Темы диссертаций по экономике » Математические и инструментальные методы экономики

Анализ и управление рисками в области защиты информации тема диссертации по экономике, полный текст автореферата



Автореферат



Ученая степень кандидат экономических наук
Автор Немиткина, Виктория Викторовна
Место защиты Москва
Год 2009
Шифр ВАК РФ 08.00.13
Диссертация

Автореферат диссертации по теме "Анализ и управление рисками в области защиты информации"

На правах рукописи

003459471

Немиткина Виктория Викторовна

АНАЛИЗ И УПРАВЛЕНИЕ РИСКАМИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ

Специальность 08.00.13 -Математические и инструментальные методы экономики

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата экономических наук

1 />пив::со

Москва - 2009

003459471

Работа выпонена в Московском государственном университете экономики, статистики и информатики (МЭСИ) на кафедре Прикладной математики.

Научный руководитель:

кандидат технических наук, доцент Мастяева Ирина Николаевна

Официальные оппоненты: доктор экономических наук, профессор

Хрусталев Евгений Юрьевич

кандидат экономических наук Денисов Денис Владимирович

Ведущая организация:

Московский государственный открытый университет

Защита диссертации состоится л11 февраля 2009 г. в 14 часов на заседании диссертационного совета Д 212.151.01 в Московском государственном университете экономики, статистики и информатики по адресу: 119501, г. Москва, ул. Нежинская, д.7.

С диссертацией можно ознакомиться в библиотеке Московского государственного университета экономики, статистики и информатики.

Автореферат разослан л^О декабря 2008 г.

Ученый секретарь диссертационного совета,

кандидат технических наук, доцент

Мастяева И.Н.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность исследования

В последнее время быстрое развитие технологий передачи и обработки информации сделало ее одним из ценнейших ресурсов. На сегодняшний день информация приобретает уникальную ценность и является одним из критически важных ресурсов - это новые идеи, производственные, коммерческие секреты и т.д. Все это не могло не наложить свой отпечаток на ведение бизнеса на всех уровнях. Информация используется для принятия важных стратегических решений и от того, насколько она будет достоверна и актуальна, может зависеть дальнейшая судьба фирмы. Разглашение или утечка конфиденциальной коммерческой информации могут повлечь значительные финансовые убытки, а также негативно отразиться на имидже компании. Уничтожение одного или нескольких информационных ресурсов способно надого парализовать деятельность целого предприятия. Поэтому, совершенно очевидно, что вопросы обеспечения безопасности информации сегодня являются ключевыми проблемами бизнеса. Наиболее актуальны эти вопросы для компаний, имеющих отношение к информационным технологиям, к банковскому сектору, к услугам связи, к инновационным проектам и т.п.

Таким образом, перед современным бизнесом остро встает задача обеспечения надежной защиты своих информационных ресурсов. Однако, как и любая другая защита, защита информации является делом крайне дорогостоящим, и далеко не всегда руководители предприятий осознают, что такие вложения являются крайне выгодными, позволяя существенно снизить потери, связанные с информационными рисками. Большинство публикаций, посвященных вопросам информационной безопасности, изобилуют техническими подробностями, при этом абсолютно упускают из виду проблему экономической целесообразности тех или иных решений. Так, основная масса существующих стандартов используют понятие "модели нарушителя", которое позволяет определить возможности злоумышленника, против которого направлена система защиты информации. Однако такой подход позволяет лишь оценить надежность системы и не учитывает ее стоимостные характеристики. Вместе с тем вопрос экономической эффективности является ключевым при принятии решений о выделении различных денежных сумм на реализацию отдельных программ и мероприятий по обеспечению информационной безопасности. На сегодняшний день наиболее распространенным способом решения данного вопроса является применение систем анализа рисков, позволяющих оценить риски в информационной системе и выбрать оптимальный по эффективности вариант контрмер.

В настоящее время существует целый ряд программных продуктов, ориентированных на оценку информационных рисков организаций. Однако подавляющее большинство из них рассматривают лишь риски, связанные с компьютерной подсистемой информационной инфраструктуры компании, оставляя в стороне бумажный документооборот, проблему защиты информации при телефонных и личных переговорах, а также другие процессы в организации, в

ходе которых происходит передача, обработка или хранение информации. Кроме того, такие программные продукты в своей работе используют лишь общие рекомендации по защите компьютерных сетей и часто не учитывают конкретных особенностей информационной инфраструктуры фирмы.

Все это зачастую "ставит в тупик" руководителей высшего звена, которые в последнее время, осознавая важность проблемы обеспечения информационной безопасности на предприятии, начинают уделять ей существенно больше внимания. Однако при этом далеко не всегда они могут обоснованно оценить объем денежных средств, необходимый для решения задач информационной безопасности. Кроме того, не менее важным является распределение данных средств между отдельными задачами, касающимися обеспечения защиты информации. Эта проблема, как правило, решается исключительно на основе интуитивных предположений руководителей подразделений без опоры на формальное обоснование экономической целесообразности данного решения.

Таким образом, актуальность данной работы обусловлена существующей на сегодняшний день потребностью в создании методик управления финансовыми активами в рамках решения задач обеспечения информационной безопасности и снижения уровня информационных рисков.

Цели н задачи исследования. Целью диссертационного исследования является построение методики анализа информационных рисков организации и оптимизация распределения средств, выделенных на реализацию мероприятий информационной безопасности.

В соответствии с указанными целями в работе поставлены и решены следующие задачи:

Х классификация организаций по уровню требований, предъявляемых ими к информационной безопасности;

Х сравнительный анализ существующих методик оценки информационных рисков и обзор основных стандартов в области защиты информации и управления рисками;

Х обзор существующих инструментальных средств анализа и управления информационными рисками с целью выявления их основных характеристик, а также сильных и слабых сторон;

Х выявление состава параметров, влияющих на оценку информационного риска;

Х определение вида и свойств функции зависимости риска от средств, вложенных в мероприятия информационной безопасности;

Х построение математической модели зависимости уровня информационного риска от объема денежных средств, выделяемых на решение задач информационной безопасности, а также распределения этих средств между отдельными направлениями обеспечения защиты;

Х разработка методики оценки уровня риска для информационной инфраструктуры организации, а также подходов к оптимизации расходов на информационную безопасность;

Х апробация разработанной методики при решении задачи анализа рисков для информационной системы ВУЗа.

Объект и предмет исследования. Объектом диссертационного исследования является информационная инфраструктура организации.

Предметом исследования выступают риски, возникающие в процессе обработки и хранения информации в организации, а также их зависимость от объемов финансирования мероприятий, связанных с защитой информации.

Теоретическая и методологическая основа исследования. Теоретическую и методологическую основу исследования составили труды отечественных и зарубежных ученых в предметных областях экономики, математики, информационной безопасности, риск-менеджмента, теории оптимального управления. В частности, разработки и исследования следующих российских авторов: Домарева В.В., Кононова A.A., Петренко С.А и Симонова C.B.

В работе также применялись:

Х международные стандарты в области защиты информации и анализа . информационных рисков (ISO 15408, ISO 17799, BSI и др.);

Х руководящие документы Гостехкомиссии России;

Х описания существующих как отечественных, так и зарубежных инструментальных средств анализа и управления информационными рисками (COBRA, CRAMM, Гриф и др.);

Х нормативные и законодательные акты, принятые на территории Российской Федерации.

Научная новизна. Предмет защиты составляют следующие результаты, полученные лично автором и содержащие элементы научной новизны:

Х проведен сравнительный анализ существующих средств и методик анализа информационных рисков и выявлена ограниченность существующих подходов;

Х построена математическая модель, описывающая зависимость уровня риска для информационной инфраструктуры организации от объемов финансирования задач информационной безопасности;

Х разработана методика анализа рисков информационной инфраструктуры организации;

Х формализована задача оптимизации распределения средств, выделенных на обеспечение информационной безопасности, между мероприятиями по защите отдельных информационных ресурсов;

Х формализована задача оптимизации финансирования мероприятий информационной безопасности.

Практическая значимость заключается в разработке методики оценки и управления информационными рисками, учитывающей особенности финансирования мероприятий информационной безопасности в коммерческой организации и позволяющей оценить экономическую эффективность бюджета, выделенного на защиту информации.

Область применения результатов исследования. Методики, созданные в рамках диссертационного исследования, могут быть использованы руководством компаний для определения оптимального объема финансирования, выделяемого на защиту информации, а также руководителями подразделений, отвечающих за информационную безопасность, при распределении средств между отдельными мероприятиями. Кроме того, предложенные методики могут быть использованы в работе компаний, осуществляющих аудит информационной безопасности.

Полученные результаты также будут полезны будущим специалистам в области информационной безопасности компаний. Материалы диссертационного исследования могут использоваться в учебном процессе.

Апробация результатов. Результаты исследования докладывались на Всероссийской научно-практической конференции Математика, информатика, естествознание в экономике и в обществе, проходившей в МФЮА, 22 ноября 2007 года.

Публикации. По материалам диссертационного исследования опубликовано 5 научных работ общим объемом 2 п.л.

Структура работы. Диссертационная работа состоит из введения, трех глав, заключения, библиографического списка и приложений.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы диссертационной работы, сформулированы цели и задачи исследования, раскрыта научная новизна и практическая значимость диссертационной работы.

В первой главе Методологические подходы к анализу и управлению рисками в области защиты информации рассмотрены различные подходы к анализу и управлению рисками, описаны наиболее распространенные программные средства анализа информационных рисков, а также основные стандарты в области защиты информации и управления рисками.

Анализ информационных рисков представляет собой процесс определения количественной или качественной оценки риска, угроз, уязвимостей, возможного ущерба, а также контрмер и позволяет обеспечивать экономически оправданную информационную безопасность в компании. При этом анализ риска является частью управления рисками, под которым подразумевается процесс управления, устранения или уменьшения вероятности событий, способных негативно воздействовать на информационные ресурсы системы, при условии приемлемой

стоимости средств защиты. В зависимости от требований, предъявляемых к безопасности информации, методы анализа рисков можно разделить на два уровня: базовый и полный. В первом случае достаточно использовать качественные методики оценки риска, не рассматривая ценность ресурсов и не оценивая эффективность контрмер. Во втором случае используют количественные методики оценки риска, позволяющие впоследствии на основе полученных данных решать задачи оптимизации.

Существующие качественные методики анализа информационных рисков достаточно просты в применении, однако при этом они не позволяют получить сколь бы то ни было точные оценки возможных потерь от реализации угроз безопасности информации. Кроме того, такие методики позволяют лишь приблизительно указать наиболее уязвимые места системы и не в состоянии дать какие-либо серьезные рекомендации по модернизации системы защиты, ограничиваясь ссыками на существующие международные и национальные стандарты в области защиты информации и анализа информационных рисков.

Используемые в настоящее время количественные методики анализа рисков, как правило, сводятся к нахождению математического ожидания потерь для некоторого фиксированного состояния информационной системы. При этом они не предполагают возможности выявления участков системы, повышение затрат на защиту которых наиболее существенно повлияет на снижение интегрального риска для системы в целом. Кроме того, зачастую к количественным методам относят так называемые "бальные" методы, в которых качественные оценки заменяются балами с целью выпонения над ними в дальнейшем некоторых простейших операций, однако такой подход лишь облегчает автоматизацию данных методов и не дает им существенного превосходства над качественными методами.

В настоящее время на рынке существуют несколько десятков программных продуктов для анализа рисков. Все эти средства позволяют автоматизировать работу специалистов в области защиты информации, осуществляющих оценку информационных рисков компании. Данные программные средства также можно разделить на инструментарий базового уровня, позволяющий получить оценку информационной системы предприятия на основе требовании международных стандартов, и инструментарий поного анализа рисков, позволяющий не только получать оценки информационных рисков системы, но и выдавать различные рекомендации по снижению риска, проводя анализ эффективности различных контрмер. Однако далеко не во всех случаях полученные рекомендации бывают информативны, так как они в большинстве своем ссылаются на соответствующие положения стандартов, не учитывая специфику исследуемой организации.

Существующие в настоящее время инструментальные средства анализа рисков активно используют в своей работе математическое ожидание величины потерь, связанных с информационными рисками. Однако данная оценка используется исключительно в статическом виде, что приводит к необходимости внесения изменений в построенную модель и повторения значительной части

расчетов при попытке анализа результатов применения тех или иных контрмер. Кроме того, в подавляющем большинстве эти средства ориентированы на оценку безопасности исключительно компьютерных систем обработки информации.

Другим немало важным недостатком данных средств, с точки зрения руководителей компаний, является их сугубо технический характер, основанный на оценке конкретных методов реализации систем защиты в информационных системах без учета стоимости таких решений. Это делает существующие методики слабо пригодными для использования при планировании бюджета подразделений безопасности.

Таким образом, имеет большое научно-практическое значение построение методики расчета уровня информационного риска, учитывающей динамику изменения параметров риска, влияющих на степень защиты информации, как, например, объемы финансирования, выделяемые на обеспечение информационной безопасности в организации.

Во второй главе Разработка методики анализа рисков для информационной системы организации построена математическая модель зависимости уровня информационного риска от объема денежных средств, выделяемых на решение задач информационной безопасности, разработана методика анализа уровня риска для информационной инфраструктуры компании, рассмотрены формализованные постановки с указанием методов решения задач определения уровня финансирования мероприятий по защите информации, обеспечивающего снижение общих затрат, связанных с информационными рисками.

В предлагаемой методике выделяются следующие основные этапы:

- инвентаризация и классификация информационных ресурсов компании;

- определение перечня угроз, актуальных для исследуемой информационной системы;

- оценка вероятности реализации угроз и оценка уровня риска для отдельных информационных ресурсов;

- построение интегральной оценки уровня риска для информационной системы в целом;

- разработка рекомендаций по управлению информационными рисками.

На этапе инвентаризации определяется, какая именно информация требует

защиты. При этом информация понимается как "сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления". Такой подход, в отличие от большинства существующих методик, позволяет рассматривать все многообразие форм представления информации (электронная, печатная, акустическая и др.).

Однако явным недостатком данного определения, не позволяющим использовать его напрямую при анализе защищенности системы, является абстрактность понятия информации. В связи с этим вводится понятие информационного объекта как некоторого объема информации, объединенной по времени, месту и форме ее представления.

Таким образом, задача инвентаризации сводится к составлению перечня всех имеющихся в системе информационных объектов. Такое множество будем обозначать:

0={о1)о2,...,оя,}> где О - множество информационных объектов системы; о,,ог,...,ом - информационные объекты; т Ч количество информационных объектов в системе.

Второй основополагающей составляющей риска является угроза защищаемому объекту. В связи с этим следующим шагом при анализе рисков становится определение перечня угроз, актуальных для рассматриваемой информационной системы.

Под угрозой безопасности информации будем понимать потенциально возможное воздействие на информацию, которое прямо или косвенно может нанести урон пользователям или владельцам информации. Основу данного перечня обычно составляют 3 основные типа угроз: конфиденциальности, целостности и доступности информации. Однако работать с таким перечнем практически невозможно. В связи с этим данные угрозы делятся на ряд более простых, учитывающих источник угрозы, характер и тип воздействия и т.п. Так, например, следует разделять угрозы от внешних и внутренних нарушителей, так как меры, необходимые для защиты от них, будут существенно различаться. По аналогичным причинам необходимо разделять угрозы техногенного и антропогенного характера, направленные на технические средства и на персонал, реализуемые локально и удаленно.

Построенное таким образом множество угроз будем обозначать:

где Г - множество угроз информационным объектам системы;

-угрозы информационным объектам; п - общее количество угроз информационным объектам. После того, как были определены все объекты информационной системы, а также составлен перечень актуальных угроз, становится возможным перейти непосредственно к рассмотрению рисков для данной системы.

Основной целью введения понятия риска является оценка возможных потерь от реализации угроз для некоторого защищаемого ресурса. В связи с этим будем определять риск как математическое ожидание финансовых потерь от реализации некоторой угрозы (группы угроз) для рассматриваемого информационного объекта (набора объектов) за некоторый промежуток времени.

