Автор Анна Евкова
Преподаватель который помогает студентам и школьникам в учёбе.

Защита информации

Содержание:

Введение

Производство данных видов информации обеспечивается государством или некоммерческими организациями. Определенные виды информации представляют собой достаточно важные данные, обладающие большой ценностью на рынке.

Для сохранения данных видов информации в целости, а так же минимизации рисков целесообразно применение различных программ для шифрования данных.

Применение стенографических программ имеет достаточно обширную область. Стенографическая программа может быть использована на предприятии для сокрытия самого факта передачи информации, а так же для повышения безопасности при передаче важных данных или переносе информации на разных носителях без риска раскрытия и изменения или рассекречивания.

Интенсивное развитие и использование современных информационных технологий привели в настоящее время к серьезным качественным изменениям в экономической, социально-политической и духовной сферах общественной жизни. Человечество фактически переживает этап формирования нового информационного общества.

Цель: рассмотреть проблем защиты информации.

Задачи:

 Изучить проблем защиты информации.

Рассмотреть методы защиты информации.

Объектом исследования является защита информации.

Предметом исследования является проблем защиты информации.

Теоретической и методологической основой исследования стали книги и статьи следующих авторов работают В.А. Герасименко, П.Д. Зегжда, В.В. Кульба, О.Б. Макаревич, А.Г. Мамиконов, А.Г. Остапенко, С.П. Расторгуев, А.А. Стрельцов, А.А. Тарасов, Д.С. Черешкин, В.В. Шураков, А.Б. Шелков и др.

Структура данной работы включает в себя: введение, двух глав, заключение и список использованной литературы.

Во введении рассмотрены: актуальность темы, определяются предмет, объект, цели и задачи.

В первой главе будут рассмотрены проблемы защиты информации.

Во второй главе показаны методы защиты информации.

В заключении проведены итоги.

Глава 1. Проблемы защиты информации

1.1. Исследование проблем защиты информации.

Исследование проблемы надежности стеганографической защиты информации. Сейчас информация представляет собой один из важнейших ресурсов служащих для развития общества, так же как и материальные, энергетические и людские ресурсы. При помощи информации человек имеет возможность получить нужные ему новые сведения и знания.

Информация как ресурс и фактор человеческого развития становиться продуктом с присущими продукту свойствами товара. Информация как экономический ресурс предназначается для обмена, её объемы имеют определенное ограничение, по этой причине на неё распространяется платежеспособная форма спроса. [1]

Цель информации заключается в возможности дать дополнительную свободу действий потребителю, если определенная цель будет достигнута с помощью данной информации, то будет определена её ценность и полезность для покупателя. Классическая теория Шеннона предполагает возможность уменьшать неопределенность, какой-либо ситуации, как главное свойство информации.

При таком рассмотрении различные виды информации предназначаются не для обмена, а передаются потребителю без платы, так как не имеют цены, в форме общественных благ. [2]

Сообщения, не привлекающие к себе внимания, являются основным преимуществом стеганографии над чистой криптографией, ведь в сообщениях отсутствует сам факт передачи какой-либо информации.

Стеганография – наука, занимающаяся изучением скрытной передачи информации с использованием сокрытия факта передачи, информации. Данный термин в научный оборот был введен аббатом Иоганном Тритемием (Johannes von Tritheim) в трактате «Стеганографии» (1499г.).

Сама же стеганография успешно использовалась уже в Древнем мире. Считается, что одними из первых начали применять стеганографию древние шумеры. Данное предположение основано на множестве, найденных археологами, глиняных клинописных табличек, в которых поверх одна запись на втором слое глины делалась другая. [3]

В свою очередь в компьютерной стеганографии выделяют два основных направления. Первое базируется на цифровой обработке сигналов (цифровая стеганография), второе не связано с цифровой их обработкой. Примерами классических методов в стеганографии являются манипуляции с носителем информации (контейнером), симпатические чернила, микронадписи и микроточки, литературные приемы и семаграммы. [4]

Развитие компьютерной технологии и средств коммуникации способствовало появлению такого направления стеганографии как компьютерная стеганография, основывающаяся на особенностях компьютерной платформы.

Для цифровой стенографии характерны следующие направления :

1) встраивание информации с целью ее скрытой передачи;

2) встраивание цифровых водяных знаков (ЦВЗ) (watermarking);

3) встраивание идентификационных номеров (fingerprinting);

4) встраивание заголовков (captioning).

Целью данной работы является оценка экономического аспекта применения цифровых стенографических методов и алгоритмов для повышения безопасности при передаче важных данных

Для реализации приложения была использована среда C ++.

В разрабатываемом приложении использована стандартная стенографическая система с секретным ключом. Общий алгоритм работы разработанного приложения включает в себя:

1) процедуру шифрования;

2) процедуру дешифрования.

