- •Воронеж 2008
- •Воронеж 2008
- •Введение
- •1 Информационные системы персональных данных как объект обеспечения инфорационной безопасности
- •1.1 Специфика обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
- •1.1.1 Состояние обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
- •1.1.2 Цель и основные задачи обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
- •1.1.3 Основные особенности информационных систем персональных данных как объектов обеспечения безопасности
- •1.1.4 Основные принципы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
- •1.2 Характеристика основных угроз безопасности персональных данных при их обработке в информационных системах персональных данных
- •1.3 Общая характеристика уязвимостей информационных систем персональных данных
- •1.3.1 Общая характеристика уязвимостей системного программного обеспечения
- •1.3.2 Общая характеристика уязвимостей прикладного программного обеспечения
- •1.4 Выводы по главе и постановка задачи оценки рисков в информационных системах персональных данных
- •2 Анализ рисков нарушения безопасности персональных данных при их обработке в информационных системах персональных данных на основе алгоритма нечеткого вывода
- •2.1 Общий порядок анализа информационных рисков
- •2.1.1 Характерные особенности анализа рисков в информационных системах персональных данных
- •2.1.2 Оценка вероятностей реализации угроз безопасности персональных данных при их обработке в информационных системах персональных данных
- •2.1.3 Особенности расчета ущерба при нарушении безопасности персональных данных при их обработке в информационных системах персональных данных
- •2.2 Оценка рисков нарушения безопасности персональных данных при их обработке в информационных системах персональных данных
- •2.2.1 Общая методика проведения оценки на основе механизма нечеткого вывода
- •2.2.2 Формирование функций принадлежности
- •2.2.3 Пример оценки
- •2.3 Выводы по главе
- •3.1 Общая характеристика процесса управления рисками
- •3.2 Качественные методики управления рисками
- •3.2.1 Методика cobra
- •3.2.2 Методика ra Software Tool
- •3.3 Количественные методики управления рисками
- •3.3.1 Метод cramm
- •3.3.2 Метод RiskWatch
- •3.3.3 Метод гриф
- •3.3.4 Метод octave
- •3.3.5 Метод mitre
- •3.4 Применение основных методов управления рисками на примере конкретной испДн
- •3.5 Выбор мер и средств защиты информации
- •3.5.1 Общие вопросы выбора мер и средств при проектировании систем защиты информации
- •3.5.2 Выбор мер и средств защиты информации при проектировании подсистемы контроля физического доступа к элементам испДн
- •3.5.3 Выбор мер и средств защиты информации от сетевых атак
- •3.5.4 Выбор мер и средств защиты информации от программно-математических воздействий
- •3.6 Выводы по главе
- •Заключение
- •Список использованных информационных источников
- •Приложение а (справочное) Описание аппарата теории нечетких множеств
- •Приложение б (обязательное) Результаты оценки риска для наиболее актуальных угроз безопасности пДн, обрабатываемых в испДн
- •394026 Воронеж, Московский просп., 14
Список использованных информационных источников
Zadeh L.A. Fuzzy sets / Information and Control, Vol. 8, 1965, pp. 338-353.
Аграновский А.В. Основы технологии проектирования системы защиты информации в информационно-телекоммуникационных системах: Монография / А.В. Аграновский, В.И. Мамай, И.Г. Назаров, Ю.К. Язов – Ростов-на-Дону: Изд-во СКНЦ ВШ, 2006. - 260 с.: ил.
Айвазян С.А. Прикладная статистика: Исследование зависимостей / С.А. Айвазян – М.: Финансы и статистика, 1985 – 423 с.
Альгин А.П. Риск и его роль в общественной жизни / А.П. Альгин – М.: Мысль, 1989 – 378 с.
Алтунин А.Е. Модели и алгоритмы принятия решений в нечетких условиях: Монография / А.Е. Алтунин, М.В. Семухин. – Тюмень: Издательство Тюменского государственного университета, 2000 – 352 с.