Пусть потери от реализации некоторой угрозы для информационного объекта за рассматриваемый промежуток времени описываются случайной величиной . Очевидно, что данные потери будут состоять из потерь по отдельным опасным событиям, в рамках которых рассматриваемая угроза может реализоваться для данного объекта, причем в общем случае количество таких событий может быть

различным. Кроме того, будем считать, что потери от реализации угрозы при нескольких событиях будут равны сумме потерь по каждому из данных событий:

| = (1) где - случайная величина, описывающая потери от реализации угрозы для информационного объекта за рассматриваемый промежуток времени; /I - количество опасных событий за рассматриваемый период;

- случайные величины, описывающие потери в результате опасных

событий.

Распределение случайной величины // может быть восстановлено на основании имеющихся статистических данных или получено методом экспертных оценок, однако в общем случае описать данное распределение не представляется возможным. Вместе с тем очевидно, что ввиду того, что все события в реальном мире длятся в течение некоторого ненулевого времени, то данная случайная величина будет ограничена и ее математическое ожидание будет иметь конечное значение: Л/// < +со.

Практика показывает, что, как правило, данные события происходят независимо друг от друга в сходных условиях, и, следовательно, случайные величины ^,...,1) имеют одинаковое распределение. Таким образом, обозначив с

помощью случайной величины и потери от реализации угрозы в рамках одного события, получаем:

\Ц - Ми Мц . (2)

Будем считать, что в рамках каждого опасного события угроза может либо реализоваться, причиняя при этом ущерб, либо нет. Таким образом, случайная величина и будет иметь дискретное распределение и принимать значения 0 и А с вероятностями 1 - р и р соответственно (где А - величина денежных потерь

организации при реализации рассматриваемой угрозы для информационного объекта; р - вероятность реализации рассматриваемой угрозы для информационного объекта). В результате, выражение для значения рйска примет следующий вид:

Р = М$ = Ми-Мц~{Ъ-{\-р) + А-р)-Мц = А-р-Мц, (3)

где Р - оценочный уровень риска;

А - величина денежных потерь организации при реализации рассматриваемой угрозы для информационного объекта;

р - вероятность реализации рассматриваемой угрозы для информационного объекта.

Величина А определяется методом экспертных оценок и дожна максимально поно включать в себя все денежные убытки, возникающие при реализации угрозы (финансовые потери, связанные с восстановлением информационного ресурса и информационной инфраструктуры, нарушением деятельности организации; ущерб репутации организации; ущерб, от разглашения

конфиденциальной информации и персональных данных и т.д.). Данная величина не зависит от уровня защищенности объекта.

В большинстве существующих методик вероятность р реализации угрозы рассматривается как статическая величина, определяемая экспертом (группой экспертов). Однако такой подход существенно ограничивает возможность использования данной оценки при последующей обработке результатов. Величина р зависит от значительного числа факторов (особенности функционирования организации, уровень квалификации сотрудников, отвечающих за обеспечение режима информационной безопасности, объема финансирования мероприятий по защите информации, и т.п.). Как правило, эти факторы являются либо неизменными, либо носят исключительно технический характер. Особое место в этом ряду занимает объем денежных средств, выделяемых на решение задач, связанных с защитой информации. Кроме того, именно вопрос необходимых объемов денежных средств и их распределения между отдельными направлениями зачастую является слабым звеном во взаимодействии подразделений, занимающихся информационной безопасностью, и руководства компании. В большинстве случаев начальники подразделений безопасности не могут обосновать с экономической точки зрения необходимость выделения конкретных сумм на вопросы обеспечения безопасности и наглядно представить эффект, который будет получен от вложения данных денежных средств в защиту информации. В результате этого, в процессе борьбы с излишними и необоснованными затратами происходит хроническое недофинансирование подразделений, занимающихся безопасностью, что приводит к отсутствию квалифицированных специалистов, закупкам оборудования имеющего низкую надежность и т.д.

Таким образом, можно констатировать, что существует зависимость между вероятностью реализации угрозы и объемом денежных средств, выделяемых на мероприятия по защите рассматриваемого информационного ресурса от некоторой угрозы. Таким образом, представим р в виде:

Р = (4)

где х - объем денежных средств, выделенных на реализацию мероприятий по обеспечению защиты информационного ресурса от некоторой угрозы;

g(x) - функция, описывающая вероятность реализации угрозы для некоторого информационного ресурса в зависимости от объема средств, вкладываемых в мероприятия по ее предотвращению. При этом для функции #(х) дожно выпоняться неравенство: 0< (*)<1.

В каждом конкретном случае вид и параметры функции могут определяться одним из двух способов. В первом случае функция может быть построена путем обработки имеющихся статистических данных, однако такая информация может иметься только у крупных фирм, специализирующихся в области аудита информационной безопасности. Во всех остальных случаях применяются экспертные методы, при этом возможно задание экспертом или экспертной

группой как непосредственного вида функции, так и отдельных ее значений для последующего применения к ним методов аппроксимации. Кроме того, существенную помощь эксперту может оказать база данных, созданная на основе статистических наблюдений и содержащая различные функции для ряда типовых ситуаций.

Чаще всего зависимость g(x) носит экспоненциальный характер, однако следует помнить, что в общем случае можно лишь констатировать, что функция g(x) является невозрастающей и с увеличением значения аргумента будет стремиться к некоторой неотрицательной константе.

Более точно описать функцию не представляется возможным, так как ее вид будет существенным образом меняться в зависимости от типа защищаемого информационного ресурса, технических средств и организационных мер, которые могут быть использованы для защиты и т.д.

Представленные уточнения свойств функции #(.*) в значительной степени характерны для ситуации, когда для противодействия угрозам используются однотипные мероприятия, сходным образом воздействующие на угрозу. Кроме того, отсутствие диверсификации при рассмотрении объемов финансирования средств защиты делает подобный подход не всегда допустимым при переходе к анализу систем, состоящих более чем из одного объекта, когда одни и те же мероприятия могут влиять на уровень защищенности сразу нескольких объектов от ряда угроз. Ярким примером подобного влияния может являться квалификация сотрудников подразделения безопасности, которая в значительной степени зависит от уровня заработной платы.

В этом случае целесообразно рассмотреть функцию д(х), зависящую от вектора значений, в котором каждая компонента соответствует конкретной статье финансирования мероприятий по защите. Более того, при рассмотрении сложных систем возможно использование вектора 5с, содержащего затраты на все возможные типы мероприятий по защите, актуальные для данной системы, для всех пар "информационный объект-угроза".

Для реализации такого подхода необходимо создать максимально полный перечень всех возможных статей расходов, связанных с обеспечением информационной безопасности системы:

5 = {л,, ч,...,*Д},

где 5 - множество возможных контрмер; - контрмеры;

q - количество возможных контрмер.

Следует отметить, что в данный перечень дожны входить все затраты, влияющие на уровень информационной безопасности системы, независимо от того, включаются ли они в бюджет подразделений информационной безопасности или находятся в ведении других структур.

Кроме того, для каждой из контрмер могут существовать ограничения возможных затрат как сверху, так и снизу:

\/г'б1,<зг у^х^ы,,

где х, -объем денежных средств, выделяемых на реализацию /-ой контрмеры;

V, Ч минимальный объем денежных средств, который может быть потрачен на реализацию / -ой контрмеры ( у, > 0);

- максимальный объем денежных средств, который может быть потрачен на реализацию г -ой контрмеры (н1, < -ко).

Таким образом, функция g(x) будет зависеть сразу от нескольких переменных, при этом большинство переменных могут являться фиктивными. Так, например, мероприятия, обеспечивающие защиту от пожара, не будут оказывать никакого влияния на вероятность появления в системе компьютерных вирусов. Что же касается существенных переменных, то по каждой из них данная функция будет невозрастающей.

Часто опасную ситуацию можно методом декомпозиции разбить на несколько отдельных событий, которые могут приводить к реализации угрозы либо по отдельности, либо в комплексе. При этом для каждого из событий может быть построена отдельная функция, описывающая вероятность реализации угрозы, а затем из этих элементарных функций в соответствии с правилами теории вероятностей будет составлена одна общая формула.

Таким образом, в соответствии с ранее введенным определением значение риска Р будет рассматриваться как функция:

Р(х) = .Щ = Ми Мц = А Мр %(х), (5)

где Р(х) - уровень риска для информационного объекта по некоторой угрозе, выраженный в денежных единицах;

х - вектор, описывающий объем денежных средств, выделенных на реализацию мероприятий по обеспечению защиты информационного объекта, а также их распределение между отдельными задачами;

Л/// Ч математическое ожидание количества опасных событий за

рассматриваемый промежуток времени;

А - ущерб от реализации рассматриваемой угрозы для информационного объекта;

%(х) - функция, описывающая вероятность реализации угрозы для информационного объекта в зависимости от объема средств, вкладываемых в мероприятия, связанные с информационной безопасностью.

Полученное выше выражение для уровня риска является достаточно общим и может быть применено как к отдельному объекту, так и к большим наборам информационных объектов. Так, задав уровень ущерба и функцию, описывающую вероятность реализации угрозы для такого набора объектов, с

помощью данной формулы получим оценку риска. Однако на практике использование подобного подхода для сколь бы то ни было значительных по объему информационных структур будет крайне затруднительным, так как при этом потребуется учесть большое количество различных факторов, влияющих на данную зависимость.

Напротив, для отдельных информационных объектов подобные функции могут быть построены достаточно легко, так как для конкретной пары "информационный объект - угроза" не составит значительного труда оценить как вероятность реализации данной угрозы, так и возникающий при этом экономический ущерб. Затем, определив указанные параметры для каждой пары, можно получить интегральную оценку уровня риска и для информационной системы в целом. Однако даже для достаточно небольшой организации количество таких пар будет крайне велико. В связи с этим необходимо предусмотреть меры, которые позволят снизить трудоемкость процесса оценки.

Для вычисления уровня риска для пары "информационный объект - угроза" необходимо определить три исходных параметра: ущерб от реализации угрозы, количество опасных событий за рассматриваемый период времени и вероятность реализации угрозы в рамках одного события.

Как было показано выше, размер ущерба от некоторой угрозы является характеристикой самого информационного объекта и не зависит от каких-либо внешних факторов. Таким образом, необходимо единожды зафиксировать данное значение для каждой пары. В диссертационной работе был предложен ряд мер, позволяющих снизить трудоемкость процесса оценки размера ущерба. В

результате реализации данного этапа получаем набор значений Д у, которые

характеризуют величину денежных потерь организации при реализации ] -ой

угрозы для / -го информационного объекта.

Рассмотрим оценки вероятности реализации угроз для различных информационных объектов. Очевидно, что в основном данный параметр будет зависеть от формы представления информации, способов ее хранения и обработки, а также мер, предпринимаемых для защиты. При этом можно считать, что содержание объекта не будет иметь никакого значения, так как воздействие при реализации угрозы в равной степени коснется всех информационных объектов, хранящихся и обрабатываемых вместе.

Таким образом, имеет смысл объединить информационные объекты в блоки на основе их формы представления, мест хранения и обработки, а также мер защиты. Следствием такого разбиения будет являться то, что для всех объектов, входящих в один информационный блок, угрозы реализуются одновременно, а меры защиты, предпринимаемые для защиты одного из объектов, автоматически будут распространяться и на все остальные, входящие в данный блок. Кроме того, параметр Л//1, описывающий количество опасных событий за рассматриваемый период времени, также будет относиться к информационному блоку.

Переход от анализа риска для отдельных информационных объектов к информационным блокам позволит существенно снизить трудоемкость. Вместе с тем это не приведет к снижению точности вычислений, так как именно информационный блок является минимальным элементом, для которого реализуется угроза.

Следует отметить, что один и тот же объект при рассмотрении различных угроз может входить более чем в один блок. Так, например, информация, хранящаяся на сервере, будет рассматриваться как отдельный блок при анализе угроз, связанных с сетевой безопасностью, а в том случае, если несколько серверов располагаются в пределах одного помещения, такая угроза как пожар потребует объединения в один блок всех информационных ресурсов, находящихся в данной комнате.

Введем обозначения:

В = {ВД В2,..Д В,}, VBj е В(/ = V) В,, с О, В, U В2 U...U В, = О,

где В - множество информационных блоков;

В,,В2.....В, - информационные блоки;

О Ч множество информационных объектов системы;

/ Ч количество информационных блоков.

В соответствии с построением информационных блоков функция, описывающая вероятность реализации угрозы, а также параметр, характеризующий общее количество опасных событий, будут общими для всех элементов блока, а значит, и для блока в целом. Как было сказано выше, данные параметры могут быть определены либо методом экспертных оценок, либо на основе статистических данных.

Третьим параметром информационного блока, необходимым для определения уровня риска, является размер ущерба от реализации угрозы. Воспользуемся допущением, что при реализации угрозы для нескольких информационных объектов потери по каждому из объектов будут независимыми друг от друга. Таким образом, значение ущерба для информационного блока в целом будет равно сумме потерь по всем объектам, входящим в данный блок. Кроме того, следует помнить, что хранение и обработка информации невозможны без аппаратного обеспечения, следовательно, при оценке ущерба необходимо также учитывать средства, требующиеся для восстановления данного оборудования.

Пусть V/" = 1,1 /г = {(, таких что oi е Вг}, тогда Щ еB(r = 7),V/ = U = 1Д, + <i\ .

где Д . Ч величина денежных потерь организации при реализации j -ой угрозы для -го информационного объекта;

AhrJ - стоимость восстановления оборудования, необходимого для хранения и обработки информационных объектов, входящих в г -ый информационный

блок, и выводимого из строя при реализации у -ой угрозы для данного блока. При этом в случае, когда негативному воздействию подвергается только информационная составляющая, а оборудование сохраняет свои эксплуатационные свойства, значение А^ будет равно 0.

В результате, становится возможным представить уровень риска для всех пар "информационный блок - угроза" в виде произведения трех величин: ущерба от реализации угрозы для данного блока, наиболее вероятного количества опасных событий за рассматриваемый период и функции, описывающей вероятность реализации угрозы в рамках единичного опасного события.

Таблица 1.

Определение функции риска для информационных блоков_

Информационные объекты Угрозы

А А\,1МН2 г(*. л\.пЩ\,п- %\,п(х)

в, Л/ДМ1/Д Х/,!('* 4,2^,2 ' Й,2

Подставив в полученные выражения в качестве аргумента вектор, описывающий объемы денежных средств, расходуемых на проведение мероприятий, связанных с защитой информации, получим наиболее вероятный объем потерь компании по данному информационному блоку от рассматриваемой угрозы.

Полученные значения представляют собой набор оценок уровня риска по разрозненным блокам информационной инфраструктуры компании. Такое представление может быть полезно для решения некоторых локальных задач, однако не позволяет представить картину информационных рисков для организации в целом. В связи с этим необходимо перейти от частных значений к некоторому интегральному показателю.

Вернемся к первоначальному представлению значения объема потерь компании от угроз информационной безопасности в виде случайной величины. Определим потери компании, связанные с информационной безопасностью следующим образом:

= (б)

где - потери компании от реализации угроз информационной безопасности;

- потери, возникающие при реализации ) -ой угрозы для I -го

информационного блока.

Следовательно, уровень информационного риска для системы в целом будет иметь следующий вид:

М^ = М(Ц^) = Цм4и. (7)

ы м '-1 У'1

Подставив в данную формулу выражение для , получим:

1=1 У=1

где Р(х) -уровень риска для информационной системы в целом;

х - средства, выделяемые на информационную безопасность с учетом их распределения по отдельным статьям расходов;

Аи - ущерб от реализации ] -ой угрозы для < -го информационного блока;

-математическое ожидание количества событий, способных привести

к реализации ] -ой угрозы для г -го информационного блока;

-функция, описывающая зависимость вероятности реализации у-ой

угрозы для / -го информационного блока в зависимости от объема ассигнований на мероприятия по предотвращению данной угрозы.

Полученная функция Р(х) однозначно определяет значения информационного риска для компании в зависимости от объемов финансирования, выделяемых на защиту информации, а также распределения данных средств между отдельными задачами информационной безопасности. Кроме того, представление результата именно в денежной форме позволяет наглядно представить предполагаемые потери и в зависимости от полученных данных принимать обоснованные решения по управлению компанией.

Выявленные в процессе анализа рисков функциональные зависимости позволяют перейти к следующему, не менее важному этапу - управлению информационными рисками. Основной целью данного этапа является выработка рекомендаций по перечню управляющих воздействий (определение объемов финансирования задач информационной безопасности), направленных на снижение уровня риска. Для этого рассмотрим задачи оптимизации, которые позволят определить наиболее эффективные управляющие воздействия, обеспечивающие минимизацию риска для информационной системы организации в целом.