Для произведения процесса шифрования выполняются следующие шаги:

1) производится загрузка изображения;

2) определяется количество пикселов, из которого состоит изображение;

3) вычисляется максимальный размер текстового сообщения путем деления количества пикселей изображения на 8, основываясь на методе хранения информации изображения в памяти компьютера или файле, согласно которому каждый пиксель кодируется одним 8-битным байтом;

4) исходя из максимального размера текстового сообщения, вычисленного на предыдущем шаге, определяется шаг продвижения по изображению в процессе его обработки; [5]

5) вводится шифруемый текст (при этом поле длина поля для ввода текста ограничивается максимальным размером текстового сообщения);

8) производится обработка изображения путем замены битов изображения битами текста;

9) полученный результат сохраняется;

10) пользователю предоставляется ключ для дешифровки сообщения, который по желанию пользователя может быть сохранен в файл.

Процесс дешифровки сообщения производится следующим образом:

1) производится загрузка изображения;

2) пользователю предлагается ввести ключ для дешифровки или загрузить ключ из файла;

3) с использованием полученного ключа производится группировка бит в символы и формирование из символов текстовой строки;

4) расшифрованное сообщение выводится на экран.

Проведя данное исследование можно отметить следующее, стенографические системы полезны для сокрытия факта передачи информации, а так же для безопасного переноса данных, что, в свою очередь, позволяет снизить риск утери или же рассекречивания важной информации. При использовании информационных технологий возникают проблемы безопасности информации.[6]

Очень важно уделить своевременное внимание данной проблеме, так как некоторые виды информации имеют значительную ценность. Коммерческая компания, упускающая чуть более 20 % важной внутренней информации, в 60 случаях из 100 доходит до банкротства. [7]

Так же существуют различные риски блокировки и изменения информации, 94 % компаний, лишившихся доступа или получающие не точную информацию на срок более 10 дней, покидали бизнес, большая часть заявляла о своей несостоятельности немедленно.

Предотвращение ущерба и затрат на решение проблем, можно решить при помощи приложения, которое будет использовать стенографические методы.

1.2. На пути созданию теории защиты информации

На основе развитой структуры унифицированной концепции защиты информации последовательно рассмотрены проблемы, возникающие при практической реализации комплексной системы защиты.[8]

Феномен резко возрастающего влияния информационно-коммуникационных технологий на формирование общества XXI в. был отмечен в Окинавской хартии глобального информационного общества, принятой лидерами «восьмерки» 22 июля 2000 г. [9]

Отличительные черты информационного общества могут быть охарактеризованы следующим образом:

• существенный рост доли в валовом внутреннем продукте отраслей экономики, связанных с производством знаний, с созданием и внедрением наукоемких, в том числе информационных, технологий, других продуктов интеллектуальной деятельности, с оказанием услуг в области информатизации, образования, связи, а также поиска, передачи, получения и распространения информации;

• радикальное ускорение технического прогресса, превращение научных знаний в реальный фактор производства, повышения качества жизни человека и общества;

• участие значительной части трудоспособного населения в производственной деятельности, связанной с созданием и использованием информационных технологий, информации и знаний;

• глобализация экономической, политической и духовной сфер жизни общества. [10]

В этих условиях на передний план экономического и социального развития выходят проблемы совершенствования систем информационного обеспечения всех сфер деятельности общества. Их решению в последние годы посвящаются интенсивные и крупно масштабные исследования и разработки.

Сегодня мы можем констатировать, что в процессе своего развития мировая «информационная» цивилизация пришла к формированию самостоятельного научно-технического направления «Информационная безопасность и защита информации» и фактически к созданию новой важной сферы человеческой деятельности. [11]

Становление научного направления «Информационная безопасность и защита информации» связано с именами таких отечественных ученых и специалистов, как В.А. Герасименко, П.Д. Зегжда, В.В. Кульба, О.Б. Макаревич, А.Г. Мамиконов, А.Г. Остапенко, С.П. Расторгуев, А.А. Стрельцов, А.А. Тарасов, Д.С. Черешкин, В.В. Шураков, А.Б. Шелков и др.

Гуманитарные и правовые аспекты информационной безопасности наиболее выпукло представлены в трудах российских ученых: академика В.С. Степина, чл.-корр. РАН Ю.М. Батурина, В.И. Аршинова, И.Ю. Алексеевой, И.Л. Бачило, В.Н. Лопатина, М.А. Федотова и других.

И российские, и зарубежные специалисты единодушны в оценке чрезвычайной важности проблемы защиты. Естественно, что за истекшее после возникновения проблемы время коренным образом изменилось как представление о ее сущности, так и методологические подходы к решению. Указанные изменения происходили постепенно и непрерывно, поэтому всякая периодизация этого процесса в значительной мере носит искусственный характер.