Антипенко В.Ф. Особенности соотношения международного и национального права в сфере борьбы с терроризмом //Государство и право. 2005. №1. – С. 45-48.
Антонец В.Р. Принципы обеспечения безопасности и управления риском эксплуатации инфотелекоммуникационных систем железнодорожного транспорта/ В.Р. Антонец, В.В. Шмытинский, Г.П. Лабецкая//ВКСС connect, 2007. – №1. – С.146-152.
Асаи К. Прикладные нечеткие системы. Пер. с япон./ К. Асаи, Д. Ватада. С. Иваи, под ред. Т. Тэрано, К. Асаи, М. Сугано - М.: Мир, 1993. - 368 с.
Балашов П.А Оценка рисков информационной безопасности на основе нечеткой логики / П. А. Балашов, В. П. Безгузиков, Р. И. Кислов. – http://www.nwaktiv.ru
Балдин К.В. Управление рисками: Учеб. пособие / К.В. Балдин, С.Н. Воробьев. – М.: ЮНИТИ-ДАНА, 2005. – 511с.
Бартон Т. Комплексный подход к риск-менеджменту: стоит ли этим заниматься / Т. Бартон, У. Шенкир, П. Уокер. – М.: Издательский дом "Вильямс", 2003. – 208 с.
Батищев Р.В. К вопросу об оценке угроз безопасности с учетом динамики их реализации / Р.В. Батищев, О.А. Середа, Ю.К. Язов // Информация и безопасность. – 2001. – №2. – с. 25-28.
Батищев Р.В. К вопросу о формировании правил определения элементов матрицы нечетких выводов / Р.В. Батищев, О.А. Середа, Ю.К. Язов // Информация и безопасность. – 2001. – №2. – с. 40-42.
Батищев Р.В. Методика выбора достаточного набора средств защиты с учетом их влияния на коэффициенты опасности угроз / Р.В. Батищев, О.А. Середа, Ю.К. Язов // Информация и безопасность. – 2001. – №2. – с. 44-47.
Батищев Р.В. Методика формирования матрицы нечетких отношений для системы оценивания рисков / Р.В. Батищев, О.А. Середа, Ю.К. Язов // Информация и безопасность. – 2001. – №2. – с. 34-36.
Бешелев С.Д. Математико-статистические методы экспертных оценок / С.Д. Бешелев. – М.: Статистика, 1990. – 287 с.
Большев Л.Н. Таблицы математической статистики. / Л.Н. Большев, Н.В. Смирнов – М.: Наука, 1983. – 297 с.
Борисов А.Н. Обработка нечеткой информации в системах принятия решений / А.Н. Борисов, А.В. Алексеев, Г.В. Меркурьева – М.: Радио и Связь, 1989.
Боровиков А.А. Теория вероятностей / А.А. Боровиков – М.: Наука, 1986. – 432 с.
Бостанджиян В.А. Пособие по статистическим распределениям/ В.А. Бостанджиян. - Черноголовка: ИПХФ, 2000. – 1006 с.
Буянов В.П. Рискология (управление рисками): Учебное пособие. – 2-ое изд., испр. и доп. / В.П. Буянов, К.А. Кирсанов, Л.М. Михайлов. – М.: Издательство "Экзамен", 2003. – 384 с.
Вентцель Е. С. Исследование операций. Задачи, принцивы, методология: Учеб пособие для вузов. – 3-е изд., стереотип. – М.: Дрофа, 2004.– 208 с.
Вентцель Е.С. Теория вероятностей и ее инженерные приложения. Учеб. пособие для втузов. / Е.С. Вентцель, Л.А. Овчаров. – М.: Высш. шк, 2003. – 464 с.
Вентцель Е.С. Теория вероятностей. Учеб. для втузов / Е.С. Вентцель – М.: Высш. шк, 1998. – 576 с.