Так, одним из наиболее актуальных вопросов будет являться нахождение такого распределения имеющихся денежных средств между отдельными задачами информационной безопасности, при котором значение информационного риска для организации в целом будет минимальным.

В качестве целевой функции выберем функцию, описывающую значение информационного риска для организации в целом, т.е.:

214,, ХМч.у min- (9)

1=1 У=1

Рассмотрим ограничения на значения аргументов данной функции, которые необходимо учесть при решении задачи. Во-первых, значения аргументов х, , дожны удовлетворять ограничениям, заданным для данной контрмеры, а, во-вторых, их сумма не дожна превосходить общего объема денежных средств D, выделенных на информационную безопасность:

v, <х, ,i e\,q

Таким образом, задача оптимизации будет иметь следующий вид:

Х&,(*)-> min

у, <x, <w,,ie\,q.

Данная задача относится к классу задач нелинейного программирования с линейными ограничениями, для решения которых разработан целый ряд различных методов. Так, например, для случая, когда целевая функция будет выпуклой, данная задача переходит в класс задач выпуклого программирования и для ее решения могут быть использованы методы Зойтендейка, условного градиента Франка-Вульфа и др.

Решение данной задачи позволит эффективно распределить средства, выделенные на информационную безопасность, между отдельными направлениями и добиться минимально возможного уровня риска при заданном объеме финансирования.

Еще одной задачей, которая становится доступной для решения с использованием построенной модели, является задача нахождения экономически обоснованного объема денежных средств, необходимого для обеспечения информационной безопасности.

Очевидно, что общие затраты на информационную безопасность будут складываться из непосредственных расходов на проведение мероприятий по защите информации (х), а также значений информационного риска (Р(х)), который показывает наиболее вероятный размер ущерба. Таким образом, в общем виде функция общих затрат будет иметь вид:

H{x)^p(x) + txi . (12)

Следовательно, для нахождения экономически оправданного уровня финансирования необходимо решить задачу оптимизации, в которой критерием будет являться функция общих затрат Н(х), а в качестве ограничений будут выступать допустимые границы значений компонент вектора х:

II Аи Х Я,J (*) + -> min

<-ly=л (13)

v, <л- < и,. ,iel,q.

Данная задача так же, как и предыдущая, относится к классу задач нелинейного программирования и может быть решена аналогичными методами.

Решение данной задачи позволит определить оптимальный объем финансирования, выделяемого на информационную безопасность, а также распределение данных средств между отдельными направлениями защиты.

Следует отметить, что предложенная методика анализа рисков позволяет не только построить экономически обоснованную систему информационной безопасности, но и позволяет техническим специалистам обосновать с экономической точки зрения необходимость предоставления тех или иных денежных средств.

В третьей главе Анализ защищенности информационной системы ВУЗа автором проведен анализ информационных рисков для участка информационной системы ВУЗа. Целью данной главы является не проведение пономасштабного исследования защищенности информационной системы ВУЗа, а лишь демонстрация применимости методики анализа рисков, предложенной во второй главе, а также в доказательстве эффективности получаемых с ее помощью управленческих решений.

В качестве объекта исследования был выбран участок информационной системы ВУЗа, включающий в себя систему компьютерных классов с расположенным в нем оборудованием, а также помещение серверной с размещенными в ней серверами, связанными с работой компьютерных классов.

С привлечением специалистов, занимающихся эксплуатацией данной системы, был составлен перечень информационных объектов. После чего был составлен список актуальных для данной системы угроз с учетом возможных причин их возникновения:

1. нарушение правил эксплуатации, приводящее к выходу из строя оборудования;

2. нестабильность работы (сбой);

3. взлом системы с получением поного контроля над ней;

4. вредоносное программное обеспечение;

5. уничтожение;

6. утечка;

7. хищение;

8. техногенные и природные катастрофы (пожар, наводнение, скачки

напряжения в электросети и т.п.). Далее, в соответствии с методикой, для каждого из объектов были получены оценки ущерба от различных угроз, а затем объекты были объединены в следующие информационные блоки:

1. компьютер преподавателя в компьютерном классе;

2. компьютер студента в компьютерном классе;

3. коммутационное оборудование в компьютерном классе;

4. материалы преподавателя в бумажной форме в компьютерном классе;

5. материалы студента в бумажной форме в компьютерном классе;

6. информация в акустической форме в компьютерном классе;

7. сервер, обеспечивающий функционирование локальной сети, в серверной комнате;

8. сервер СДО в серверной комнате;

9. сервер, обеспечивающий доступ пользователей в сеть Интернет, в серверной комнате;

10. коммутационное оборудование в серверной комнате;

11. информация в бумажной форме в серверной комнате;

12. информация в акустической форме в серверной комнате;

13. помещение компьютерного класса;

14. помещение серверной комнаты.

Затем был составлен перечень контрмер, которые могут быть применены в данной системе с целью снижения вероятности реализации угроз:

1. закупка оборудования рабочих станций;

2. закупка оборудования серверов;

3. закупка коммутационного оборудования;

4. использование антивирусных средств на рабочих станциях;

5. использование антивирусных средств на серверах;

6. использование локальных средств сетевой защиты на рабочих станциях;

7. использование локальных средств сетевой защиты на серверах;

8. оплата работы администраторов сети;

9. организация обучения преподавателей компьютерной грамотности;

10. противопожарная защита компьютерных классов;

11. противопожарная защита серверной;

12. техническая защита помещений;

13. физическая охрана помещений.

Ввиду отсутствия статистических данных были составлены анкеты, в которых экспертам было предложено оценить количество опасных ситуаций и вероятность их негативного исхода по всем блокам для каждой из угроз при различных объемах финансирования, выделяемого на применение перечисленных контрмер.

На основе полученных оценок с использованием математического программного пакета МаШсас! 14.0 были составлены функции, описывающие уровень риска для различных информационных блоков по всем угрозам. Так,

например, для информационного блока - "компьютер преподавателя" и угрозы -"нарушение правил эксплуатации..." была получена следующая формула: ^,(1) = (0,333 +16000)-(0,049-е-"'7"'0"4 " +8,3хЮ-4 + 0,025Х е-1-**"10"' +

+ 8,208х Ю"1 - (0,049 *' + 8,3х КГ") Х (0,025 + 8,208 х 10'3)),

где Р\г\(х) - функция, описывающая уровень риска для данной пары "информационный блок - угроза";

*8 и х9 - компоненты вектора х, описывающие объемы денежных средств, выделенных на "оплату работы администраторов" и "организацию обучения преподавателей..." соответственно.

На следующем этапе анализа путем суммирования полученных функций была построена функциональная зависимость Р(х), описывающая уровень риска для системы в целом.

Ввиду отсутствия данных о текущих объемах финансирования задач, связанных с информационной безопасностью, оценить текущий уровень информационного риска не представляется возможным. Таким образом, сразу была рассмотрена задача определения оптимального уровня финансирования статей расходов, влияющих на уровень безопасности системы.

Общие затраты на информационную безопасность будут складываться из непосредственных расходов на проведение мероприятий по защите информации

а также значений информационного риска для каждой пары Ри(х),

который представляет наиболее вероятный размер ущерба за рассматриваемый период (1 год). Таким образом, получаем следующую задачу оптимизации:

мм (15)

V, .<*,,/И 1,13.

Данная задача относится к классу задач нелинейного программирования. Для ее решения был использован программный продукт Mathcad 14.0. G(X) > Р(Х) + Xj + Х2 + Х3 + Х4 + Xj + Х6 + Х7 + Х2 + Х9 + Х10 + Хп + Х12 + Хп

Xmiiij257040 Xmin2:= 9000 Xmin3 2460 Xmm40 Xnrj 0 Xffiin^ 0 Xmiruj :- 0 Xmmg 0 Xfflin9;-0 XmiiijQ8000 ХгшПц > 200 Xmin12>0 Xitun13 0 XO Miitffliize(0,X)

GCXD1 - 3.439 x 10б P(XD4i - 8.361 x 105 ОГХют) - 3.906 x Ю8 P(Ximn) - 3.89? x 10S 13 13

y Я0- 2.603Xl6 У Xmm.-OSTxIO5 . m.

-> i > gxd)

i"1 i-1

Таким образом, при эффективном использовании контрмер возможно удержание среднегодовых затрат на информационную безопасность на уровне 3 439тыс.руб. Причем 836,1 тыс.руб. из данной суммы будут приходиться на

потери от реализации угроз, а 2 603 тыс.руб. - на финансирование мероприятий информационной безопасности. Данные средства дожны быть распределены

между рассматриваемыми следующим образом: статьями бюджета информационной безопасности

Закупка оборудования рабочих станций: -8_57х105 Оплата работы администраторов сети: Х03-1.09бхЮ6

Закупка оборудования серверов: Х03 - 9 х 103 Организация обучения преподавателей компьютерной грамотности: Юр-о

Закупка ксммутационнэго оборудования Х03 - 2.46 х Ю3 Противопожарная защита компьютерных классов ХО,а-8* Ю3

Использование антивирусных средств на серверах: Х05- 153 х 1С3 Противопожарная защита серверной ХОи -2С0

Использование локальных средств сетевой защити на рабочих станциях: хо6.о Техническая защита помещений: ХС12 - 3.717 х 103

Использование локальных срэдсте сетевой защиты на серверах ХЭ7 - 9385 X 103 Физическая охрана помещений: ХОпШхЮ5

Если, на мероприятия по информационной безопасности выделять только обязательный минимум средств, необходимый для функционирования информационной системы, то значение потерь составит 390 600 тыс.руб., что в 113,6 раз больше, чем при найденном решении. Таким образом, выделяя ежегодно 2 603 тыс.руб. на обеспечение информационной безопасности, при оптимальном распределении данных средств можно добиться сокращения среднегодовых затрат в данной области на 387 160 тыс.руб.

Данный пример демонстрирует возможности использования построенной методики оценки риска в задачах оптимизации, а также в создании экономически оправданной политики информационной безопасности. Ее применение позволит заложить четкие методологические основы в процесс планирования объема бюджета на информационную безопасность за счет выбора системы контрмер, которая обладала бы наилучшим соотношением цена-качество.

ОСНОВНЫЕ ВЫВОДЫ И РЕЗУЛЬТАТЫ ИССЛЕДОВАНИЯ

Материалы, изложенные в диссертации, позволяют сделать следующие выводы:

1. Сравнительный анализ наиболее распространенных методик и программных продуктов, предназначенных для оценки уровня информационного риска, показал, что в подавляющем большинстве случаев специфика исследуемой информационной системы не учитывается, а анализ уровня риска строится на сравнении используемых в организации мер защиты с требованиями, прописанными в соответствующих стандартах.

2. Анализ методик количественной оценки информационных рисков, а также основанных на них программных продуктов показал, что при оценке риска используются исключительно статические оценки вероятности реализации угроз, что приводит к необходимости

повторного проведения расчетов для проверки эффективности различных вариантов контрмер.

3. Анализ общей направленности наиболее распространенных методик и программ оценки информационных рисков показал, что на современном этапе развития данной области наибольшее внимание уделяется техническим средствам и организационно-административным мерам защиты информации, при этом практически не рассматривается вопрос об определении требуемого уровня финансирования для реализации указанных мер.

4. Проведенный комплекс исследований текущего состояния дел в области анализа информационных рисков позволяет сделать вывод о необходимости создания новой методики анализа информационных рисков, позволяющей эффективно управлять финансовыми активами для обеспечения экономически обоснованного уровня защиты информации.

5. Предложен способ оценки уровня риска для информационного объекта с помощью функции, в качестве аргументов которой выступает объем денежных средств, выделяемых на защиту объекта, а также их распределение между отдельными мероприятиями информационной безопасности.

6. Разработана математическая модель зависимости денежного выражения информационного риска для организации от объемов финансирования отдельных статей бюджета, влияющих на уровень информационной безопасности. Данная модель может быть использована при решении различных задач, связанных с анализом влияния бюджета информационной безопасности на общий уровень информационного риска для данной системы.

7. На основе предложенной математической модели разработана методика оценки текущего уровня информационного риска для организации, а также рассмотрены задачи оптимального распределения денежных средств, выделяемых на защиту информационных ресурсов, между отдельными задачами информационной безопасности, включая задачу определения экономически обоснованного объема финансирования, выделяемого на защиту информации.

8. Рассчитан уровень информационного риска для участка информационной системы ВУЗа и предложен оптимальный вариант распределения денежных средств между отдельными задачами, связанными с защитой информации. Результаты расчета показывают, что отсутствие мер по защите информации может привести к существенным финансовым потерям, в то же время эффективное планирование статей бюджета, влияющие на информационную безопасность, позволяет более чем на порядок снизить расходы, связанные с информационными рисками.

9. Показана практическая значимость и продемонстрирована эффективность применения функциональной зависимости риска от объемов денежных

средств при решении задачи оптимизации финансирования мероприятий информационной безопасности.

10. Предложенная методика может быть использована компаниями, осуществляющими разработку инструментальных средств анализа информационных рисков, организациями, занимающимися непосредственной проверкой защищенности информационных систем, а также страховыми компаниями, предлагающими услуги в области страхования информационных рисков.

СПИСИОК ОПУБЛИКОВАННЫХ РАБОТ Список опубликованных работ по теме диссертационного исследования: В изданиях, рекомендованных ВАК:

1. Немиткина В.В. Применение методов оптимизации при анализе и управлении информационными рисками // Экономика и математические методы, 2008, том 44, №2. (1, п.л.)

2. Мастяева И.Н., Немиткина В.В. Оптимизация затрат организаций, связанных с информационными рисками // Экономические науки. Научно-информационный журнал. №11(36), 2007. (авторские - 0,3 п.л.)

В других научных изданиях:

3. Немиткина В.В. Методика оценки информационного риска в коммерческой организации // Математика, информатика, естествознание в экономике и в обществе/ Труды международной научно-практической конференции. -М.: МФЮА, 2007. (0,3 п.л.)

4. Немиткина В.В. Информационные риски системы дистанционного образования вуза: классификация угроз, этапы оценки // Роль бизнеса в трансформации российского общества: сб. научных трудов / отв. ред. Ю.Б. Рубин. В 2 т. Т. 1. Ч М.: Московская финансово-промышленная академия; Маркет ДС, 2007. (0,2 п.л.)

5. Немиткина В.В. Проблемы оценки информационных рисков // Система бизнеса/ Под ред. профессора Ю.Б. Рубина. Московская финансово-промышленная академия. М.: Маркет ДС, 2006. Вып. 2. (0,2 п.л.)

Подписано к печати 24.12.08

Формат издания 60x84/16 Бум. офсетная №1 Печать офсетная Печ.л. 1,5 Уч.-издл. 1,4 Тираж 100 экз.

Заказ № 7846

Типография издательства МЭСИ. 119501, Москва, Нежинская ул., 7

Диссертация: содержание автор диссертационного исследования: кандидат экономических наук , Немиткина, Виктория Викторовна

ВВЕДЕНИЕ.

ГЛАВА 1. МЕТОДОЛОГИЧЕСКИЕ ПОДХОДЫ К АНАЛИЗУ И УПРАВЛЕНИЮ РИСКАМИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ.

1.1. Информация и особенности ее защиты.

1.2. Классификация организаций по уровню требований, преъявляемых ими к информационной безопасности.

1.3. Процесс анализа и управления информационными рисками.

1.4. Методики оценки рисков.

1.5. Средства анализа и управления информационными рисками.

1.5.1. Обзор основных стандартов в области защиты информации и управления рисками.

1.5.2. Обзор инструментальных средств анализа и управления информационными рисками.

Выводы по первой главе.

ГЛАВА 2. РАЗРАБОТКА МЕТОДИКИ АНАЛИЗА РИСКОВ ДЛЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ ОРГАНИЗАЦИИ.

2.1. Постановка задачи анализа рисков.

2.2. Инвентаризация и классификация информационных ресурсов.

2.3. Определение перечня угроз.

2.4. Определение понятия информационного риска и подходы к его оценке.

2.5. Методика оценки интегрального уровня риска для информационной системы в целом.

2.6. Управление информационными рисками.