Тем не менее весь период активных работ по рассматриваемой проблеме довольно четко делится на три этапа.

Первые два этапа характеризуются экстенсивным подходом к решению задач защиты, которая в основном рассматривается в это время как защита от несанкционированного доступа к конфиденциальной информации. В течение этих этапов происходит постепенное расширение арсенала используемых средств защиты, причем как по их количеству, так и по разнообразию.

При этом на втором этапе начинает получать распространение комплексное применение технических, программных и организационных средств. В целях регулирования правил защиты в ведущих странах начинают приниматься специальные законодательные акты. [12]

Третий этап, характерный для настоящего времени, с полным правом может быть назван этапом комплексной защиты. Его особенность заключается в попытках обобщения всего имеющегося опыта теоретических исследований и практического решения задач защиты и формирования на этой основе научно-методологического базиса защиты информации.

Иными словами, основная задача третьего этапа – перевод защиты информации на интенсивные способы, базирующиеся на строгой научной основе.

Кроме этого, в последнее время все более остро ставится проблема обеспечения информационной безопасности как органической совокупности решения задач защиты информации и защиты от информации.

Не рассматривая здесь гуманитарные аспекты проблемы защиты от информации, а сосредоточившись только на обеспечении информационной безопасности автоматизированных систем, мы имеем достаточно веские основания утверждать, что решение проблемы защиты от информации (в частности от вредоносного программного обеспечения) может быть осуществлено на основе того же концептуально-методологического базиса, что и проблемы защиты информации.

Это обстоятельство естественным образом подводит к заключению, что и проблему защиты от информации целесообразно включить в расширенное толкование понятия комплексной защиты информации. Все это говорит о необходимости формирования научно-методологического базиса защиты как краеугольного камня интенсификации процессов обеспечения информационной безопасности. [13]

Таким образом, на сегодняшний день можно выделить следующие наиболее острые проблемы, требующие своего решения:

•создание теоретических основ и формирование научно-методологического базиса защиты информации, позволяющих адекватно описывать процессы защиты и прогнозировать показатели защищенности в условиях значительной неопределенности и непредсказуемости проявления дестабилизирующих факторов;

•разработка научно обоснованных нормативно-методических документов по защите информации на базе исследования и классификации угроз информации и выработки стандартов требований к защите;

•стандартизация подходов к созданию систем защиты информации и рационализация схем и структур управления защитой на объектовом, региональном и государственном уровнях.

Исторический очерк (на опыте Российской Федерации).

Исторически можно выделить три этапа исследований, проводившихся в России и направленных на формирование теоретических основ защиты информации.

Первый этап (1991–2000 гг.) хронологически совпадает с широкомасштабным развертыванием в стране работ по защите информации и принятием Доктрины информационной безопасности Российской Федерации. Данный этап характеризуется эмпирическим подходом к решению практических задач обеспечения безопасности информации.

Пользуясь терминологией, введенной известным российским ученым и общественным деятелем Н.Я. Данилевским при рассмотрении им вопросов истории развития науки, назовем этот этап «периодом собирания материалов».

На данном этапе в целях формирования теоретико-методологической основы исследования осуществлялись изучение и анализ проводившихся отечественных и зарубежных работ, посвященных различным аспектам концептуально-методологических основ защиты информации и обеспечения информационной безопасности. [14]

В этот период А.А. Малюком совместно с профессором В.А. Герасименко был подготовлен и в 1997 г. издан первый российский учебник «Основы защиты информации». Учебник заложил основу для проведения исследований на следующем этапе, реализующем потребность привести накопленные сведения в определенную систему, учитывающую их сложную взаимосвязь.

Второй этап (2001–2008 гг.) был посвящен формированию на основе системного подхода концепции и содержания теории защиты информации в виде некоторого вербального описания процессов защиты. Таким образом, этот этап может быть назван концептуально-эмпирическим, или «периодом искусственной системы» (по Н.Я. Данилевскому).

Этот этап естественным образом совпадает с разработкой и принятием стратегии развития информационного общества в Российской Федерации. Обобщением исследований, проводившихся на этом этапе, явилось изданное в 2004 г. Учебное пособие «Информационная безопасность: концептуальные и методологические основы защиты информации».

Третий этап (2009–2013 гг.) охватывает исследования, логически завершающие формирование комплексного междисциплинарного подхода к обеспечению информационной безопасности и защиты информации. Данный этап может быть назван теоретико-концептуальным, или «периодом естественной системы». Основные результаты исследований обобщены в изданной в 2012 г.