Вентцель Е.С. Теория случайных процессов и ее инженерные приложения. Учеб. пособие для втузов. / Е.С. Вентцель, Л.А. Овчаров. – М.: Высш. шк, 2000. – 383 с.
Воронцовский А.В. Управление рисками: Учеб. пособие. 2-ое изд., испр. и доп / А.В. Воронцовский – СПб: Изд-во С.-Петерб. ун-та, 2000; ОЦЭиМ, 2004. – 458 с.
Выгодский М.Я. Справочник по высшей математике / М.Я. Выгодский – М.: Наука, 1973. – 872 с.
Герасименко В.А. Основы защиты информации. Учебник для вузов / В.А. Герасименко, А.А. Малюк – М.: МИФИ, 1997 – 537 с.
Герик Т. Информационная база для оценки риска / Т. Герик //LAN: журнал сетевых решений, 2006. – №9. – С. 22-25.
Гмурман В.Е. Теория вероятностей и математическая статистика / В.Е. Гмурман. – 12-е изд., стереотип. – М.: Высшая школа, 2005. – 479 с.
Гончаренко Л.П. Риск-менеджмент: учебное пособие / Под ред. д-ра тех. наук. проф., засл. деятеля науки РФ Е.А. Олейникова; Л.П. Гончаренко, С.А. Филин. – М.: КНОРУС, 2006. – 216 с.
Гончарова Г.А. Элементы дискретной математики. – М.: 2003. – 127с.
Гостехкомиссия РФ. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. - М.: Jet Info, 1996. - №2.
Гражданкин А.И. Использование вероятностных оценок при анализе безопасности опасных производственных объектов. / А.И. Гражданкин, М.В. Лисанов, А.С. Печеркин // Безопасность труда в промышленности. – 2001. – № 5. – с. 33-36.
Гранатуров В.М. Экономический риск: сущность, методы измерения, пути снижения / В.М. Гранатуров – М.: Издательство "Дело и Сервис", 2002. – 160 с.
Грэхем Р. Конкретная математика: Основание информатики/ Р. Грэхем, Д. Кнут, О. Паташник. - М.: Мир, 1998. – 703 с.
Губарев В.В. Вероятностные модели / В.В. Губарев. – Новосибирск: Новосибирский электротехнический институт, 1982. – 164 с.
Жижелев А.В. К оценке эффективности защиты информации в телекоммуникационных системах посредством нечетких множеств / А.В. Жижелев, А.П. Панфилов, Ю. К. Язов, Р.В. Батищев // Приборостроение. – 2003. - №7. – с. 22-29.
Заде Л.А. Основы нового подхода к анализу сложных систем и процессов принятия решений.- В кн.: Математика сегодня. - М.:Знание, 1974, с. 5-49.
Заде Л.А. Понятие лингвистической переменной и его применение к принятию приближенных решений.-М.:Мир, 1976. – 165 с.
Заде Л.А. Роль мягких вычислений и нечеткой логики в понимании, конструировании и развитии информационных/интеллектуальных систем. - Новости Искусственного Интеллекта, №2-3, 2001, с. 7 - 11.
Заде Л.А. Тени нечетких множеств. - Проблемы передачи информации. - 1966, том 2, вып. 1, с. 37 - 44.
Захаров С.А. Нечеткие множества и лингвистические комбинации в анализе рисков: Учебное пособие / С.А.Захаров, Н.В.Медведев, Н.В.Румянцев. – М.: Изд-во МГТУ им. Н.Э.Баумана, 2005. - 75 с., ил.
Захарова А.А. Построение терм-множеств лингвистической переменной при анализе социально-экономического развития города / А.А. Захарова, А.А. Мицель - Материалы I Международной научно-технической конференции "Инфотелекоммуникационные технологии в науке, производстве и образовании".
Злобина И.А. Экономика информационной безопасности / И.А. Злобина. – Воронеж: ВГТУ, 2005. – 196 с.