2.6.1. Задача оптимального распределения денежных средств между отдельными направлениями защиты информации.

2.6.2. Задача определения оптимального объема денежных средств, необходимого для обеспечения информационной безопасности.

Выводы по второй главе.

ГЛАВА 3. АНАЛИЗ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ

3.1. Актуальность вопросов защиты информации в современном ВУЗе.

3.2. Информационная система ВУЗа.

3.3. Определение угроз.

3.4. Оценка уровня риска.

3.5. Определение оптимального объема денежных средств, необходимого для обеспечения безопасности исследуемой информационной системы

Выводы по третьей главе.

Диссертация: введение по экономике, на тему "Анализ и управление рисками в области защиты информации"

Актуальность исследования. В последнее время быстрое развитие технологий передачи и обработки информации сделало ее одним из ценнейших ресурсов. На сегодняшний день информация приобретает уникальную ценность и является одним из критически важных ресурсов Ч это новые идеи, производственные, коммерческие секреты и т.д. Все это не могло не наложить свой отпечаток на ведение бизнеса на всех уровнях. Информация используется для принятия важных стратегических решений и от того, насколько она будет достоверна и актуальна, может зависеть дальнейшая судьба фирмы. Разглашение или утечка конфиденциальной коммерческой информации могут повлечь значительные финансовые убытки, а также негативно отразиться на имидже компании. Уничтожение одного или нескольких информационных ресурсов способно надого парализовать деятельность целого предприятия. Поэтому, совершенно очевидно, что вопросы обеспечения безопасности информации сегодня являются ключевыми проблемами бизнеса. Наиболее актуальны эти вопросы для компаний, имеющих отношение к информационным технологиям, к банковскому сектору, к услугам связи, к инновационным проектам и т.п.

Таким образом, перед современным бизнесом остро встает задача обеспечения надежной защиты своих информационных ресурсов. Однако, как и любая другая защита, защита информации является делом крайне дорогостоящим, и далеко не всегда руководители предприятий осознают, что такие вложения являются крайне выгодными, позволяя существенно снизить потери, связанные с информационными рисками. Большинство публикаций, посвященных вопросам информационной безопасности, изобилуют техническими подробностями, при этом абсолютно упускают из виду проблему экономической целесообразности тех или иных решений. Так, основная масса существующих стандартов используют понятие "модели нарушителя", которое позволяет определить возможности злоумышленника, против которого направлена система защиты информации. Однако такой подход позволяет лишь оценить надежность системы и не учитывает ее стоимостные характеристики. Вместе с тем вопрос экономической эффективности является ключевым при принятии решений о выделении различных денежных сумм на реализацию отдельных программ и мероприятий по обеспечению информационной безопасности. На сегодняшний день наиболее распространенным способом решения данного вопроса является применение систем анализа рисков, позволяющих оценить риски в информационной системе и выбрать оптимальный по эффективности вариант контрмер.

В настоящее время существует целый ряд программных продуктов, ориентированных на оценку информационных рисков организаций. Однако подавляющее большинство из них рассматривают лишь риски, связанные с компьютерной подсистемой информационной инфраструктуры компании, оставляя в стороне бумажный документооборот, проблему защиты информации при телефонных и личных переговорах, а также другие процессы в организации, в ходе которых происходит передача, обработка или хранение информации. Кроме того, такие программные продукты в своей работе используют лишь общие рекомендации по защите компьютерных сетей и часто не учитывают конкретных особенностей информационной инфраструктуры фирмы.

Все это зачастую "ставит в тупик" руководителей высшего звена, которые в последнее время, осознавая важность проблемы обеспечения информационной безопасности на предприятии, начинают уделять ей существенно больше внимания. Однако при этом далеко не всегда они могут обоснованно оценить объем денежных средств, необходимый для решения задач информационной безопасности. Кроме того, не менее важным является распределение данных средств между отдельными задачами, касающимися обеспечения защиты информации. Эта проблема, как правило, решается исключительно на основе интуитивных предположений руководителей подразделений без опоры на формальное обоснование экономической целесообразности данного решения.

Таким образом, актуальность данной работы обусловлена существующей на сегодняшний день потребностью в создании методик управления финансовыми активами в рамках решения задач обеспечения информационной безопасности и снижения уровня информационных рисков.

Цели и задачи исследования. Целью диссертационного исследования является построение методики оценки информационных рисков организации и оптимизация распределения средств, выделенных на реализацию мероприятий информационной безопасности.

В соответствии с поставленной целью в диссертации поставлены и решены следующие задачи:

Х классификация организаций по уровню требований, предъявляемых ими к информационной безопасности;

Х сравнительный анализ существующих методик оценки информационных рисков и обзор основных стандартов в области защиты информации и управления рисками;

Х обзор существующих инструментальных средств анализа и управления информационными рисками с целью выявления их основных характеристик, а также сильных и слабых сторон;

Х выявление состава параметров, влияющих на оценку информационного риска;

Х определение вида и свойств функции зависимости риска от средств, вложенных в мероприятия информационной безопасности;

Х построение математической модели зависимости уровня информационного риска от объема денежных средств, выделяемых на решение задач информационной безопасности, а также распределения этих средств между отдельными направлениями обеспечения защиты;

Х разработка методики оценки уровня риска для информационной инфраструктуры организации, а также подходов к оптимизации расходов на информационную безопасность;

Х апробация разработанной методики при решении задачи анализа рисков для информационной системы ВУЗа.

Объект и предмет исследования. Объектом диссертационного исследования является информационная инфраструктура организации.

Предметом исследования выступают риски, возникающие в процессе обработки и хранения информации в организации, а также их зависимость от объемов финансирования мероприятий, связанных с защитой информации.

Теоретическая и методологическая основа исследования.

Теоретическую и методологическую основу исследования составили труды отечественных и зарубежных ученых в предметных областях экономики, математики, информационной безопасности, риск-менеджмента, теории оптимального управления. В частности, разработки и исследования следующих российских авторов: Домарева В.В., Кононова А.А., Петренко С.А и Симонова С.В.

В работе также применялись:

Х международные стандарты в области защиты информации и анализа информационных рисков (ISO 15408, ISO 17799, BSI и др.);

Х руководящие документы Гостехкомиссии России;

Х описания существующих как отечественных, так и зарубежных инструментальных средств анализа и управления информационными рисками (COBRA, CRAMM, Гриф и др.);

Х нормативные и законодательные акты, принятые на территории Российской Федерации.

Научная новизна. Поставлена и решена новая актуальная научная проблема: разработка методики оценки и управления информационными рисками, учитывающей структуру финансирования мероприятий информационной безопасности в коммерческой организации.

Предмет защиты составляют следующие результаты, полученные лично автором и содержащие элементы научной новизны:

Х проведен сравнительный анализ существующих средств и методик анализа информационных рисков и выявлена ограниченность существующих подходов;

Х построена математическая модель, описывающая зависимость уровня риска для информационной инфраструктуры организации от объемов финансирования задач информационной безопасности;

Х разработана методика анализа рисков информационной инфраструктуры организации;

Х формализована задача оптимизации распределения средств, выделенных на обеспечение информационной безопасности, между мероприятиями по защите отдельных информационных ресурсов;

Х формализована задача оптимизации финансирования мероприятий информационной безопасности.

Практическая значимость заключается в разработке методики оценки и управления информационными рисками, учитывающей особенности финансирования мероприятий информационной безопасности в коммерческой организации и позволяющей оценить экономическую эффективность бюджета, выделенного на защиту информации.

Область применения результатов исследования. Методики, созданные в рамках диссертационного исследования, могут быть использованы руководством компаний для определения оптимального объема финансирования, выделяемого на защиту информации, а также руководителями подразделений, отвечающих за информационную безопасность, при распределении средств между отдельными мероприятиями. Кроме того, предложенные методики могут быть использованы в работе компаний, осуществляющих аудит информационной безопасности.

Полученные результаты также будут полезны будущим специалистам в области информационной безопасности компаний. Материалы диссертационного исследования могут использоваться в учебном процессе.

Апробация результатов. Результаты исследования докладывались на Всероссийской научно-практической конференции Математика, информатика, естествознание в экономике и в обществе, проходившей в Московской финансово-юридической академии, 22 ноября 2007 года.

Публикации. По материалам диссертационного исследования опубликовано 5 научных работ общим объемом 2 п.л.

Структура работы. Диссертационная работа состоит из введения, трех глав, заключения, списка использованной литературы и приложений, допоняющих основной текст.

Диссертация: заключение по теме "Математические и инструментальные методы экономики", Немиткина, Виктория Викторовна

ВЫВОДЫ ПО ТРЕТЬЕЙ ГЛАВЕ

1. Активное развитие информационных технологий в области высшего образования привело к тому, что количество проблем, связанных с информационной безопасностью в ВУЗе, возросло многократно. Повышение уровня открытости информационной системы ВУЗа и рост интенсивности обмена с внешними по отношению к данной системе клиентами и ресурсами приводят к снижению защищенности системы и способны обернуться крупными финансовыми потерями для института. В связи с этим ВУЗу, как и коммерческой организации, будет актуально проведение комплексного анализа информационных рисков, который позволит оценить уровень возможных потерь, а также определить эффективный комплекс контрмер.

2. Для участка информационной системы ВУЗа были определены перечень информационных объектов и список актуальных угроз. На основе полученных экспертных оценок были построены функции, описывающие зависимость уровня риска для информационного объекта от объема денежных средств, вкладываемых в меры по противодействию угрозам безопасности. После чего была описана зависимость уровня риска для информационной системы в целом от объема финансирования задач безопасности и распределения данных денежных средств между отдельными направлениями защиты.

3. На основе построенной модели была сформулирована и решена задача нахождения оптимального уровня финансирования мер по противодействию угрозам информационной безопасности. Предложенный бюджет финансирования мероприятий по защите информации позволил в более чем на порядок снизить общие затраты, связанные с информационной системой ВУЗа.

4. Рассмотренный пример анализа уровня информационного риска показывает, что применение предложенной методики позволяет существенно снизить общие расходы, связанные с информационной безопасностью, и эффективно распределить денежные средства между отдельными задачами защиты информации.

5. Приведенный расчет уровня риска для участка информационной системы может рассматриваться в качестве первого этапа для проведения пономасштабного анализа рисков для информационной системы ВУЗа в целом.

ЗАКЛЮЧЕНИЕ

1. Сравнительный анализ наиболее распространенных методик и программных продуктов, предназначенных для оценки уровня информационного риска, показал, что в подавляющем большинстве случаев специфика исследуемой информационной системы не учитывается, а анализ уровня риска строится на сравнении используемых в организации мер защиты с требованиями, прописанными в соответствующих стандартах.

2. Анализ методик количественной оценки информационных рисков, а также основанных на них программных продуктов показал, что при оценке риска используются исключительно статические оценки вероятности реализации угроз, что приводит к необходимости повторного проведения расчетов для проверки эффективности различных вариантов контрмер.

3. Анализ общей направленности наиболее распространенных методик и программ оценки информационных рисков показал, что на современном этапе развития данной области наибольшее внимание уделяется техническим средствам и организационно-административным мерам защиты информации, при этом практически не рассматривается вопрос об определении требуемого уровня финансирования для реализации указанных мер.

4. Проведенный комплекс исследований текущего состояния дел в области анализа информационных рисков позволяет сделать вывод о необходимости создания новой методики анализа информационных рисков, позволяющей эффективно управлять финансовыми активами для обеспечения экономически обоснованного уровня защиты информации.

5. Предложен способ оценки уровня риска для информационного объекта с помощью функции, в качестве аргументов которой выступает объем денежных средств, выделяемых на защиту объекта, а также их распределение между отдельными мероприятиями информационной безопасности.

6. Разработана математическая модель зависимости денежного выражения информационного риска для организации от объемов финансирования отдельных статей бюджета, влияющих на уровень информационной безопасности. Данная модель может быть использована при решении различных задач, связанных с анализом влияния бюджета информационной безопасности на общий уровень информационного риска для данной системы.

7. На основе предложенной математической модели разработана методика оценки текущего уровня информационного риска для организации, а также рассмотрены задачи оптимального распределения денежных средств, выделяемых на защиту информационных ресурсов, между отдельными задачами информационной безопасности, включая задачу определения экономически обоснованного объема финансирования, выделяемого на защиту информации.

8. Рассчитан уровень информационного риска для участка информационной системы ВУЗа и предложен оптимальный вариант распределения денежных средств между отдельными задачами, связанными с защитой информации. Результаты расчета показывают, что отсутствие мер по защите информации может привести к существенным финансовым потерям, в то же время эффективное планирование статей бюджета, влияющие на информационную безопасность, позволяет более чем на порядок снизить расходы, связанные с информационными рисками.

9. Показана практическая значимость и продемонстрирована эффективность применения функциональной зависимости риска от объемов денежных средств при решении задачи оптимизации финансирования мероприятий информационной безопасности.

10. Предложенная методика может быть использована компаниями, осуществляющими разработку инструментальных средств анализа информационных рисков, организациями, занимающимися непосредственной проверкой защищенности информационных систем, а также страховыми компаниями, предлагающими услуги в области страхования информационных рисков.

Диссертация: библиография по экономике, кандидат экономических наук , Немиткина, Виктория Викторовна, Москва

1. Агзамов С. Безопасность в современных информационных сетях // "InfoCOM.UZ". №3. 2005. Адрес в Интернете: Ссыка на домен более не работаетmore.php?id=A781 0 1 ОМ

2. Айвазян С.А., Мхитарян B.C. Прикладная статистика и основы эконометрики. М.: ЮНИТИ, 1998.

3. Акимов. Е. IT-security. Экономическая эффективность и управление рисками // Компания "Инфотекс Интернет Траст". Адрес в Интернете: http ://www.iitrust.ru/articles/it-secrisk. htm

4. Анализ рисков (CRAMM, RISKWATCH, РИСКМЕНЕДЖЕР) // Группа компаний КомпьюЛинк. Адрес в Интернете: Ссыка на домен более не работаетnew/htdocs/index.php?id=l 00000657

5. Анализ рисков в корпоративных информационных системах // ASTERA DailyNews от 01.01.2007. Адрес в Интернете Ссыка на домен более не работаетnews/dailynews/week40/011001 6.html

6. Андронов С.А. Методы оптимального проектирования. СПб.: СПбГУАП, 2001.

7. Астахов А. Анализ защищенности корпоративных автоматизированных систем // Информационный бюлетень "Jet Info". -№7 (110)/2002.

8. Астахов А. Аудит безопасности информационных систем. Адрес в Интернете: Ссыка на домен более не работаетchitalnyi-zai/audit-informacionnoi-bezopasnosti/audit-bezopasnosti-informacionnyh-sistem/

9. Ю.Астахов А. Анализ рисков и управление ими // Центр аудита информационной безопасности. Адрес в Интернете: Ссыка на домен более не работаетpq/show/risks/page2.html

10. П.Балашов П. А., Безгузиков В. П., Кислов Р. И. Оценка рисков информационной безопасности на основе нечеткой логики // Защита информации. Конфидент. № 5/2003.

11. Баталова Н., Симис Б. Система защиты внедрена и работает. Что дальше? // Сетевые решения. №1/2006.

12. Баутов А. Н. Экономический взгляд на проблемы информационной безопасности // Открытые системы. Ч №2/2002.

13. Баутов А. Эффективность защиты информации // Открытые системы. -№07-08/2003.

14. Безопасность сайта // Компания Eurosite. Адрес в Интернете: Ссыка на домен более не работаетariicle.php?idn=917

15. Березин А. С. Информационная безопасность и интересы бизнеса // Прогноз финансовых рисков. Адрес в Интернете: Ссыка на домен более не работаетsecurity/19565.html

16. Бетелин В.Б., Галатенко В.А. Информационная безопасность в России: опыт составления карты // Информационный бюлетень "Jet Info". №1 (56)/1998.

17. Бетелин В.Б., Галатенко В.А., Кобзарь М.Т., Сидак А.А., Трифаленков И.А. Профили защиты на основе "Общих критериев". Аналитический обзор. Адрес в Интернете: fittp://zeus.sai.msu.ru:7000/security/criteria/

18. Борейко А. Компьютерные технологии: Защити себя сам // Интернет газета "Охрана.ш". Адрес в Интернете:Ссыка на домен более не работаетpub lisher2344299?search=%CA%EE%EC%EF%FC%

19. FE%F2%E5%F0%ED%FB%E5%20%F2%E5%F5%ED%EE%EB%EE%E3%1. Е8%Е8

20. Брод М. Целостный подход к проблемам безопасности // SoftKey.info от 21.09.2004. Адрес в Интернете: Ссыка на домен более не работаетpress/review908.php?sphid=::

21. Бурдин О.А., Кононов А.А. Комплексная экспертная система управления информационной безопасностью "АванГард" // Информационное общество. Выпуск 3, 2002.