Необходимым компонентом, обеспечивающим комплексный взгляд на проблему, явились исследования, связанные с решением вопросов развития культуры информационной безопасности. Были исследованы вопросы этики в сфере информационных технологий, нашедшие отражение в монографии «Этика в сфере информационных технологий», изданной в 2011 г. [15]

В результате проводившихся исследований были сформированы:

  1. Концепция защиты информации, построенная на идее перехода от экстенсивных к интенсивным методам решения проблем защиты и включающая структурированное описание среды защиты, всесторонний количественный анализ степени защищенности информации на объекте, научно обоснованное определение требуемого уровня защиты на каждом конкретном объекте и в конкретных условиях его функционирования, построение оптимальных систем защиты на основе единой методологии.

Главным здесь является использование упреждающей стратегии, опирающейся на научно обоснованное прогнозирование потенциально возможных ситуаций и вероятностей реализации широкого спектра угроз как случайного, так и преднамеренного характера.

Переход от экстенсивных к интенсивным способам защиты информации ставит на повестку дня формирование нового научного направления – теории защиты информации. Фундаментальной основой теории защиты является научно-методологический базис, использующий неформально-эвристические методы.

Исключительно важное значение для решения проблем защиты информации приобретают методы экспертных оценок, эвристического программирования, «мозгового штурма» и психоинтеллектуальной генерации, интегрированные в технологию автоформализации профессиональных знаний.

2. Комплекс моделей и методологии адекватной оценки реальной защищенности информации, научного обоснования требований к защите, формирования оптимальной системы защиты и управления процессом ее функционирования, основанные на системной классификации угроз, классификации множества вариантов потенциально возможных условий защиты информации, научно обоснованной типизации и стандартизации систем защиты, оптимизации управления их функционированием.

Решение перечисленных проблем и выработка соответствующих требований осуществляется на основе структурно-логического анализа вариантов условий (ситуаций) защиты и структурированного их описания с широким применением методологии и методов неформальной теории систем, активно использующей процедуры экспертного оценивания. [16]

При этом степень адекватности моделей, получаемых экспертом, напрямую зависит от полноты и достоверности исходных данных, что требует разработки методологии оценки этой достоверности, а систематизация и обобщение подавляющего большинства данных – организации проведения массовой экспертизы.

3. Концепция создания специализированных центров защиты информации, направленная на решение проблемы совершенствования организационного обеспечения защиты информации в условиях ее интенсификации. Основными задачами данных центров являются:

• оказание услуг (аутсорсинг) по созданию и поддержанию функционирования систем защиты информации;

• обучение (подготовка, переподготовка, повышение квалификации) соответствующих кадров специалистов;

На пути к созданию теории защиты информации

• сбор и формирование статистических данных об обеспечении информационной безопасности в пределах ареала конкретного центра, а также обмен этими данными с другими центрами.

4. Концепция развития системы подготовки и переподготовки кадров в области обеспечения информационной безопасности, решающая проблему совершенствования подготовки и расстановки соответствующих кадров специалистов. Проблема кадрового обеспечения в значительной степени определяет уровень информационной безопасности страны.

В Российской Федерации к настоящему времени созданы основы системы подготовки и повышения квалификации специалистов в области информационной безопасности. Одно из основных мест в этой системе занимает подготовка кадров по направлению «Информационная безопасность». [17]

Дальнейшее развитие этой системы должно идти по пути формирования системы непрерывной подготовки и переподготовки кадров, совершенствования содержания и качества образования.

Ниже более подробно раскрывается содержание приведенных результатов. Основное внимание при этом обращается на следующие вопросы:

• современное состояние проблемы обеспечения информационной безопасности, место проблем защиты информации в общей совокупности информационных проблем современного общества;

• содержание теории защиты информации как междисциплинарного научного направления, являющегося теоретической основой интенсификации процессов защиты информации и обеспечения информационной безопасности;

• концепция защиты информации, основанная на идее комплексного подхода к реализации процесса защиты;

• методологические подходы к оценке защищенности информации, выработке требований к защите информации с учетом факторов, влияющих на уровень защиты, и потенциально возможных условий функционирования защищаемых систем и процессов, к построению систем защиты информации и управлению их функционированием;

• практические рекомендации по интенсификации процессов защиты информации, формированию современных организационных структур и системы кадрового сопровождения, обеспечивающих эффективную реализацию комплексного подхода к защите.

Современные проблемы защиты информации Анализ достижений современной информатики и исторической ретроспективы развития подходов к информатизации ясно показывает, что в настоящее время ведущие страны мира находятся в переходном периоде от индустриального этапа развития к информационному. [18]

На этом этапе главным стратегическим национальным ресурсом становятся информация и информационные технологии. Возрастание роли информации, информационных ресурсов и технологий в жизни граждан, общества и государства в XXI в. Выводит вопросы информационной безопасности на первый план в системе обеспечения национальной безопасности, что требует разработки научно обоснованных подходов к их решению.