Зорин В.А. Элементы теории процессов риска. / В.А. Зорин, В.И. Мухин. – Н. Новгород: ННГУ.2003. – 25 с.
Зражевский В.В. Основные направления совершенствования системы управления рисками / В.В. Зражевский. – М.: 1999. – 465 с.
Информационная безопасность и защита информации. Сборник терминов и определений:–М. Гостехкомиссия России. 2001.
Иода Е.В. Управление рисками предприятия: теория и практика страхования рисков / Е.В. Иода, В.Б. Кузнецова. – Тамбов: Изд-во Тамб. гос. техн. ун-та, 2003. – 132 с.
Кендалл М. Теория распределений/ М. Кендалл, А. Стьюарт. – М.: Наука, 1966. – 590 с.
Круглов В. Нечетная логика и искусственные нейронные сети. – М.: Издательство Горячая Линия - Телеком, 2004. - 410с.
Кокс Д. Статистический анализ последовательностей событий / Д. Кокс, Льюис П. – М.: Издательство "МИР", 1969. – 312 с.
Комаров Л.Б. Статистические методы обработки экспериментальных данных. Учеб. пособие. Часть 2 / Л.Б. Комаров – СПб.: Ленинград, 1972. – 208 с.
Корн Г. Справочник по математике для научных работников и инженеров / Г. Корн – М.: Наука, 1977. – 832 с.
Корченко А.Г. Построение систем защиты информации на нечетких множествах. Теория и практические решения. - К.: "МК-Пресс", 2006. - 300с.
Кофман А. Введение в теорию нечетких множеств. Пер. с франц. -М.: Радиан связь, 1982. -432 с.
Круглов В.В. Сравнение алгоритмов Мамдани и Сугэно в задаче аппроксимации функции - М.: Радио и связь, 2000
Куликов Е.И. Методы измерения случайных процессов/ Е.И. Куликов – М.: Радио и связь, 1986. – 272 с.
Куликов Е.И. Прикладной статистический анализ: Учеб.пособие для вузов/ Е.И. Куликов. – М.: Радио и связь, 2003. – 376 с.
Леоненков А.В. Нечеткое моделирование в среде MATLAB и fuzzyTECH. – СПб.: БХВПетербурr, 2005. – 736 с.: ил.
Лукацкий А.В. Обнаружение атак. – СПб.: БХВ – Петербург, 2001. – 624 с.
Малошевский С.Г. Теория вероятностей: Учеб. пособие. Часть 1. Вероятностное пространство. Дискретные случайные величины / С.Г. Малошевский – СПб: Петербургский гос. ун-т путей сообщения, 1999.– 92 с.
Медведев Н.В. Оценка и нейтрализация рисков в информационных системах: Методическое пособие по курсу "Основы информационной безопасности". – М.: Изд-во МГТУ им. Н.Э.Баумана, 2004. - 52 с., ил.
Новоселов А.А. Лекции для студентов КГУ по теории риска/ А.А. Новоселов. – Красноярск: КГУ, 2000. – 97 с.
Новоселов А.А. Математическое моделирование финансовых рисков. Теория измерения / А.А. Новоселов. – Новосибирск: Наука, 2001. – 212 с.
Остапенко А.Г. Комплексная оценка эффективности защиты от угроз безопасности с использованием аппарата теории нечетких множеств / А.Г. Остапенко, Ю.К. Язов, Р.В. Батищев, О.А. Середа // Информация и безопасность. – 2001. – №2. – с. 4-11.
Остапенко О.А. Методология оценки риска и защищенности систем/ О.А. Остапенко // Информация и безопасность: Регион. науч.-техн. журнал. - Воронеж. 2005. – Вып. 2. – С. 28 – 32.
Парфенов В.И. Защита информации (Словарь).– В.: НП РЦИБ «Факел», 2003.– 293с.