22. Васильев В.И., Хисамутдинов Т.З., Красько А.С., Матвеев П.В. Экспертная система поддержки принятия решений в процессе аудита информационной безопасности // Информационное противодействие угрозам терроризма. №4/2005.

23. Винклер А. Задание: шпионаж // Информационный бюлетень "Jet Info". -№19/1996.

24. Вихорев С., Ефимов А. Практические рекомендации по информационной безопасности // Информационный бюлетень "Jet Info". Ч №10-11/1996.

25. Вихорев С., Кобцев Р. Как определить источники угроз? // Открытые системы. №07-08/2003.

26. Вороненко П. Информационная безопасность. Ситуация в мире и России // Информационный бюлетень "Jet Info". №8 (87)/2000.

27. Гайкович В. Ю. Основы безопасности информационных технологий // Центр аудита информационной безопасности. Адрес в Интернете: Ссыка на домен более не работаетpq/show/zi.htm

28. Галатенко В. Информационная безопасность обзор основных положений // Открытые системы. - №3/1996.

29. Галатенко В., Дорошин И. Доступность как элемент информационной безопасности // Информационный бюлетень "Jet Info". №2/1997.

30. Галатенко В., Трифаленков И. Информационная безопасность в Интранет: концепции и решения // Информационный бюлетень "Jet Info". Ч №2324/1996.

31. Гнеденко Б. В. Курс теории вероятностей: Учебник. Изд. 8-е, испр. и доп. М.: Едиториал УРСС, 2005.

32. Гордеев Ю.А., Ключко Н.В., Кононов А.А. Система страхования компьютерных рисков как важное условие обеспечения безопасности. Информационное общество. Выпуск 3, 2002.

33. ГОСТ Р 51898-2002 "Аспекты безопасности. Правила включения в стандарты" от 05.06.2002г.

34. Гузик С. Зачем проводить аудит информационных систем? // Информационный бюлетень "Jet Info". -№10 (89)/2000.

35. Давлетханов М. Утечки данных и как с ними бороться // Компания NetworkProfi. Адрес в Интернете:Ссыка на домен более не работаетoutflowofdataandhow to struggle them.html

36. Давлетханов M. Инсайдеры Ч это опасность // Компания NetworkProfi. Адрес в Интернете: Ссыка на домен более не работаетinsidersisadanger.html

37. Давлетханов М. Безопасность сети. Цели и угрозы // Компания NetworkProfi. Адрес в Интернете:Ссыка на домен более не работаетsafetyofanetwork.thepurposesandthreats.html

38. Давлетханов М. Защитить информацию? А какую? // Компания NetworkProfi. Адрес в Интернете:http ://networkprofi. ru/topro tecttheinformationandwhat.html

39. Давлетханов М. Компьютерная преступность сегодня // Компания NetworkProfi. Адрес в Интернете: Ссыка на домен более не работаетcomputercriminalitytoday.html

40. Давлетханов М. Оценка затрат компании на ИБ // Компания NetworkProfi. Адрес в Интернете:Ссыка на домен более не работаетestimationofexpensesofthecompanyonis.html

41. Давлетханов М. Оценка затрат на ИБ. Практикум // Компания NetworkProfi. Адрес в Интернете:http.V/networkprofi.ru/estimationofexpensesonisec.apracticalwork.html

42. Девянин П.Н. Модели безопасности компьютерных систем. Ч М.: Издательский центр Академия, 2005.

43. Демидович Б.П., Марон И.А., Шувалова Э.З. Численные методы анализа. Приближение функций, дифференциальные и интегральные уравнения: Учебное пособие. 4-е изд., стер. / Под ред. Б.П. Демидовича. СПб.: Издательство "Лань", 2008.

44. Доля Ф. Информационная безопасность. Интервью с Ильей Медведомским. Адрес в Интернете:Ссыка на домен более не работаетonline.slitml?articles/softwai'e/mterview/12369

45. Домарев В.В. Оценка эффективности средств защиты // Сайт "Безопасность информационных технологий". Адрес в Интернете: http:/Avww.security. uki-net.net/modules/nevvs/article.php ?storyid=343

46. Домарев В.В. Модель и программа оценки систем защиты // Сайт "Безопасность информационных технологий". Адрес в Интернете: Ссыка на домен более не работаетmodules/news/article.php?storyid=48

47. Домарев В.В. Критерии оценки безопасности (15408) // Сайт "Безопасность информационных технологий". Адрес в Интернете: Ссыка на домен более не работаетmodules/news/article.php?storyid=49

48. Домарев В.В. Управление рисками // Сайт "Безопасность информационных технологий". Адрес в Интернете:Ссыка на домен более не работаетmodules/sections/index. php?op=viewarticle&art id=754

49. Домарев В.В. Рекомендации по обеспечению сетевой безопасности // Сайт "Безопасность информационных технологий". Адрес в Интернете: Ссыка на домен более не работаетinodules/sections/index.php?op=viewarticle&art id=758

50. Домарев В.В. Энциклопедия безопасности информационных технологий. Методология создания систем защиты информации. Ч К.: ООО "ТИД "ДС", 2001.

51. Доценко С.М., Зайчиков А.А., Малыш В.Н. Повышение объективности исходных данных как альтернатива методу нечеткой логики при оценке риска информационной безопасности // Защита информации. Конфидент. № 5/2004.

52. Драчев С. С. Основы корпоративной безопасности. М.: Полигон, 2000.

53. Дубров A.M., Лагоша Б.А., Хрусталев Е.Ю., Барановская Т.П. Моделирование рисковых ситуаций в экономике и бизнесе. М.: Финансы и статистика, 2001.

54. Дятлов Б. Будь начеку. Главная опасность для корпоративных информационных сетей кроется в пассивности их владельцев // Ежедневная Интернет-газета ComNews.ru от 10.07.2002. Адрес в Интернете: Ссыка на домен более не работаетmdex.cfTn7idЧ3533

55. Исаев В. Как обосновать затраты на информационную безопасность? // Информационный бюлетень "InfoSecurity.ru" Ч №34 (44) от 3.12.2002. Адрес в Интернете: Ссыка на домен более не работаетgazeta/021203.shtml

56. Исследование Infowatch о внутренних ИТ-угрозах в России: год спустя // Публикация компании Infowatch на сайте "Information Security/Информационная безопасность". Адрес в Интернете: Ссыка на домен более не работаетnewstext.php?newsid=:l 1508

57. Кадер М. Окупаемость финансовых вложений в сетевую безопасность // Агентство CNews/Аналитика. Адрес в Интернете: Ссыка на домен более не работаетreviews/free/security/part5/

58. Казаков Н. Информационно-аналитические материалы по вопросу обеспечения защиты от технических средств разведки, а также безопасности в технических средствах и средствах обработки компьютерной информации // Интернет газета "Охрана.ги". Адрес в

59. Интернете: Ссыка на домен более не работаетanalytics615116?search=%C8%ED%F4

60. EE%F0%EC%E0%F6%E8%EE%ED%ED%EE-%E0%ED%E0%EB%E8

61. F2%E8%F7%E5%Fl

62. EB%FB%20%EF%EE%20%E2%EE%EF%F0%EE%F1%F3

63. Как обеспечить информационную безопасность предприятия // Центр аудита информационной безопасности. Адрес в Интернете: Ссыка на домен более не работаетpq/show/seminar/html/index.html

64. Кармазин М., Тайль М. Проблемы распределения рисков (на примере внутрифирменной компьютеризованной информационной системы) // Проблемы теории и практики управления. №5 / 1999.

65. Касперский Е. Основные классы угроз в компьютерном сообществе 2003 года, их причины и способы устранения // Информационный бюлетень "Jet Info". № 12 (127)/2003.

66. Коберский Ю. Человек самое слабое звено IT-безопасности! // Компания NetworkProfi. Адрес в Интернете:http ://networkprofi. ru/humaiitheweakestpartofit-safety. html

67. Кононов A.A. Проблемы безопасности информационной инфраструктуры бизнеса // Информационное общество. Ч Выпуск 3, 2002.

68. Кононов А.А. Задачи управления информационной безопасностью бизнеса // Научно-техническая информация. Сер. 1. Организация и методика информационной работы / ВИНИТИ РАН, 2003, №11.

69. Кононов А.А., Бурдия О.А., Поликарпов А.К. Аксиоматика управления рисками и безопасностью автоматизированных информационных систем // Научно-техническая информация. Сер. 1. Организация и методика информационной работы / ВИНИТИ РАН, 2003, № 8.

70. Кононов А.А. Поликарпов А.К. Автоматизация построения профилей защиты с использованием комплексной экспертной системы "АванГард" // Научно-техническая информация. Сер. 1. Организация и методика информационной работы / ВИНИТИ РАН, 2003, № 8.

71. Крымский JI. Сотрудники компании как основной источник организационных угроз информационной безопасности // Информационный бюлетень лBugTraq.ru от 27.10.05. Адрес в Интернете: Ссыка на домен более не работаетlibrary/security/dangerstaff.html

72. Кудинов А. Аудит информационной безопасности в кредитных организациях // Центр исследования компьютерной преступности. 23.07.2004. Адрес в Интернете: Ссыка на домен более не работаетaiticles/Kudinovl

73. Куканова Н. Методика оценки риска ГРИФ 2005 из состава Digital Security // Информационный бюлетень лBugTraq.ru от 27.10.05. Адрес в Интернете: http.7/bugtraq.ru/1 ibrary/securitv/grifarmet.html

74. Куканова H. Современные методы и средства анализа и управление рисками информационных систем компаний // Информационный бюлетень "BugTraq.ru" от 27.10.05. Адрес в Интернете: http ://bugtraq.ru/library/s ecurity/arcmp .htm 1

75. Куканова H. Описание классификации угроз DSECCT// Информационный бюлетень "BugTraq.ru" от 27.10.05. Адрес в Интернете: Ссыка на домен более не работаетsecurity/dsecct.html

76. Лавринов Г.А., Хрусталев Е.Ю. Управление рисками при проектировании и производстве продукции военного назначения. Ч М.: ЦЭМИ РАН, 2005.

77. Леваков А. Проблемы России в условиях глобальной информатизации общества // Информационный бюлетень "Jet Info". № 10 (101)/2001.

78. Липаев В. В. Программно-технологическая безопасность информационных систем // Информационный бюлетень "Jet Info". №67/1997.

79. Липаев В.В. Анализ и сокращение рисков проектов программных средств // Информационный бюлетень "Jet Info". № 1 (140)/2005.

80. Липаев В.В. Технологические процессы и стандарты обеспечения функциональной безопасности в жизненном цикле программных средств // Информационный бюлетень "Jet Info". № 3 (130)/2004.

81. Лопарев С. А., Шелупанов А. А. Анализ инструментальных средств оценки рисков утечки информации в компьютерной сети предприятия // Вопросы защиты информации. № 4/2003.

82. Лосев С. Информационная безопасность снаружи и изнутри // Сетевой журнал №3/2005. Адрес в Интернете:Ссыка на домен более не работаетcgi-bnT/textprintl.pl/magazines/2005/03/46

83. Лукьяненко И. Застрахуйте информацию // Computerworld. Ч №19 21/05/2001.

84. Марков А. С. Проблемы создания компьютерных сетей учебных заведений, устойчивых к внешним и внутренним агрессивным воздействиям. Адрес в Интернете:http ://to lerance. mub iu. ru/base/marko v. html

85. Мезинов Д. Безопасность в современных информационных сетях:методология и средства // ООО Конард Средства защиты информации. Адрес в Интернете:Ссыка на домен более не работаетbooks.html-type==more&dir=books&id=0209.htm

86. Медведовский И. Д. Современные методы и средства анализа и контроля рисков информационных систем компаний // Прогноз финансовых рисков. Адрес в Интернете: Ссыка на домен более не работаетsecuritv/20461 .html

87. Медведовский И. Д. Особенности систем анализа информационных рисков на примере агоритма ГРИФ // Информационный бюлетень лBugTraq.ru от 06.09.04. Адрес в Интернете: Ссыка на домен более не работаетlibrary/security/grif.html

88. Медведовский И. Д. Особенности агоритмов систем анализа информационных рисков. Адрес в Интернете: Ссыка на домен более не работаетcm/total-it-risks092004.shtml

89. Медведовский И. Д. Затраты на ИТ-защиту: ищем золотую середину // CNews/Аналитика. Адрес в Интернете:http.7/www.cnews.ni/reviews/free/consulting/practics/risks.shtml

90. Медведовский И. Д. ISO 17799: эволюция стандарта с 2002 по 2005 год // Информационный бюлетень лBugTraq.ru от 18.12.05. Адрес в Интернете: Ссыка на домен более не работаетlibrary/security/isoevolution.html

91. Медведовский И. Д. Как защитить сети корпораций от вторжений. Адрес в Интернете: Ссыка на домен более не работаетkorpor.htm

92. Медведовский И. Д., Куканова Н. Анализируем риски собственными силами // CONNECT! Мир Связи. -№3.2006.

93. Методические материалы по управлению рисками проекта Электронный ресурс. / А. А. Артамонов. Ч Электрон, текстовые дан. Ч СПб., 2003. -Режим доступа: http.7/www.proriskman.narod.ru/index.html. Загл. с титул, экрана.

94. Минаев В. Экономические аспекты информационной безопасности // Вестник связи International. Ч №8/2003.

95. Минимизация рисков // SoftKey.info Новости мира ПО от 02.11.2005. Адрес в Интернете:Ссыка на домен более не работаетnews/news5187.php?sphid=:8227548

96. Мишель М. Управление информационными рисками // Финансовый директор. Ч №9 2003.

97. Нестеров С. А., н.р. Козлов В.Н. Использование процедуры анализа рисков при построении систем защиты компьютерных сетей // Материалы политехнического симпозиума Молодые ученые Ч промышленности Северо-Западного региона.

98. Ожегов С.И. Словарь русского языка / Под ред. Н.Ю. Шведофой. 16-е изд., испр. - М.: Рус. яз., 1984.

99. Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. Ч М.: Компания АйТи; ДМК Пресс, 2005.

100. Петренко С.А., Симонов С.В. Методики и технологии управления информационными рисками // IT Manager №3/2003.

101. Петренко С.А., Симонов С.В. Кислов Р. Информационная безопасность: экономические аспекты // Информационный бюлетень "Jet Info". -№10(125)/2003.

102. Петренко С.А., Симонов С.В. Экономически оправданная безопасность // IT Manager №15 (3)/2004.

103. Петренко С.А. Безопасность ИТ: общих стандартов мало // Агентство CNews/Аналитика. Адрес в Интернете: Ссыка на домен более не работаетreviews/free/security2004/standard/

104. Петренко С.А. Методика построения корпоративной системы защиты информации // Прогноз финансовых рисков. Адрес в Интернете: Ссыка на домен более не работаетsecurity/18867.html

105. Петренко С.А. Возможная методика построения системы информационной безопасности предприятия // Сайт "Безопасность для все". Адрес в Интернете: Ссыка на домен более не работаетkonf2.html

106. Петренко С.А. Методические основы защиты информационных активов компании // Информационный бюлетень "InfoSecurity.ru" Ч №44 (92) от 4.11.2003. Адрес в Интернете: Ссыка на домен более не работаетgazeta/031104.shtml

107. Петренко С.А. Методика реорганизации корпоративной системы информационной безопасности // Информационное общество. Ч Выпуск 3, 2002.

108. Петренко С,А., Терехова Е. Образование инвестиции в безопасность. Адрес в Интернете: Ссыка на домен более не работаетbranch/presscode.showarticle?artciid= 2762&dpr=&prd=&dz=&bid=l

109. Полонская Е. Безопасность сети: то, что дожен знать каждый // Издательский Дом "КОМИЗДАТ". Адрес в Интернете: Ссыка на домен более не работаетsecurity/articles/inetsecur/index.shtml

110. Разумов М. Обоснование расходов на системы обнаружения вторжений // Информационный бюлетень "InfoSecurity.ru" №31(41) от 12.11.2002. Адрес в Интернете: Ссыка на домен более не работаетgazeta/021112.shtml

111. Савельев М. Система управления безопасностью: простые рецепты // Экспресс Электроника, № 7 (127)/2005.