Объективные предпосылки для разработки общей теории безопасности (секьюритологии) пока не нашли своего удовлетворительного разрешения, хотя, по мнению ряда ученых (М.С. Алешенкова, Б.Н. Родионова, С.А. Филина, В.И. Ярочкина и других), системный подход к жизненно важной проблеме безопасности предопределяет необходимость формирования нового научного направления как систематизированного обобщенного знания обо всех аспектах безопасности, являющейся важнейшим условием выживания и развития человечества.

Если рассматривать безопасность в качестве общенаучной категории, то представляется, что она может быть определена как некоторое качество той или иной системы, характеризующее, с одной стороны, ее способность противостоять дестабилизирующему воздействию внешних и внутренних угроз, а с другой – возможность возникновения угроз для элементов самой системы и внешней среды, связанных с ее функционированием. [19]

Таким образом, представление безопасности как качества более объективно характеризует способность системы противостоять тем или иным угрозам как внешнего, так и внутреннего характера. Учитывая приведенные соображения, предложенное определение можно считать достаточно полным и вполне корректным.

Однако для того чтобы служить более конкретным ориентиром в поиске решения проблем обеспечения информационной безопасности, оно нуждается в уточнении и детализации его основополагающих понятий. Из принятого нами определения естественным образом вытекает, что обеспечение информационной безопасности в общей постановке проблемы может быть достигнуто лишь при взаимоувязанном решении трех задач: защиты находящейся в системе информации от дестабилизирующего воздействия внешних и внутренних угроз; защиты элементов системы от дестабилизирующего воздействия внешних и внутренних информационных угроз; защиты внешней среды от информационных угроз со стороны рассматриваемой системы. [20]

Таким образом, обеспечение информационной безопасности может быть представлено двумя параллельными процессами: защитой информации и защитой от информации.

Как говорилось ранее, история развития подходов к решению проблем защиты информации может быть довольно четко разделена на три периода, которые могут быть названы соответственно эмпирическим, концептуально-эмпирическим и теоретико-концептуальным.

На пути к созданию теории защиты информации обоснования методов оценки защищенности информации и синтеза оптимальных механизмов защиты к разработке в настоящее время основ теории защиты информации. Суть сегодняшнего этапа заключается в постановке задачи многоаспектной комплексной защиты и формировании унифицированной концепции защиты информации.

Изменялись и применяемые средства защиты от функционально ориентированных механизмов до системы комплексной защиты и создания изначально защищенных информационных технологий.

Знаменательно, что предлагаемая периодизация истории развития подходов к защите информации в основном соответствует сформулированной еще в XIX в. российским ученым Н.Я. Данилевским системе ступеней или фазисов развития любой науки.

Н.Я. Данилевский выделял пять ступеней формирования области научного знания: собирания материалов, искусственной системы, естественной системы, частных эмпирических законов, общего рационального закона. [21]

Таким образом, эмпирический, концептуально-эмпирический и теоретико-концептуальный подходы соответствуют стадиям собирания материалов, искусственной и естественной систем. Можно предположить, что дальнейшее развитие теории защиты информации будет идти в направлении формулирования частных эмпирических законов и общего рационального закона, что соответствует созданию аксиоматической теории.

На сегодня же удалось разработать основы целостной теории защиты информации и этим самым подвести под реализацию защиты прочную научно-методологическую базу. Вместе с тем необходимо отметить, что до последнего времени системная реализация всех положений теории защиты сдерживается рядом серьезных трудностей, связанных с повышенным влиянием случайных факторов на процессы защиты информации, недостаточно четкой проработкой инструментальных средств решения задач анализа и синтеза систем и процессов защиты, с отсутствием значительной части исходных данных, необходимых для обеспечения решения названных задач.

Современный взгляд на защиту информации как на комплексную проблему неминуемо приводит к возрастанию значимости системных вопросов, связанных с процессом защиты (формирование общей политики защиты, оптимизация процессов проектирования и функционирования комплексных систем защиты, подбор, обучение и расстановка соответствующих кадров специалистов, сбор и аналитико-синтетическая обработка данных о функционировании реальных систем защиты информации). [22]

Таким образом, возникает проблема системной увязки задач обеспечения информационной безопасности с остальными задачами решения информационных проблем общества. Проблема эта имеет как научно-методологические, так и организационные аспекты и в своем решении может базироваться на унифицированной концепции защиты информации. Идея данной концепции впервые была предложена В.А. Герасименко.

Концепция применима на всех трех уровнях защиты: компьютерном, объектовом, региональном (государственном). Она создает все необходимые объективные предпосылки для перехода к новому этапу в решении возникающих здесь задач – этапу интенсификации процессов защиты информации.

