На рис. 10 можно посмотреть графическеое представление количественных и качественных оценок по каждому из элементов матрицы. Здесь наглядно показано как сравнивается заданный уровень безопасности с достигнутым.

Рис. 10. Сравнение заданного и достигнутого уровеней безопасности.

Далее с помощью интерфейса на рис 11. имеется возможность получить представление о ситеме защиты в целом. Ее эффектиность наглядно отражена графически, а также расчитана в виде обобщенных показателей уровня безопасности (количественного и качественного)

Рис. 11. Графичекое представление оценки эффетивности СЗИ.

Не стоит забывать, что требования к СЗИ имеют разную степень важности, которую необходимо учитывать при расчетах, используя соответствующие коэффициенты важности.

Интерфес для ввода коэффициентов важности представлен на рис. 12.

Рис. 12. Интерфес для ввода коэффициентов важности

Проще всего оценивается качество реализации механизмов защиты.

Механизм не только должен функционировать, но и оставлять следы своей деятельности, эти следы должны регулярно проверяться, а результаты проверки должны подтверждать корректность его функционирования. Контроль доступа должен сопровождаться документированием заявок на предоставление доступа и проведением выборочных сверок, управление обновлениями - выборочной проверкой серверов и рабочих станций, межсетевое экранирование - периодическим пересмотром правил фильтрации.

Все действия по контролю должны оставлять документированные следы: кто проводил такую проверку, что он проверил и почему принял решение о корректном или некорректном функционировании механизма защиты. И хотя подразделения ИТ традиционно считают такой контроль отнимающей время бюрократией, это один из наиболее ценных методов контроля, не дающий системе защиты деградировать.

В среднем периодический контроль механизмов защиты с циклом в шесть месяцев в компании из 500 человек обеспечивает полную загрузку одного внутреннего аудитора.

Адекватность мер защиты обычно оценивается методами анализа рисков, описанными в стандартах серии ISO 13335. Этот подход справедливо критикуется - ведь оценка рисков так или иначе базируется на субъективном мнении эксперта. Тем не менее, сопоставление субъективной оценки потенциальной угрозой с объективным расчетом затрат на внедрение механизма защиты - основной метод оценки адекватности применяемых мер.

Проще всего оценивать адекватность мер защиты для систем, непосредственно связанных с основными бизнес-функциями компании. Отказ сетевого коммутатора в торговом зале супермаркета приведет к невозможности обслуживания покупателей, т.е. ущерб магазина равен выручке, недополученной за время, затраченное на устранение неисправности. При этом нужно учитывать, что отказы сетевого оборудования сравнительно редки, и среднее время простоя одного коммутатора может составлять примерно 0.1% от общего времени его эксплуатации. Если считать, что срок службы устройства равным трем годам, суммарные затраты на обеспечение отказоустойчивости сетевой инфраструктуры будут адекватны угрозе, если они не превысят 0.1% от трехлетней выручки магазина.

Разумеется, это очень грубая прикидка. Чаще всего оценка рисков во многом основывается на субъективном мнении эксперта, и три группы экспертов могут дать три сильно отличающихся результата.

Сложнее всего оценивается достаточность мер защиты, и тут используется комбинация из нескольких методов. Стандарты в области управления информационной безопасности, такие как ISO 27001, IT Baseline Protection Manual, Global Technology Auditing Guide или ISM3 содержат довольно подробные каталоги механизмов безопасности, реализация которых обеспечивает достаточную защиту информационных ресурсов большинства компаний. Однако нет никакой гарантии, что именно ваша компания относится к этому большинству.

Попыткой унифицировать подходы к оценке достаточности механизмов защиты стал принятый в 2001 году и постоянно развивающийся стандарт ISO 15408. Методика, предложенная в стандарте, предполагает, что для заданных владельцем целей можно подобрать набор требований безопасности так, что их реализация в информационной системе приведет к достижению поставленных целей. Практика показала, что разработать с помощью этой методики систему требований для сколь-нибудь сложной системы невозможно: формализованный в соответствии со стандартом документ становится совершенно нечитаемым. Сейчас стандарт используется только для сертификации программных продуктов.

Еще один подход - расчет метрик, когда отдельные аспекты безопасности информационной системы можно охарактеризовать одним или несколькими численными показателями. К примеру, качество антиспамовых фильтров характеризуется количеством пропущенного спама и количеством ошибочно отфильтрованных полезных сообщений, а эффективность его применения - средним количеством спама, получаемого одним пользователем при условии, что количество ошибочно отфильтрованных сообщений близко к нулю. Для многих процессов с помощью подобных показателей можно удобно, наглядно, а главное - однозначно оценивать достаточность применяемых механизмов защиты. К примеру, последовательный рост количества выявляемых в корпоративной сети вирусов свидетельствует о недостаточности применяемых в ней мер антивирусной защиты.

И, наконец, последний из методов - тестирование на проникновение. Если предыдущие методы позволяют оценить достаточность механизмов защиты теоретически, то тестирование на проникновение предполагает практическое выявление - и демонстрацию - методов реализации атаки, с которыми не удается справиться применяемыми на момент оценки мерами защиты. Тестирование на проникновение может включать в себя как автоматизированное сканирование, так и практическую реализацию атак, в том числе - с помощью таких плохо поддающихся оценке методов, как социальная инженерия.

Заключение

Завершая этот очень краткий обзор методов оценки эффективности защиты, необходимо отметить: относительно объективных результатов можно добиться только при совместной работе владельцев информационных ресурсов компании, специалистов компании и привлекаемых экспертов. Эксперты располагают наработанными методиками и опытом проведения подобных оценок, специалисты компании - точными сведениями о специфике защищаемых информационных ресурсов, но основной отправной точкой для оценки все же являются интересы владельца ресурса и те цели, которые он преследует, выстраивая защиту.