112. Сергеева Н. Защита электронной информации в условиях растущей глобальной взаимосвязанности мира. Адрес в Интернете: Ссыка на домен более не работаетrotectionofthe electronic informationinconditions о fgrow ingglob alcoherenceoftheworld .html

113. Симонов С.В. Современные технологии анализа рисков в информационных системах // PC Week. №37 (307)/2001.

114. Симонов С.В. Технологии и инструментарий для управления рисками // Информационный бюлетень "Jet Info". №2 (117)/2003.

115. Симонов С.В. Аудит безопасности информационных систем // Информационный бюлетень "Jet Info". №9 (76)/1999.

116. Симонов С.В. Анализ рисков, управление рисками // Информационный бюлетень "Jet Info". №1 (68)/1999.

117. Сирота Л. Политический момент // Сети и телекоммуникации. №10 / 2004.

118. Смородинский С.С., Батин Н.В. Оптимизация решений на основе методов и моделей математического программирования. Мн.: БГУИР, 2003.

119. Стандарт банка России. Обеспечение информационной безопасности организаций банковской системы Российской федерации. Общие положения, (утв. распоряжением ЦБ РФ от 18.11.2004 N Р-609).

120. Тарасов В. Тест на информационную безопасность // SoftKey.info от 12.01.2006. Адрес в Интернете:Ссыка на домен более не работаетre vie ws/review1886 .php

121. Тарасов В. Корпоративная система безопасности // SoftKey.info от 30.01.2006. Адрес в Интернете:Ссыка на домен более не работаетpress/reviewl 762.php?sphid=8292075

122. Таха Х.А. Введение в исследование операций, 6-е издание.: Пер. с англ. М.: Издательский дом "Вильяме", 2001.

123. Тойго Д. У. Маркетинговые рычаги систем безопасности // Computerworld. №9 06/03/1999.

124. Трубачев А. Концептуальные вопросы оценки безопасности информационных технологий // Информационный бюлетень "Jet Info". -№5-6 (60-61)/1998.

125. Тюрин М. Национальные особенности управления информационными рисками // BYTE/Россия. №3 (91)/2006.

126. Федеральный закон "Об информации, информатизации и защите информации" от 20.02.1995 №24-ФЗ с изменениями от 10.01.2003г.

127. Фисенко JI. Системы защиты: фокус на комплексные решения // Экспресс Электроника, №6 (126)/2005.

128. Химмельблау Д. Прикладное нелинейное программирование. М.: Мир, 1975.

129. Хрусталев Е.Ю. Планирование информационной безопасности предприятия // II Всероссийский симпозиум "Стратегическое планирование и развитие предприятий". Москва, ЦЭМИ РАН, 2001.

130. Чеканов Д. Построение защищенных информационных систем. Адрес в Интернете: Ссыка на домен более не работаетbusiness/20031201/index.html

131. Черняк JI. От таблеток к лечению проблем безопасности // Computerworld. № 1 04/01/2001.

132. Щеглов А. Задача противодействия внутренним ИТ-угрозам. Актуальность и возможности решения // Информационный бюлетень лBugTraq.ru от 09.12.05. Адрес в Интернете:http ://bugtraq.ru/library/security/ ins iders. html

133. Щеглов А. Методологическая основа оценки эффективности средств защиты конфиденциальной информации. Адрес в Интернете: Ссыка на домен более не работаетdailvpblshow.cfiri?rid=45&pid:=14586&pos=:l&stp:=10&cd= 21&cm=2&cy=2006

134. Holbrook Р. (ред.), Reynolds J. (ред.) Руководство по информационной безопасности предприятия. Site Security Handbook, RFC 1244 // Jet Информационный бюлетень "Jet Info". №10-11/1996.

135. Information technology Security techniques - Evaluation criteria for IT security -Part 1: Introduction and general model. -- ISO/IEC 15408-1.1999.

136. Information technology Security techniques - Evaluation criteria for IT security -Part 2: Security functional requirements. Ч ISO/IEC 15408-2.1999.

137. Information technology Security techniques - Evaluation criteria for IT security -Part 3: Security assurance requirements. ~ ISO/IEC 15408-3.1999.

138. Information technology Code of practice for Information security management. International Standard ISO/IES 17799:2000(E).

139. Information security management. Part 2. Specification for information security management systems. British Standard BS7799, Part 2, 2000.

140. IT Baseline Protection Manual. Standard security safeguards. -Ссыка на домен более не работаетgshb/english/menue.html.

141. Risk Management Guide for Information Technology Systems, NIST, Special Publication 800-30.

142. CobiT: Executive Summary. ISACA, 3rd Edition, 2000.

143. CobiT: Framework. ISACA, 3rd Edition, 2000.

144. CobiT: Control Objectives. ISACA, 3rd Edition, 2000.

145. Модели определения уровня зрелости компании

146. Уро вснь зрел ости Модель Gartner Group Модель Carnegie Mellon University Модель COBIT

147. Каталоги угроз и контрмер IT Baseline

148. Каталоги угроз и контрмер, используемый в Германском стандарте IT Baseline Protection Manual Каталог угроз

149. Содержит следующие группы угроз:

150. Угрозы в связи с форс-мажорными обстоятельствами

151. Т 1.1. Потеря персонала. Т 1.2. Отказ информационной системы. Т 1.3. Мония. Т 1.4. Пожар. Т 1.5. Затопление. Т 1.6. Возгорание кабеля.

152. Т 1.7. Недопустимая температура и влажность. Т 1.8. Пыль, загрязнение.

153. Т 1.9. Потеря данных из-за воздействия интенсивных магнитных полей. Т 1.10. Отказ сети на большой территории. Т 1.11. Катастрофы в окружающей среде.

154. Т 1.12. Проблемы, вызванные неординарными общественными событиями. Т 1.13. Шторм.

155. Т 2. Угрозы на организационном уровне

156. Т 2.6. Несоответствие помещений требованиям в области безопасности. Т 2.7. Превышение пономочий.

157. Т 2.8. Нерегламентированное использование ресурсов.

158. Т 2.9. Недостатки в процедурах отслеживания изменений в информационной технологии.

159. Т 2.15. Возможность несанкционированного доступа к конфиденциальным данным в ОС UNIX.

160. Т 2.16. Несанкционированное (недокументированное) изменениепользователей портативной ЭВМ. Т 2.17. Неправильная маркировка носителей данных. Т 2.18. Неверная доставка носителей данных.

161. Т 2.29. Несанкционированное тестирование программ на этапе эксплуатации НС.

162. Т 2.30. Неправильное планирование доменной структуры. Т 2.31. Некорректная защита систем под управлением ОС Windows NT. Т 2.32. Неподходящая пропускная способность телекоммуникационных линий.

163. Т 2.33. Размещение Novell Netware Servers в опасном окружении. Т 2.34. Отсутствие или некорректная настройка механизмов безопасности Novell Netware.

164. Т 2.35. Отсутствие аудита ОС Windows 95.

165. Т 2.36. Неправильные ограничения пользовательской среды.

166. Т 2.37. Неконтролируемое использование коммуникационных линий.

167. Т 2.38. Недостаточное или неправильное использование штатныхмеханизмов защиты базы данных.1. Т 2.39. Сложность DBMS.

168. Т 2.40. Сложность доступа к базам данных.

169. Т 2.41. Неверная организация обмена данных пользователей с базой данных. Т 2.42. Сложность NDS.

170. Т 2.43. Миграция с ОС Novell 3.x на ОС Novell версии 4 и 5. Т 2.44. Несовместимые активные и пассивные сетевые компоненты.

171. Т 2.45. Концептуальные ошибки проектирования сети. Т 2.46. Превышение максимально допустимой длины кабеля. Т 2.47. Передача данных по коммуникациям, не соответствующим требованиям безопасности.

172. Т 2.48. Неадекватное использование информации и документов при работе в домашних условиях.

173. Т 2.49. Недостаточное или неверное обучение телеобработке. Т 2.50. Задержки, вызванные временными сбоями при удаленной работе. Т 2.51. Плохая интеграция удаленных рабочих мест в информационную технологию.

174. Т 2.52. Более длинные временные периоды реакции системы в случае неверного выбора архитектуры системы.

175. Т 2.53. Непоные инструкции относительно замены аппаратно-программных средств на удаленных рабочих местах.

176. Т 2.54. Несанкционированный доступ к данным через скрытые элементы данных.

177. Т 2.55. Неконтролируемое использование электронной почты. Т 2.56. Ненадлежащее описание файлов.

178. Т 2.57. Неправильное хранение носителей информации в случае аварий. Т 2.58. ОС Novell Netware и проблема 2000. Т 2.59. Работа с незарегистрированными компонентами.

179. Т 2.60. Недостаточная детализация стратегии сети и системы управления сетевыми ресурсами.

180. Т 2.66. Недостатки или неадекватность системы управления в области безопасности.

181. Т 2.67. Недостатки администрирования прав доступа. ТЗ. Угрозы, связанные с ошибками людей

182. Т 3.1. Нарушение конфиденциальности/целостности данных в результате ошибок пользователей.

183. Т 3.2. Разрушение оборудования или данных в результате небрежности. Т 3.3. Несоблюдение правил поддержания режима ИБ. Т 3.4. Несанкционированные подключения кабелей. Т 3.5. Повреждения кабелей из-за небрежности.

184. Т 3.6. Опасности, связанные с увольнением или выведением персонала за штат.

185. Т 3.7. Сбои АТС и ошибки оператора. Т 3.8. Запрещенные действия в информационной системе. Т 3.9. Запрещенные действия системного администратора.

186. Т 3.10. Некорректный перенос файловой системы ОС UNIX.

187. Т 3.11. Некорректная конфигурации сервера электронной почты sendniail.

188. Т 3.12. Потери носителей с данных при их перевозке (перемещении).

189. Т 3.13. Передача неправильных или нежелательных данных.

190. Т 3.14. Неправильное (с юридической позиции) оформление факса.

191. Т 3.15. Неправильное использование автоответчиков.

192. Т 3.16. Неправильное администрирование сайта и прав доступа.

193. Т 3.17. Смена пользователей ПК, не соответствующая внутренним правилам.

194. Т 3.18. Совместное использование информационных ресурсов иоборудования.

195. Т 3.28. Неправильные конфигурации активных сетевых компонентов. Т 3.29. Недостатки системы сегментации.

196. Т 3.30. Использование удаленных рабочих станций для личных нужд. Т 3.31. Хаотичность в организации данных.

197. Т 3.45. Некорректно работающая система идентификации партнеров. Т 3.46. Ошибки в конфигурации сервера Lotus Notes. Т 3.47. Ошибки в конфигурации доступа браузера к Lotus Notes.

198. Т4. Угрозы, связанные с техникой

199. Т 4.1. Разрушения системы электроснабжения. Т 4.2. Отказы внутренних сетей электроснабжения.

200. Т 4.3. Недействительность имеющихся гарантий.

201. Т 4.4. Ухудшение состояния линий из-за воздействия окружающей среды. Т 4.5. Перекрестные подключения.

202. Т 4.6. Броски напряжения в системе электроснабжения., Т 4.7. Дефекты кабелей информационных сетей. Т 4.8. Обнаруженные уязвимости ПО.

203. Т 4.9. Разрушение внутренних источников электропитания. Т 4.10. Сложности доступа к сетевым ресурсам.

204. Т 4.11. Недостатки аутентификации между NIS-сервером и NIS-клиентом. . Т 4.12. Недостатки аутентификации между серверами и клиентами. Т 4.13. Потеря хранимых данных. Т 4.14. Отсутствие специальной бумаги для факсов.

205. Т 4.15. Отправка сообщения по факсу неправильному получателю из-за неверной коммутации.

206. Т 4.16. Неполучение сообщения, отправленного по факсу, из-за ошибки передачи.

207. Т 4.17. Дефект факсимильного аппарата.

208. Т 4.18. Разрядка аккумулятора или неправильное электропитание в автоответчиках.

209. Т 4.19. Потернг информации из-за старения (ухудшения качества) носителя данных.

210. Т 4.20. Потери данных из-за старения (ухудшения качества) носителя данных.

211. Т 4.21. Неправильное экранирование от транзитных потоков. Т 4.22. Уязвимости ПО или ошибки. Т 4.23. Уязвимости системы распознавания CD-ROM.

212. Т 4.24. Преобразования имени файла при резервном копировании данных в ОС Windows 95.

213. Т 4.25. Все еще активные подключения. Т 4.26. Отказ базы данных.

214. Т 4.27. Несанкционированный доступ через ODBC. Т 4.28. Потери данных в базе данных.

215. Т 4.29. Потери данных в базе данных, вызванные недостатком емкости диска. Т 4.30. Потеря целостности базы данных. Т 4.31. Отказ или сбой компонентов сети. Т 4.32. Отказ при отправке сообщений.

216. Т 4.33. Отсутствие процедуры идентификации или ненадлежащее ее качество.

217. Т 4.34. Отказ криптомодулей. Т 4.35. Некорректность криптоагоритма. Т 4.36. Ошибки при кодировании данных.

218. Т 4.37. Неполучение (несвоевременная доставка) электронной почты или квитанций.

219. Т 4.38. Отказы компонентов системы управления сетью или информационной системой.

220. Т 4.39. Концептуальные ошибки ПО.

221. Т 4.40. Некорректная настройка RAS-клиента операционной среды. Т 4.41. Недостатки в мобильной сети связи. Т 4.42. Отказ мобильного телефона. Т 4.43. Недокументированные возможности.

222. Т 5. Угрозы, возникающие на предпроектном этапе

223. Т 5.1. Разрушение оборудования или вспомогательной инфраструктуры информационной системы. Т 5.2. Манипуляция данными или ПО.

224. Т 5.3. Нарушения системы контроля доступа в помещениях. Т 5.4. Воровство. Т 5.5. Вандализм. Т 5.6. Нападения. Т 5.7. Перехват в линиях связи. Т 5.8. Манипуляции линиями связи.

225. Т 5.14. Пользование телефоном для личных нужд. Т 5.15. Любознательные сотрудники.

226. Т 5.19. Злоупотребления правами пользователей. Т 5.20. Злоупотребления правами администратора. Т 5.21. Вредоносное ПО. Троянские кони.

227. Т 5.22, Воровство мобильных элементов информационной системы. Т 5.23. Враждебные апплеты и вирусы. Т 5.24. Закладки. Т 5.25. Маскарад.

228. Т 5.26. Подслушивание и перехват сообщений. Т 5.27. Отказ от авторства сообщения. Т 5.28. Недоступность сервисов.

229. Т 5.29. Несанкционированное копирование носителей данных. Т 5.30. Несанкционированное использование факсимильных машин. Т 5.31. Несанкционированный просмотр поступающих по факсу сообщений. Т 5.32. Информация, остающаяся в факсимильных машинах.

230. Т 5.33. Использование факсимильных машин для доставки поддельных писем.

231. Т 5.34. Преднамеренное перепрограммирование факсимильных машин. Т 5.35. Манипуляции с поступающими по факсу сообщениями. Т 5.36. Перезагрузка автоответчиков. Т 5.37. Определение кодов доступа.

232. Т 5.38. Неправильные употребления отдаленного запроса. Т 5.39. Проникновение в информационную систему через системы связи. Т 5.40. Ненадлежащий контроль помещений, в которых установлены компьютеры, оборудованные микрофонами.

233. Т 5.41. Некорректное использование программ под управлением ОС UNIX, использующих протокол uucp.

234. Т 5.42. Враждебное использование методов социальной инженерии. Т 5.43. Макровирусы.

235. Т 5.44. Злоупотребление доступом к отдаленным портам для получения чужих данных.

236. Т 5.45. Подбор пароля в ОС Windows. Т 5.46. Маскарад в АРМ под управлением ОС Windows. Т 5.47. Уничтожение почтового сервера. Т 5.48. Атака IP Spoofing.

237. Т 5.49. Злоупотребления с маршрутизацией данных. Т 5.50. Злоупотребления с протоколом ICMP. Т 5.51. Злоупотребления с протоколом маршрутизации.