Переход от экстенсивных к интенсивным способам защиты информации означает целенаправленную реализацию всех достижений теории и практики защиты, которые в концентрированном виде отражены в унифицированной концепции, а именно: структурированное описание среды защиты, всесторонний количественный анализ степени защищенности информации на объекте, научно-обоснованное определение требуемого уровня защиты на каждом конкретном объекте и в конкретных условиях его функционирования, построение оптимальных систем защиты на основе единой унифицированной методологии.

Переход от экстенсивных к интенсивным способам защиты информации, составляющий, как это было показано выше, суть современного этапа формирования информационного общества, должен основываться на соответствующем научно-методологическом базисе. В связи с тем что процессы защиты информации подвержены сильному влиянию случайных факторов, методы классической теории систем оказываются практически непригодными для решения задач создания, организации и обеспечения функционирования систем защиты информации. Таким образом, возникает актуальная задача расширения арсенала классической теории за счет использования методов, позволяющих адекватно моделировать процессы, существенно зависящие от воздействия труднопредсказуемых факторов. [23]

Наиболее подходящими для формирования методологического базиса теории защиты информации оказываются методы нечетких множеств, лингвистических переменных (нестрогой математики), неформального оценивания, неформального поиска оптимальных решений. При этом практически полное отсутствие на сегодняшний день систематизированных статистических данных функционирования реальных систем защиты информации выдвигает на передний план эвристическую составляющую этого базиса.

При использовании указанных подходов в задачах оценки состояния и прогнозирования уровня безопасности информации стратегия поиска решения, а также большинство этапов интерпретации результатов должны строиться в основном на неформальных знаниях эксперта и применяемых им интуитивных методах. В этих условиях единственным реальным способом создания моделей исследуемой ситуации на основе формализации алгоритмов аналитической деятельности может быть только автоформализация знаний эксперта, т. е. возникает проблема разработки технологии формализации экспертом своих профессиональных знаний.

Результатом автоформализации в этом случае являются новые сведения, которые эксперт получил в ходе эксперимента с моделями, и сами модели, отражающие его глубинные представления о структуре исследуемого процесса и присущих ему качественных и количественных зависимостях.

Возможны следующие модификации обобщенной модели:

модель функционирования системы при отсутствии управления защитой информации (такая модель позволяет лишь определять значения показателей защищенности информации, т. е. решать задачи анализа);

модель текущего управления защитой информации, основу которого составляет оптимизация использования средств защиты,

непосредственно включенных в состав системы;

модель управления ресурсами, выделенными на защиту информации, которая дополнительно к предыдущим задачам позволяет оптимизировать процесс формирования средств текущего управления защитой информации;

модель управления средствами воздействия на параметры, не допускающие текущего управления, но поддающиеся воздействию;

модель управления ресурсами, выделенными на развитие системы;

полная модель защиты, которая дополнительно ко всем возможностям, рассмотренным выше, позволяет оптимизировать использование всех ресурсов, выделенных на защиту информации. [24]

Эффективность практического использования данной модели существенно зависит от представительности и адекватности массивов статистических данных, позволяющих определять функциональные зависимости, устанавливающие взаимосвязи показателей защищенности информации, параметров систем защиты и размеров ресурсов, вкладываемых в реализацию процессов защиты.

В связи с этим рассматриваемая модель может применяться только в совокупности с неформальными методами анализа и прогнозирования, в частности, с использованием рассмотренного выше алгоритма автоформализации знаний эксперта-аналитика. Отсюда понятно также, что принципиальное значение в этих условиях имеет решение проблемы организационного обеспечения всего комплекса работ по защите информации, позволяющего реализовать сбор, накопление и систематизацию исходных данных.

Основными результатами развития теории защиты информации являются также введение понятия «стратегия защиты» и создание единого инструментально-методологического базиса ее реализации. Проведенные исследования показывают, что с учетом требуемого уровня защиты и степени свободы действий при ее организации целесообразно выделить три базовые стратегии защиты информации: оборонительную, наступательную и упреждающую. [25]

При этом каждая из этих стратегий может быть эффективно реализована в рамках унифицированной концепции защиты информации.

В настоящее время известно большое количество разноплановых угроз различного происхождения, таящих в себе различную опасность для информации. На протяжении нескольких десятков лет не прекращаются попытки формирования, исследования и классификации возможно более полного множества угроз. Актуальность решения этой проблемы заключается в необходимости строгого определения значений показателей защищенности информации, что должно позволить построить адекватные модели процессов и механизмов ее защиты.