Литература

1. А. Баутов. Стандарты и оценка эффективности защиты информации. Доклад на Третьей Всероссийской практической конференции "Стандарты в проектах современных информационных систем" Москва, 23-24 апреля 2003

2. А. Баутов, Экономический взгляд на проблемы информационной безопасности. Открытые системы, 2002, № 2.

3. С. Вихорев, А. Ефимов, Практические рекомендации по информационной безопасности. Jet Info, № 10-11, 1996.

4. С. Вихорев, Р. Кобцев, Как определить источники угроз. Открытые системы, 2002, № 7-8.

5. В. Галатенко, Информационная безопасность - основы. Системы управления базами данных, 1996, № 1.

6. А. Горбунов, В. Чуменко, Выбор рациональной структуры средств защиты информации в АСУ. http://kiev-security.org.ua/box/2/26.shtml

7. ГОСТ Р 50922-96. Защита информации. Основные термины и определения.

8. Г. Гуд, Р. Макол. Системотехника (Введение в проектирование больших систем). М., Сов. радио, 1962.

9. М. Де Гроот. Оптимальные статистические решения. М.: Мир, 1974.

10. Е. Зиндер, Революционные изменения базовых стандартов в области системного проектирования. Директор информационной службы, 2001, № 5.

11. А. Ездаков, О. Макарова, Как защитить информацию. Сети, 1997, № 8.

12. ИСО/МЭК 15408-99 "Критерии оценки безопасности информационных технологий".

13. В. Козлов. Критерии информационной безопасности и поддерживающие их стандарты: состояние и тенденции. "Стандарты в проектах современных информационных систем". Сборник трудов II-й Всероссийской практической конференции. Москва, 27-28 марта 2002 года.

14. В. Липаев, Е. Филинов, Формирование и применение профилей открытых информационных систем. Открытые системы, 1997, № 5.

15. Г. Петухов, Основы теории эффективности целенаправленных процессов. Часть 1. Методология, методы, модели. МО СССР, 1989.

16. В. Пугачев. Теория вероятностей и математическая статистика. М.: Наука, 1979.

17. В. Сабынин, Специалисты, давайте говорить на одном языке и понимать друг друга. Информост - Средства связи, № 6.

18. П. Сэйер, Lloyd страхует от хакеров. Computerworld Россия, 2000, № 30.

19. Л. Хмелев. Оценка эффективности мер безопасности, закладываемых при проектировании электронно-информационных систем. Труды научно-технической конференции "Безопасность информационных технологий", Пенза, июнь 2001.

20. Положение о сертификации средств и систем вычислительной техники и связи по требованиям безопасности информации. М., 1994.

Размещено на Allbest.ur


Подобные документы

  • Перечень нормативных документов по защите информации, лицензирование и сертификация. Проектирование автоматизированных систем в защищенном исполнении, их внедрение и последующая эксплуатация. Оценка угроз и методы защиты для информационных потоков в АСУ.

    курсовая работа [169,1 K], добавлен 21.01.2011

  • Определение назначения и характеристика видов систем защиты информации. Описание структур систем по защите накапливаемой, обрабатываемой и хранимой информации, предупреждение и обнаружение угроз. Государственное регулирование защиты информационных сетей.

    реферат [43,6 K], добавлен 22.05.2013

  • Пути несанкционированного доступа, классификация способов и средств защиты информации. Анализ методов защиты информации в ЛВС. Идентификация и аутентификация, протоколирование и аудит, управление доступом. Понятия безопасности компьютерных систем.

    дипломная работа [575,2 K], добавлен 19.04.2011

  • Проблема защиты информации. Корпоративная локальная сеть ООО "Диалог ИТ" как объект защиты. Структура системы факторов риска. Алгоритмизация матрицы отношений. Синтез системы защиты информации, оценка их результативности. Основные цели безопасности.

    курсовая работа [3,8 M], добавлен 22.03.2014

  • Требования к информации: доступность, целостность и конфиденциальность. Модель CIA как информационная безопасность, строящаяся на защите доступности, целостности и конфиденциальности информации. Прямые и косвенные угрозы, средства защиты информации.

    презентация [76,8 K], добавлен 06.01.2014

  • Организационно-правовое обеспечение, виды, средства и методы защиты информации, основные объекты и степень их значимости. Классификация технических средств защиты, их достоинства и недостатки. Методы, используемые в защите государственной тайны.

    курсовая работа [952,6 K], добавлен 13.05.2009

  • Характеристики объекта информатизации ОВД, с точки защищаемой информации. Способы утечки информации. Разработка предложений по защите информации на объекте информатизации ОВД. Алгоритм выбора оптимальных средств инженерно-технической защиты информации.

    курсовая работа [693,1 K], добавлен 28.08.2014

  • Применение информационных технологий в управлении проектами (инновациями), определение их эффективности. Методические принципы защиты информации. Виды и особенности интеллектуальных информационных систем. Организация электронного документооборота.

    курс лекций [1,1 M], добавлен 29.04.2012

  • Классификация информации по значимости. Категории конфиденциальности и целостности защищаемой информации. Понятие информационной безопасности, источники информационных угроз. Направления защиты информации. Программные криптографические методы защиты.

    курсовая работа [1,1 M], добавлен 21.04.2015

  • Факторы угроз сохранности информации в информационных системах. Требования к защите информационных систем. Классификация схем защиты информационных систем. Анализ сохранности информационных систем. Комплексная защита информации в ЭВМ.

    курсовая работа [30,8 K], добавлен 04.12.2003

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.