238. Т 5.52. Злоупотребления правами администратора в системах под Windows NT.

239. Т 5.53. Неправильное использование защитных кабинетов. Т 5.54. Преднамеренные действия, приводящие к аварийному завершению. Т 5.55. Вход в обход системы аутентификации.

240. Т 5.56. Ненадлежащий учет пользователей, имеющих свободный доступ к сетевым ресурсам.

241. Т 5.57. Несанкционированный запуск сканеров сети. Т 5.58. Взлом ОС Novell Netware.

242. Т 5.59. Злоупотребление правами администратора в сетях Novell Netware 3.x. Т 5.60. Рекомендации по обходу системы.

243. Т 5.61. Злоупотребления, связанные с удаленным управлением маршрутизатором.

244. Т 5.62. Злоупотребления, связанные с удаленным управлением ресурсами информационной системы. Т 5.63. Манипуляции через D-канал ISDN.

245. Т 5.64. Манипуляции данными или программным обеспечением базы данных.

246. Т 5.65. Отказ в обслуживании базы данных.

247. Т 5.66. Неразрешенные подключения в ВС информационной системы. Т 5.67. Несанкционированное управление сетевыми ресурсами. Т 5.68. Несанкционированный доступ к активному сетевому оборудованию.

248. Т 5.74. Манипуляции файлами рассыки и псевдонимами. Т 5.75. Перегрузка при получении письма по электронной почте. Т 5.76. Вредоносное ПО в почте.

249. Т 5.77. Несанкционированное ознакомление с электронной почтой. Т 5.78. Атака DNS spoofing.

250. Т 5.79. Несанкционированное приобретение прав администратора под Windows NT. Т 5.80. Атака Hoaxes.

251. Т 5.81. Неразрешенное использование криптомодулей. Т 5.82. Манипуляции криптомодулями. Т 5.83. Компрометация криптографических ключей. Т 5.84. Поддека удостоверений.

252. Т 5.85. Потеря целостности информации, которая дожна быть защищена. Т 5.86. Манипуляции параметрами управления. Т 5.87. Атака Web spoofing.

253. Т 5.88. Неправильное использование активного контента. Т 5.89. Захват сетевых подключений.

254. Т 5.90. Манипуляции списками рассыки и адресными книгами.

255. Т 5.91. Отключение механизма защиты доступа RAS.

256. Т 5.92. Использование клиента RAS в качестве сервера.

257. Т 5.93. Разрешение третьим лицам использовать RAS-компоненты.

258. Т 5.94. Неправильное употребление компонентов оборудования.

259. Т 5.95. Подслушивание конфиденциальных переговоров по мобильнымтелефонам.

260. Т 5.96. Вмешательство с использованием мобильных телефонов. Т 5.97. Неразрешенная передача данных по мобильным телефонам. Т 5.98. Перехват телефонных звонков с мобильных телефонов. Т 5.99. Перехват трафика мобильных телефонов.

261. Т 5.100. Злоупотребление активным контентом для доступа к Lotus Notes. Т 5.101. Взлом Lotus Notes. Т 5.102. Саботаж.1. Каталог контрмер

262. Каталог содержит следующие группы контрмер для обеспечения безопасности:Х поддерживающей инфраструктуры;Х на организационном уровне;Х на кадровом уровне;Х программного обеспечения и вычислительной техники;Х коммуникаций;Х непрерывности бизнеса.

263. Далее перечисляются контрмеры, входящие в каждую из групп.

264. S1. Обеспечение безопасности на уровне поддерживающей инфраструктуры

265. S 1.1. Соответствие стандартам и отраслевым спецификациям элементов инфраструктуры.

266. S 1.2. Система контроля со стороны правительства над производителями и дистрибьюторами электроэнергии, телефонными сетями, газо- и водоснабжением.

267. S 1.3. Периодические проверки поддерживающей инфраструктуры (электропитания, климатических систем и т.д.) на соответствие предъявляемым к ним (на текущий момент) требованиям. S 1.4. Грозо- и мониезащита.

268. S 1.5. Гальваническая развязка с внешними сетями.

269. S 1.6. Соответствие помещений требованиям стандартов в области пожарной безопасности.

270. S 1.7. Автоматические (дистанционные) системы пожаротушения. S 1.8. Использование отделочных материалов, соответствующих требованиям в области пожарной безопасности.

271. S 1.9. Использование силовых и информационных кабелей с пожароустойчивой изоляцией. S 1.10. Наличие запасных выходов для персонала.

272. S 1.11. Наличие планов коммуникаций, относящихся к инфраструктуре (электро-, газо- и водоснабжению).

273. S 1.12. Организация защиты воздухозаборников, климатического оборудования, распределительных щитов.

274. S 1.13. Организация защиты зданий и прилегающей территории от внешних факторов: затопления, автомобильного движения и т.п.

275. S 1.14. Автоматизация дренажных работ. В некоторых помещениях (в подвалах, подверженных частым затоплениям) необходимо установитьнасосы, включающиеся автоматически в случае возникновения угрозы затопления.

276. S 1.15. Контроль доступа. Окна и двери дожны быть закрыты в отсутствие людей.

277. S 1.16. Схемы размещения. Распределение персонала по комнатам следует производить с учетом требований минимизации перемещения людей. Подразделения, не связанные технологически, дожны быть по возможности изолированы.

278. S 1.24. Отсутствие близко расположенных трубопроводов (тепло- и водоснабжения).

279. S 1.25. Защита от высокого напряжения.

280. S 1.26. Защита силовых проводов от обрывов и повреждений. S 1.27. Климатическое оборудование. S 1.28. Использование UPS.

281. S 1.29. Правильное расположение элементов информационной системы. S 1.30. Обеспечение сохранности регистрационной информации о входящих/ исходящих сообщениях.

282. S 1.31. Удаленная индикация сбоев (неисправностей) оборудования.

283. S 1.32. Корректная настройка консолей, устройств передачи данных,принтеров.

284. S 1.33. Обеспечение сохранности переносных (мобильных) ПК при использовании их вне территории организации.

285. S 1.34. Обеспечение сохранности переносных (мобильных) ПК при использовании их в качестве офисных ПК.

286. S 1.35. Организация хранения временно не используемых переносных (мобильных) ПК.

287. S 1.42. Обеспечение безопасности сервисов Novell. S 1.43. Обеспечение безопасности маршрутизации ISDN. S 1.44. Меры безопасности при организации рабочих мест в домашних условиях.

288. S 1.45. Организация надежного хранения важных данных и документов. S 1.46. Использование техники, предотвращающей кражи. S 1.47. Локализация пожароопасных мест. S 1.48. Противопожарная сигнализация.

289. S 1.56. Альтернативные источники электропитания. S 1.57. Документирование инфраструктуры и планы здания. S 1.58. Технические и организационные требования к помещениям для размещения серверов.

290. S 2. Обеспечение безопасности на организационном уровне

291. S 2.1. Распределение дожностных обязанностей в сфере IT. S 2.2. Управление ресурсами. S 2.3. Контроль за средой передачи данных.

292. S 2.4. Планирование мероприятий в области ремонта и поддержки.

293. S 2.5. Разделение ответственности и функций.

294. S 2.6. Регламентация доступа к информационным ресурсам.

295. S 2.7. Регламентация привилегий различных групп пользователей.

296. S 2.8. Регламентация правил доступа к приложениям и данным.

297. S 2.9. Запрещение использования ПО, не входящего в список официальноразрешенного.

298. S 2.10. Список разрешенного ПО и его владельцев. S 2.11. Правила использования паролей. S 2.12. Служба поддержки для пользователей.

299. S 2.13. Правильное расположение информационных ресурсов, требующихзащиты.

300. S 2.14. Управление доступом к ключам от помещений.

301. S 2.15. Инспекция пожарной безопасности.

302. S 2.16. Сопровоясдение посетителей.

303. S 2.17. Правила доступа на территорию посторонних.

304. S 2.18. Аспекты деятельности организаций, подлежащих инспекции.

305. S 2.19. Актуализация технической документации производителей.

306. S 2.20. Мониторинг существующих соединений.

307. S 2.21. Запрет курения на рабочих местах.

308. S 2.22. Правила использования паролей.

309. S 2.23. Упрощение руководств для пользователей.

310. S 2.24. Формуляры пользователей.

311. S 2.25. Документация на текущую конфигурацию.

312. S 2.26. Назначение администратора безопасности и определение его пономочий.

313. S 2.27. Ограничение пономочий по удаленному доступу к учрежденческой АТС.

314. S 2.32. Документирование ограничений на вычислительную среду для пользователей.

315. S 2.33. Разделение ролей администраторов UNIX.

316. S 2.34. Документирование изменений, вносимых в текущую конфигурацию. S 2.35. Получение информации по имеющимся уязвимостям информационной системы.

317. S 2.36. Использование портативных ПК надлежащим образом.

318. S 2.37. Политика чистого стола.

319. S 2.38. Распределение ролей администратора.

320. S 2.39. Реакция на нарушение политики безопасности.

321. S 2.40. Вовлечение сотрудников в поддержание режима ИБ.

322. S 2.41. Резервное копирование критичной информации персоналом.

323. S 2.42. Документирование партнеров, которым можно передаватьинформацию.

324. S 2.43. Маркировка носителей данных перед отправкой. S 2.44. Упаковка носителей данных. S 2.45. Управление обменом носителей данных.

325. S 2.51. Обеспечение сохранности входящих на факс сообщений. S 2.52. Мониторинг исходящих с факса сообщений. S 2.53. Блокировка факсов в нерабочее время. S 2.54. Использование подходящих автоответчиков. S 2.55. Использование кодовых замков.

326. S 2.56. Предотвращение попадания конфиденциальной информации на автоответчики.

327. S 2.57. Регулярная обработка информации на автоответчике. S 2.58. Ограничение времени сообщения. S 2.59. Приобретение подходящего модема. S 2.60. Администрирование модемов с учетом требований ИБ. S 2.61. Документирование процедур пользования модемами.

328. S 2.62. Разрешенное к применению ПО и процедуры санкционирования его применения. S 2.63. Права доступа. S 2.64. Просмотр log-фашгов.

329. S 2.65. Проверка эффективности разграничения пользователей в информационной системе.

330. S 2.66. Приобретение только сертифицированных элементов. S 2.67. Стратегии для одноранговых сетей.

331. S 2.77. Конфигурация компонентов, соответствующая требованиям безопасности.

332. S 2.78. Правила работы с МЭ.

333. S 2.79. Определение ответственных за использование стандартного ПО. S 2.80. Каталоги используемого стандартного ПО. S 2.81. Выбор подходящего стандартного ПО. S 2.82. Разработка плана тестирования стандартного ПО. S 2.83. Тестирование стандартного ПО.

334. S2.91. Определение стратегии безопасности для клиент-серверных приложений Windows NT.

335. S 2.92. Выбор способов контроля безопасности для клиент-серверных приложений Windows NT.

336. S 2.93. Планирование конфигурации сети на основе ОС Windows NT S 2.94. Совместное использование директорий в сетях под управлением ОС Windows NT

337. S 2.101. Проверка Novell Netware servers.

338. S 2.102. Активизация удаленных консолей.

339. S 2.103. Профили пользователей в ОС Windows 95.

340. S 2.104. Руководство пользователя по безопасности для ОС Windows 95.

341. S 2.105. Расширение учрежденческой АТС.

342. S 2.106. Выбор подходящих ISDN-плат.

343. S 2.107. Документирование конфигурации ISDN-плат.

344. S 2.108. Удаленная поддержка ISDN gateways.

345. S 2.109. Назначение прав при удаленном доступе.

346. S 2.110. Руководство по работе с log-файлами.

347. S 2.111. Сохранность руководств.

348. S 2.112. Соблюдение правил обмена файлами и данными между рабочими станциями и получателями.

349. S 2.113. Документирование процедурных вопросов, связанных сиспользованием телекоммуникаций.

350. S 2.114. Потоки информации вовне и извне.

351. S 2.115. Поддержка удаленного доступа.

352. S 2.116. Использование телекоммуникаций.

353. S 2.117. Управление доступом к телекоммуникациям.

354. S 2.118. Политика безопасности при использовании e-mail.

355. S 2.119. Инструкции по использованию e-mail.

356. S 2.120. Конфигурирование почтового сервера.

357. S 2.121. Регулярное уничтожение писем e-mail.

358. S 2.122. Стандартизация адресов e-mail.

359. S 2.123. Выбор провайдера.

360. S 2.124. Выбор подходящей СУБД.

361. S 2.125. Инсталяция и конфигурирование СУБД.

362. S 2.126. Разработка концепции безопасности для СУБД.1. S 2.127. Интерфейс.

363. S 2.128. Управление доступом к СУБД (организационные аспекты). S 2.129. Управление доступом к информации в СУБД. S 2.130. Гарантии целостности СУБД.

364. S 2.144. Выбор протокола управления сетевыми ресурсами.

365. S 2.145. Средства управления сетью.

366. S 2.146. Обеспечение ИБ системы управления сетью.

367. S 2.147. Вопросы ИБ при миграции на старшие версии Novell.

368. S 2.148. Конфигурирование Novell Netware 4.x networks.

369. S 2.149. Обеспечение безопасности Netware 4.x networks.

370. S 2.150. Аудит сетей Novell Netware 4.x. S 2.151. Разработка концепции NDS.

371. S 2.152. Разработка концепции синхронизации времени.

372. S 2.153. Документирование на Novell Netware 4.x networks.

373. S 2.154. Концепция защиты от вирусов.

374. S 2.155. Идентификация уязвимостей для вирусов.

375. S 2.156. Выбор подходящей стратегии антивирусной защиты.

376. S 2.157. Выбор подходящей антивирусной программы.

377. S 2.158. Обработка сообщений о заражении вирусами.

378. S 2.159. Обновление антивирусных программ.

379. S 2.160. Управление антивирусными программами.

380. S 2.161. Разработка концепции использования криптографии.

381. S 2.162. Необходимость использования криптографических продуктов.

382. S 2.163. Факторы, влияющие на выбор криптографических продуктов.

383. S 2.164. Выбор адекватных процедур криптографической защиты.

384. S 2.165. Выбор подходящих криптографических продуктов.

385. S 2.166. Организационные аспекты использования криптографии.

386. S 2.167. Обеспечение безопасности при уничтожении носителейинформации.

387. S 2.168. Системный анализ информационной системы, предшествующий выбору системы управления.

388. S 2.169. Разработка стратегических целей системы управления. S 2.170. Требования к системе управления.

389. S 2.171. Выбор продуктов для использования в системе управления.

390. S 2.172. Разработка концепции использования WWW.

391. S 2.173. Определение стратегии безопасности для WWW

392. S 2.174. Вопросы безопасности, связанные с сервером WWW.

393. S 2.175. Настройки сервера WWW

394. S 2.176. Выбор Internet-провайдера.

395. S 2.177. Обеспечение безопасности при переездах.

396. S 2.178. Руководство по использованию факса.

397. S 2.179. Процедуры управления факс-сервером.

398. S 2.180. Настройки fax/mail-серверов.

399. S 2.181. Выбор подходящего факс-сервера.

400. S 2.182. Регулярный пересмотр критериев безопасности.

401. S 2.183. Анализ аспектов безопасности, связанных с удаленным доступом.

402. S 2.184. Разработка концепции безопасности удаленного доступа.

403. S 2.185. Выбор архитектуры удаленного доступа.

404. S 2.186. Выбор продукта, обеспечивающего безопасность удаленного доступа.

405. S 2.187. Определение настроек продукта, обеспечивающего безопасность удаленного доступа.

406. S 2.188. Правила использования мобильной связи. S 2.189. Блокирование мобильных телефонов в случае их утраты. S 2.190. Настройки пула мобильных телефонов.

407. S 2.196. Синхронизация этапов концепции ИБ и этапов развития системы.

408. S 2.197. Концепция обучения в области ИБ.

409. S 2.198. Проведение обучения персонала.

410. S 2.199. Поддержание режима ИБ.

411. S 2.200. Подготовка докладов в области ИБ.

412. S 2.201. Документирование процедур и процессов в области ИБ.

413. S 2.202. Подготовка руководства по обеспечению ИБ (организационныеаспекты).

414. S 2.208. Планирование доменной структуры и иерархии сертификатов Lotus Notes.

415. S 2.209. Планирование использования Lotus Notes в системе Intranet. S 2.210. Планирование использования Lotus Notes в системе Intranet с доступом через браузер.