В целях обоснования структуры и содержания системы показателей защищенности информации, исследования влияния на них различных параметров угроз, разработки комплекса моделей и методологии оценки на их основе защищенности информации проведем системную классификацию угроз.

Для системной оценки защищенности информации можно использовать систему показателей, структурированную по видам защиты информации и видам дестабилизирующего воздействия на нее. Основными параметрами, определяющими вероятность нарушения защищенности информации, примем: количество и типы структурных компонентов системы, количество и типы случайных дестабилизирующих факторов, количество и типы злоумышленных дестабилизирующих факторов, число и категории нарушителей, виды защищаемой информации.[26]

При этом множество всех разновидностей различных показателей определяется декартовым произведением чисел, характеризующих количество значений всех значащих параметров. Из этого множества особо могут быть выделены два показателя: первый (базовый), характеризующий защищенность информации в одном структурном компоненте системы при однократном проявлении одного дестабилизирующего фактора и относительно одного потенциального нарушителя, второй (общий), характеризующий защищенность информации в целом по всем потенциально возможным дестабилизирующим факторам относительно всех потенциально возможных нарушителей. Все другие возможные показатели будут являться частично обобщенными.

Следует отметить, что во всех этих выражениях, структурирующих оценку защищенности информации, присутствуют показатели, представляющие собой вероятности реализации тех или иных событий. Значения этих показателей при отсутствии достаточного статистического материала могут быть получены только экспертным путем с использованием описанной выше технологии автоформализации знаний. При этом исключительное значение приобретает оценка достоверности данных, опираясь на которые эксперт-аналитик принимает то или иное решение.

Определим достоверность как «уровень разумной уверенности в истинности некоего высказывания, который удовлетворяет некоторым правилам непротиворечивости и в соответствии с этими правилами формально может быть выражен числом». Используя идею байесовского подхода, можно поставить вопрос о достоверности фрагментов интегрированной базы данных (базы данных, базы знаний и базы моделей) эксперта-аналитика, рассматривая любой фрагмент как гипотезу, а фрагменты, с которыми он связан, как свидетельства относительно фрагмента-гипотезы. [27]

Эта реакция достаточно сложна и вызывает модификацию значений и достоверностей всех старых фрагментов, так или иначе связанных с вновь поступившим.

Для описания процесса модификации введем понятия «системное значение» и «системная достоверность фрагмента», определяемые с учетом всех свидетельств, содержащихся в интегрированной базе данных. Модификация значения и достоверности фрагмента при изменении состава свидетельств может быть осуществлена с использованием алгоритма.

Переход от экстенсивных к интенсивным способам защиты информации требует строго научного обоснования конкретных требований к защите. Данные требования определяются характером, видом и объемом обрабатываемой информации, продолжительностью ее пребывания в системе, технологией обработки и организацией информационно-вычислительного процесса, структурой и этапом жизненного цикла защищаемой системы.

В современных условиях наиболее рациональным подходом к выработке этих требований представляется подход, основанный на выделении некоторого количества типовых систем защиты и разработке рекомендаций по их использованию. На сегодняшний день в целях типизации систем защиты информации разработано множество регламентирующих документов, определяющих критерии оценки защищенности автоматизированных систем и механизмы защиты, которые должны использоваться при обработке информации различной степени конфиденциальности.

Наличие данных документов создает достаточную базу для организации защиты информации на регулярной основе. Однако с точки зрения современной постановки задачи защиты (интенсификация процессов и комплексный подход) они имеют ряд принципиальных недостатков, так как ориентированы на защиту информации только в средствах вычислительной техники и учитывают далеко не все факторы, оказывающие существенное влияние на защищенность информации. Кроме того, их научное обоснование оставляет желать лучшего. [28]

В целях совершенствования методик определения требований защите информации и типизации на этой основе систем защиты необходимо решить следующую последовательность задач:

разработка методов оценки параметров защищаемой информации;

формирование перечня и классификация факторов, влияющих на требуемый уровень защиты;

структуризация возможных значений факторов;

структуризация поля потенциально возможных вариантов условий защиты;

оптимальное деление поля возможных вариантов на типовые классы;

структурированное описание требований к защите в пределах выделенных классов.

Для оценки параметров защищаемой информации можно использовать показатели, характеризующие ее как обеспечивающий ресурс для решения прикладных задач и как объект труда для процесса информационного обеспечения решаемых задач. К показателям первого вида целесообразно отнести важность, полноту, адекватность, релевантность и толерантность информации. В качестве основных характеристик второго вида можно использовать способ кодирования и объем информации.

Оценка важности, полноты и адекватности информации базируется на неформально-эвристических методах и использовании лингвистических переменных. В результате нами был разработан ряд классификаций указанных параметров, позволяющих практически решать задачи оценки защищаемой информации. [29]

Важность информации предложено оценивать по двум группам критериев: по назначению и по условиям ее обработки. Полноту информации целесообразно оценивать на основе формирования объектно-характеристических таблиц (информационного кадастра объекта).