Петренко С.А. Анализ и управление информационными рисками / С.А. Петренко, С.В. Симонов. – М.: АйТи-Пресс, 2003. – 216 с.
Петренко С.А. Аудит безопасности Intranet / С.А. Петренко, А.А. Петренко – М.: ДМК Пресс, 2002. – 416 с.: ил.
Петренко С.А. Метод оценивания информационных рисков организации/ С.А. Петренко // сб.статей "Проблемы управления информационной безопасностью" под ред. д.т.н., профессора Черешкина Д.С., РАН ИСА, – М., Едиториал УРСС, 2002. – С. 112 - 124.
Петренко С.А. Управление информационными рисками: Экономически оправданная безопасность. / С.А. Петренко, С.В. Симонов. – М.: АйТи - Пресс, 2004. – 381 с.
Пикфорд Дж. Управление рисками / Дж. Пикфорд – М.: ООО "Вершина", 2004. – 352 с.
Поллард Дж. Справочник по вычислительным методам статистики / Дж Поллард. – М.: Финансы и статистика, 1982. – 575 с.
Поспелов Д.А. Нечеткие множества в моделях управления и искусственного интеллекта. – М.: Наука, 1986. – 312 с.
Постановление Правительства РФ № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" от 17 ноября 2007 г. // КонсультантПлюс: справочные правовые системы. – Режим доступа: http://www.consultant.ru
Приходько А.Я. Словарь-справочник по информационной безопасности / А.Я. Приходько – М.: СИНТЕГ, 2001. – 124 с.
Пугачев В.С. Теория вероятностей и математическая статистика: Учеб. пособие.-2-е изд., исправл. и длполн.-М.: ФИЗМАТЛИТ, 2002. – 496 с.
Пустыльник Е.И. Статистические методы анализа и обработки наблюдений / Е.И. Пустыльник. – М.: Наука, 1971. – 192 с.
Рыжов А.П. Элементы теории нечетких множеств и ее приложений. - М.: Диалог-МГУ, 1998. - 81 c.
Самарский А.А. Математическое моделирование: Идеи. Методы. Примеры /А.А. Самарский, А.П. Михайлов. – М.:ФИЗМАТЛИТ, 2005. – 320 с.
Саульев В.К. Математическая обработка результатов наблюдений / В.К. Саульев. – М.: Изд-во МАИ, 1974. – 357 с.
Сачков В.Н. Введение в комбинаторные методы дискретной математики/ В.Н.Сачков. - М.: МЦНМО, 2004. – 421 с.
Севастьянов Б.А. Вероятностные модели / Б.А. Севастьянов. – М.: Наука, 1992. – 176 с.
Симонов С. Анализ рисков, управление рисками / С. Симонов //Jet Info. Информационный бюллетень, 1999. – № 1. – С. 2-28.
Симонов С. Технологии и инструментарий для управления рисками / С. Симонов //Jet Info. № 2, 2003. – № 2. – С. 15-21.
Справочник по теории вероятностей и математической статистике/ В.С. Королюк, Н.И. Портенко, А.В. Скороход, А.Ф. Турбин. – М.: Наука. Главная редакция физико-математической литературы, 1985. – 640с.
Стандарт Банка России СТО БР ИББС–1.2-2007. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организации банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2006.
Статьев В.Ю. Оценка информационных рисков в системах обработки служебной информации / В.Ю. Статьев. – М.: Конфидент, 2004. – 289 с.
Степнов М.Н. Статистические методы обработки результатов механических испытаний / М.Н. Степнов. – М.: Машиностроение, 1985. – 544 с.
Судоплатов С.В. Элементы дискретной математики.– М.: ИНФРА, 2003.– 280 с.
Сулицкий В.Н. Методы статистического анализа в управлении/ В.Н. Сулицкий. - М.: Дело, 2002. -520 с.