416. S 2.211. Планирование использования Lotus Notes в демилитаризованнойзоне.

417. S 2.212. Организационные аспекты, связанные с уборкой помещений итехники.

418. S 2.213. Поддержка технической инфраструктуры. S 2.214. Концепция операций в информационной технологии. S 2.215. Меры по коррекции ошибок.

419. S 2.216. Санкционирование процедур для отдельных компонентов информационной технологии.

420. S 2.217. Классификация информационных ресурсов.

421. S 2.218. Процедуры контроля обмена данными в информационной системе. S 2.219. Постоянное документирование изменений в информационной системе.

422. S 2.220. Руководство по управлению доступом. S 2.221. Управление изменениями. S 2.222. Регулярная проверка параметров режима ИБ. S 2.223. Аспекты безопасности при использовании стандартного ПО.

423. S 2.224. Защита от вредоносного ПО.

424. S 2.225. Назначение ответственных за информационные ресурсы и отдельные компоненты информационной системы.

425. S 2.226. Использование специалистов по временным трудовым договорам и специалистов сторонних организаций по договорам.

426. S 3. Обеспечение безопасности на кадровом уровне

427. S 3.1. Система обучения нового (поступающего на работу) персонала.

428. S 3.2. Обязательства персонала в части следования законам и внутренниминструкциям.

429. S 3.10. Выбор надежного администратора безопасности и его замена. S 3.11. Обучение по вопросам эксплуатации средств защиты. S3.12. Информирование персонала о возможностях местной АТС и о предупредительных сигналах.

430. S 3.13. Уменьшение численности персонала, имеющего доступ к АТС и ее настройкам.

431. S 3.14. Информирование персонала о процедурах корректного обмена данными с посторонними.

432. S 3.15. Информирование персонала о процедурах корректного использования факсов.

433. S3.16. Информирование персонала о корректном использовании автоответчика.

434. S 3.17. Информирование персонала о корректном использовании модема. S 3.18. Выключение ПК при уходе. S 3.19. Инструкции относительно взаимодействующих систем. S 3.20. Инструкции по защите посторонних.

435. S3.21. Обучение вопросам телекоммуникаций. S 3.22. Вопросы замены телекоммуникационного оборудования. S 3.23. Основы криптографической защиты.

436. S 4. Защита программного обеспечения и вычислительной техники S 4.1. Парольная защита.

437. S 4.2. Использование экранных заставок для блокировки доступа. S 4.3. Периодическое использование антивирусных средств. S 4.4. Блокирование дисковода.

438. S 4.5. Протоколирование действий администратора учрежденческой АТС. S 4.6. Аудит конфигурации учрежденческой АТС. S 4.7. Замена паролей.

439. S 4.17. Блокирование доступа к неиспользуемым устройствам и терминалам. S4.18. Административные и технические средства контроля работы пользователей.

440. S 4.19. Ограничения на атрибуты файлов и директорий в UNIX (правила администрирования).

441. S 4.20. Ограничения на атрибуты файлов и директорий в UNIX (правила для пользователей).

442. S 4.21. Предотвращение незаконного использования прав администратора. S 4.22. Предотвращение потери конфиденциальных и важных данных в UNIX.

443. S 4.23. Обеспечение безопасности ЕХЕ-файлов. S 4.24. Обеспечение управления системой. S 4.25. Использование log-файлов в ОС UNIX. S 4.26. Проверка режима безопасности в ОС UNIX. S 4.27. Парольная защита в портативных ПК.

444. S 4.32. Уничтожение информации до и после использования средств хранения данных.

445. S 4.39. Отключение автоответчиков на период длительного отсутствия. S 4.40. Предотвращение несанкционированного использования микрофонов. S4.41. Использование подходящих программных продуктов для защиты информации.

446. S 4.42. Инструментарий для обеспечения безопасности при работе приложений.

447. S 4.43. Факсы с системой защиты от изменения установок. S 4.44. Проверка входящих файлов на отсутствие макровирусов. S 4.45. Обеспечение безопасности среды при взаимодействии объектов с равными правами.

448. S 4.46. Использование паролей в ОС Windows 95. S 4.47. Ведение журналов при работе МЭ. S 4.48. Парольная защита в ОС Windows NT.

449. S 4.49. Обеспечение защиты от загрузки с дискеты в ОС Windows NT. S 4.50. Системное администрирование в ОС Windows NT S 4.51. Профили пользователей и ограничения в ОС Windows NT S 4.52. Защита оборудования, функционирующего под управлением ОС Windows NT

450. S 4.53. Ограничения на доступ к файлам и директориям под управлением ОС Windows NT

451. S 4.54. Документирование событий в ОС Windows NT

452. S 4.55. Инсталяция ОС Windows NT в соответствии с требованиями безопасности.

453. S 4.56. Уничтожение информации в ОС Windows NT и ОС Windows 95.

454. S 4.57. Отключение возможности использования CD-ROM.

455. S 4.58. Совместное использование файлов в ОС Windows 95.

456. S 4.59. Отключение неиспользуемых функций ISDN.

457. S 4.60. Отключение ненужных функций маршрутизации ISDN.

458. S 4.61. Использование штатных механизмов безопасности компонентов1.DN.

459. S 4.62. Использование фильтров.

460. S 4.69. Регулярная проверка состояния безопасности в СУБД. S 4.70. Мониторинг состояния базы данных.

461. S 4.71. Ограничение на использование связей, имеющихся в СУБД. S 4.72. Криптографическая защита СУБД. S 4.73. Спецификация на ограничение. S 4.74. Сети с ПК под управлением ОС Windows 95. S 4.75. Защита регистра в ПК под управлением ОС Windows NT.

462. S 4.76. Версии ОС Windows NT с повышенным уровнем безопасности. S 4.77. Защита администратора в сетях на основе ОС Windows NT. S 4.78. Безопасность при модернизации.

463. S 4.83. Обновление компонентов сетевой инфраструктуры и ПО. S 4.84. Использование механизмов безопасности BIOS. S 4.85. Интерфейс модулей криптозащиты.

464. S 4.86. Безопасность при разделении ролей персонала и конфигурировании крип-томодулей.

465. S 4.87. Физическая безопасность криптографических устройств.

466. S 4.88. Требования к операционным системам, в которых устанавливаютсякрип-томодули.

467. S 4.89. Безопасность излучения (уровней полей) приборов.

468. S 4.90. Использование криптографической защиты на разных уровнях модели1.O/OSI.

469. S 4.91. Безопасность при инсталяции системы управления. S 4.92. Безопасность выпонения операций в системе управления. S 4.93. Регулярная проверка целостности. S 4.94. Защита WWW-файлов.

470. S 4.95. Минимизация действий в информационной системе. S 4.96. Отключение DNS. S 4.97. Один сервис на один сервер.

471. S 4.98. Ограничение потоков информации путем использования пакетных фильтров.

472. S 4.99. Защиты от изменения информации.

473. S 4.100. Межсетевые экраны и защита информационных ресурсов. S 4.101. Межсетевые экраны и криптография. S 4.102. Обеспечение уровня безопасности С2 для Novell 4.11. S 4.103. Сервер DHCP (Dynamic Host Configuration Protocol) под Novell Netware 4.x.

474. S 4.104. Сервисы LDAP для NDS.

475. S 4.105. Первоначальные измерения после инсталяции UNIX.

476. S 4.106. Активация системных log-файлов.

477. S 4.107. Сервисная поддеряска производителя.

478. S 4.108. Управление сервисом DNS под Novell NetWare 4.11.

479. S 4.109. Переустановка ПО на рабочих станциях.

480. S 4.110. Безопасность при инсталяции службы удаленного доступа.

481. S 4.111. Безопасная конфигурация службы удаленного доступа.

482. S 4.112. Безопасная работа с использованием службы удаленного доступа.

483. S 4.113. Использование сервера аутентификации внутри службы удаленногодоступа.

484. S 4.120. Конфигурирование доступа к управляющим спискам базы данных Lotus Notes.

485. S 4.125. Установление ограничений доступа к базам данных Lotus Notes через браузер.

486. S 4.126. Безопасность при конфигурировании клиента Lotus Notes. S 4.127. Конфигурация браузера доступа к Lotus Notes, соответствующая требованиям безопасности.

487. S 4,133. Выбор подходящего механизма аутентификации. S 4.134. Выбор подходящих форматов данных.

488. S 4.135. Ограничения, которые позволят контролировать доступ к файлам. S 5. Защита коммуникаций

489. S 5.1. Удаление или заземление неиспользуемых линий. S 5.2. Выбор подходящей топологии сети. S 5.3. Выбор кабелей.

490. S 5.4. Документирование и маркировка кабелей.

491. S 5.5. Прокладка кабелей с учетом минимизации возможных повреждений. S 5.6. Разрешение использования сетевых паролей. S 5.7. Управление сетью.

492. S 5.8. Ежемесячные проверки сети с позиции безопасности. S 5.9. Ведение журналов. S 5.10. Ограничение прав доступа. S 5.11. Блокировка консоли сервера.

493. S 5.12. Конфигурации для второго (дублирующего) администратора. S 5.13. Оборудование для соединения сетей. S 5.14. Экранирование удаленного доступа. S 5.15. Экранирование доступа извне. S 5.16. Обзор сетевых сервисов.

494. S 5.17. Использование механизмов безопасности для NFS.

495. S 5.18. Использование механизмов безопасности для NIS.

496. S 5.19. Использование механизмов безопасности для sendmail.

497. S 5.20. Использование механизмов безопасности для rlogin, rsh, rep.

498. S 5.21. Безопасность для telnet, ftp, tftp, rexec.

499. S 5.22. Проверка совместимости систем приема и передачи.

500. S 5.23. Выбор подходящего телекоммуникационного оборудования.

501. S 5.24. Список доступа для fax.

502. S 5.25. Анализ принятых и посланных log-файлов.

503. S 5.26. Извещение о пришедших факсах по телефону.

504. S 5.27. Подтверждение о пришедших факсах по телефону.

505. S 5.28. Подтверждение корректности пришедших факсов по телефону.

506. S 5.29. Периодические проверки списков рассыки.

507. S 5.30. Включение опции call-back.

508. S 5.31. Конфигурирование модемов.

509. S 5.32. Вопросы безопасности при использовании коммуникационного ПО. S 5.33. Безопасность при использовании удаленных модемов. S 5.34. Одноразовые пароли.

510. S 5.35. Использование механизмов безопасности UUCP. S 5.36. Криптография под UNIX и Windows NT.

511. S 5.37. Ограничение возможностей взаимодействующих объектов одного уровня при использовании ОС Windows 95 и Windows NT в сетях, поддерживающих серверы.

512. S 5.38. Безопасность интеграции ПК под управлением ОС DOS в сети под управлением ОС UNIX.

513. S 5.39. Безопасность использования протоколов и сервисов. S 5.40. Безопасность интеграции ПК под управлением ОС DOS в сети под управлением ОС Windows NT.

514. S5.41. Настройки, обеспечивающие безопасность удаленного доступа под управлением ОС Windows NT.

515. S 5.42. Конфигурирование сетей TCP/IP под управлением ОС Windows NT. S 5.43. Конфигурирование сетевых сервисов ТСРЯР под управлением ОС Windows NT

516. S 5.44. Однонаправленное соединение модема. S 5.45. Безопасность браузера.

517. S 5.46. Инсталяция автономных систем при использовании Internet. S 5.47. Конфигурирование замкнутых групп пользователей. S 5.48. Аутентификация телефонных звонков с использованием определителя номера (CLIP/COLP).

518. S 5.49. Обратный вызов по зафиксированному определителем номеру. S 5.50. Аутентификация в ISDN с использованием протоколов РАР/СНАР. S 5.51. Требования в области безопасности к телекоммуникациям через публичные сети.

519. S 5.52. Требования в области безопасности к компьютерам, выпоняющим телекоммуникационные функции.

520. S 5.67. Использование службы контроля времени. S 5.68. Использование криптозащиты в сетях. S 5.69. Защита от активного контента. S 5.70. Использование Network address translation (NAT). S 5.71. Активный аудит.

521. S 5.72. Удаление ненужных сетевых сервисов. S 5.73. Обеспечение безопасности при работе с факс-сервером. S 5.74. Поддержка адресной книги и списков рассыки факс-сервера. S 5.75. Защита от перепонения факс-сервера.

522. S 5.76. Использование подходящих туннельных протоколов в сетях. S 5.77. Разбиение на подсети.

523. S 5.78. Защита данных, передаваемых через мобильные телефоны, от использования в системе аутентификации.

524. S 5.79. Защита от применения автоматически определенного номера мобильного телефона в системах аутентификации при использовании мобильных телефонов.

525. S 5.80. Защита от утечки информации (подслушивания) с помощью мобильных телефонов.

526. S 5.81. Безопасность при передаче данных через мобильные телефоны. S 5.82. Безопасность при использовании протокола SAMBA S 5.83. Безопасность при соединении с внешними сетями под Linux FreeS/WAN.

527. S 5.84. Процедуры криптографической защиты при использовании Lotus Notes.

528. S 5.85. Криптографическая защита e-mail Lotus Notes.

529. S 5.86. Процедуры криптографической защиты при доступе через браузер к Lotus Notes.

530. S 5.87. Соглашения, регулирующие связи с сетями третьих сторон. S 5.88. Соглашения, регулирующие вопросы передачи данных по сетям третьих сторон.

531. S 6. Планирование непрерывности бизнеса S 6.1. Формулировка требований по доступности.

532. S 6.2. Определение категорий опасности, персональная ответственность за обеспечение безопасности.

533. S 6.3. Руководство по процедурам обеспечения безопасности. S 6.4. Требования к ресурсам, необходимым для работы приложений. S 6.5. Режим работы с минимальными ресурсами. Приоритеты информационных процессов.

534. S 6.6. Исследование внешних и внутренних возможностей обеспечения бесперебойной работы.

535. S 6.7. Ответственные за действия в чрезвычайных ситуациях. S 6.8. План действий в чрезвычайных ситуациях.

536. S 6.17. Звуковая сигнализация на случай чрезвычайных обстоятельств. S 6.18. Обеспечение избыточности линий. S 6.19. Резервное копирование данных на ПК.

537. S 6.28. Соглашение о сроках поставки отдельных элементов офисной АТС. S 6.29. Вызовы офисной АТС, связанные с авариями и безопасностью. S 6.30. Аварийные коммуникации.

538. S 6.31. Примеры действий, приводящих к потере целостности данных. S 6.32. Регулярное резервное копирование данных. S 6.33. Политика резервного копирования.

539. S 6.34. Определение факторов, препятствующих выпонению резервного копирования.

540. S 6.47. Хранение резервных копий как часть организации телекоммуникационных процедур.

541. S 6.48. Процедуры в случае потери целостности базы данных. S 6.49. Резервное копирование баз данных. S 6.50. Активизация баз данных. S 6.51. Восстановление баз данных.

542. S 6.52. Регулярное резервное копирование информации о конфигурационных данных.

543. S 6.53. Допонительные условия, связанные с установкой сетевых компонентов.

544. S 6.54. Процедуры в случае нарушения целостности сети. S 6.55. Уменьшение времени нового запуска серверов под управлением ОС Novell Netware.

545. S 6.56. Резервное копирование с криптографической защитой данных. S 6.57. Разработка планов бесперебойной работы на случай отказа системы управления.

546. S 6.67. Фиксация инцидента и определение степени его серьезности.

547. S 6.68. Проверка эффективности системы управления предотвращениеминцидентов.

548. S 6.69. Планирование бесперебойной работы для факс-серверов. S 6.70. Планирование бесперебойной работы для удаленных и мобильных элементов системы.

549. S 6.71. Резервное копирование данных на мобильных ПК. S 6.72. Отказ мобильной связи.

550. S 6.73. Планирование бесперебойной работы в случае сбоев Lotus Notes. S 6.74. Ведение архива аварий и инцидентов. S 6.75. Избыточность коммуникационных каналов.

551. Классификация ресурсов и угроз CRAMM

552. Классификация ресурсов и угроз в методе CRAMM для профиля Commercial.

Похожие диссертации