Тутубалин В.Н. Теория вероятностей и случайных процессов. Основы математического аппарата и прикладные аспекты / В.Н. Тутубалин. – М.: МГУ, 1992. – 395 с.
Томович Р. Общая теория чувствительности / Р. Томович, М. Вукобратович. Пер. с сербск. и с англ., под ред. Я.З. Цыпкина. – М.: Советское радио, 1972. – 240 с.
Торокин А.А. Основы инженерно-технической защиты информации. –М: Ось-89, 1998.– 336 с.
Унсельд И. Управление рисками и выполнение правил / И. Унсельд // LAN: журнал сетевых решений, 2006. – №8. – С. 86-88.
Федеральный закон № 152-ФЗ "О персональных данных" от 27 июля 2006 г // КонсультантПлюс: справочные правовые системы. – Режим доступа: http://www.consultant.ru
Феллер В. Введение в теорию вероятностей и ее приложения. В 2-х томах. Т.1: Пер. с англ / В. Феллер – М.: Мир. 1984. – С. 137-139.
Фомичев А.Н. Риск-менеджмент: Учебное пособие / А.Н. Фомичев – М.: Издательско-торговая корпорация "Дашков и К", 2004. – 292 с.
Хастингс Н. Справочник по статистическим распределениям/ Н. Хастингс, Дж. Пикок. Пер. с англ. А.К. Звонкина. – М.: Статистика, 1980. – 95 с.
Хенли Э. Дж. Надежность технических систем и оценка риска / Э. Дж. Хенли, Х. Кумамото – М.: Машиностроение, 1984. – 528 с.
Хованов Н.В. Математические модели риска и неопределенности / Н.В. Хованов. – СПб.: Издательство Санкт-Петербургского университета, 1998. – 204 с.
Хохлов Н.В. Управление риском: Учеб. Пособие для вузов / Н.В. Хохлов – М.: ЮНИТИ-ДАНА, 1999. – 239 с.
Черешкин Д.С. Оценка эффективности систем защиты информационных ресурсов / Д.С. Черешкин. – М.: Институт системного анализа РАН, 1998. – 455 с.
Чернова Г.В. Управление рисками: Учебное пособие / Г.В. Чернова, А.А. Кудрявцев. – М.: ТК Велби, Изд-во Проспект, 2003. – 160 с.
Шахов В.В. Теория и управление рисками в страховании / В.В. Шахов, А.С. Миллерман, В.Г. Медведев. – М.: Финансы и статистика, 2002. – 224 с.
Шоломицкий А.Г. Теория риска. Выбор при неопределенности и моделирование риска: учеб. пособие для вузов/ А.Г. Шоломицкий – М.: Изд. дом ГУ ВШЭ, 2005. – 400 с.
Штовба С.Д. Проектирование нечетких систем средствами Matlab. – М.: Горячая линия – Телеком, 2007. – 288 с., ил.
Шторм Р. Теория вероятностей. Математическая статистика. Статистический контроль качества / Р. Шторм. – М.: Издательство "МИР", 1970. – 368 с.
Ягер Р.Р. Нечеткие множества и теория возможностей. Последние достижения: Пер. с англ. - М.: Радио и связь. 1986. 408 с.
Язов Ю.К. Использование аппарата теории нечетких множеств в интересах комплексной оценки эффективности технической защиты информации в распределенных компьютерных системах / Ю.К. Язов, И.М. Седых // Вестник ВИ МВД России. – 2003. - №3(15). – с 179-182.
Язов Ю.К. Основы методологии количественной оценки защищенности и эффективности защиты информации в компьютерных системах / Ю.К. Язов – Ростов-на-Дону: Издательство СКНЦ ВШ, 2006. – 274 с.
Ярочкин В.И. Информационная безопасность.– М.: Летописец, 2000.– 399с.
Яхъяева Г.Э. Нечеткие множества и нейронные сети. – М.: Бином, 2006. – 315 с.