Адекватность информации определяется объективностью ее генерирования и продолжительностью интервала времени между моментом генерирования и моментом оценивания адекватности.

В целях формирования возможно более полного множества факторов, влияющих на требуемый уровень защиты, и возможно более адекватного определения степени этого влияния разработан подход, базирующийся на неформально-эвристических методах с широким привлечением знаний, опыта и интуиции компетентных и заинтересованных специалистов.

Практическое использование этого подхода позволило выделить в общей сложности 17 факторов, каждый из которых может принимать одно из четырех значений.

На пути к созданию теории защиты информации пользовать в дальнейшем для практического решения поставленной задачи.

Осуществление такой классификации фактически является задачей формирования необходимого и достаточного набора типовых систем защиты информации. На основании теоретического, эмпирического и теоретико-эмпирического подходов к решению этой проблемы предлагается классификационная структура типовых систем защиты информации, содержащая пять основных и пять дополнительных классов.

Общее число вариантов условий при такой классификации в случае надлежащего построения вычислительного алгоритма оказывается вполне подъемным для современной компьютерной техники.[30]

Из предшествующего рассмотрения ясно, что все ресурсы, выделяемые в системе для защиты информации, должны быть объединены в единую, функционально самостоятельную подсистему.

С точки зрения организационного построения такая подсистема (назовем ее системой защиты информации – СЗИ) представляет собой совокупность механизмов обеспечения защиты информации, механизмов управления механизмами обеспечения защиты и механизмов общей организации работы системы. [31]

Важнейшее значение для обеспечения надежности и экономичности защиты информации имеют типизация и стандартизация СЗИ. Анализ концепции защиты информации и возможных подходов к архитектурному построению СЗИ показывает, что целесообразно выделить три уровня типизации и стандартизации: высший – уровень СЗИ в целом, средний – уровень компонентов СЗИ и низший – уровень проектных решений по средствам и механизмам защиты.

С целью создания объективных предпосылок для типизации и стандартизации на высшем и среднем уровнях на основании эмпирического подхода может быть предложена системная классификация СЗИ. В соответствии с этой классификацией все СЗИ в зависимости от уровня обеспечиваемой защиты могут быть разделены на четыре категории: системы слабой защиты, системы сильной защиты, системы очень сильной защиты, системы особой защиты, а в зависимости от активности реагирования на несанкционированные действия – на три типа: пассивные СЗИ, полуактивные СЗИ и активные СЗИ.

Для формирования полного множества необходимых СЗИ должен быть принят во внимание также и тип системы, для которой эта СЗИ предназначена. В соответствии с современными представлениями можно различать следующие системы: персональный компьютер, используемый локально (ПК); групповой компьютер, используемый локально (ГК); вычислительный центр предприятия, учреждения, организации (ВЦП); вычислительный центр коллективного пользования (ВЦКП); локальная вычислительная сеть (ЛВС); «слабо» распределенные (в пределах населенного пункта, небольшой территории) вычислительные сети (СВС). [32]

Типизация и стандартизация на среднем уровне предполагает разработку типовых проектов структурно и функционально ориентированных компонентов СЗИ. В качестве наиболее перспективного варианта покомпонентной типизации и стандартизации СЗИ предлагается использовать подход, основанный на так называемой семирубежной модели.

Типизация и стандартизация на низшем уровне предполагает разработку типовых проектных решений по практической реализации средств защиты информации (технических, программных, организационных).

Проектирование СЗИ заключается в создании рациональных механизмов обеспечения защиты информации и механизмов управления ими. В зависимости от уровня конфиденциальности защищаемой информации, условий, в которых создается система защиты, а также с учетом предложенной выше классификации СЗИ структура возможных подходов к проектированию системы будет включать шесть различных вариантов, от использования типовых СЗИ до разработки индивидуального проекта системы с применением индивидуальных средств защиты.

При решении задач анализа и оценки СЗИ для целей адаптации к различным условиям защиты и управления их развитием могут применяться рассмотренные выше методы моделирования процессов защиты информации.

На пути к созданию теории защиты информации всех этих процессов должны учитывать особенности краткосрочного, среднесрочного и долгосрочного управления. [33]

Особое значение в процессах управления имеет регулярно осуществляемый контроль защищенности, который складывается из собственно контроля защищенности информации и контроля функционирования механизмов защиты. Технология контроля защищенности должна предусматривать контроль состояния параметров, определяющих значения контролируемых показателей, контроль проявления типовых нарушений правил защиты информации, а также комбинированный контроль по параметрам и типовым нарушениям.

Совершенствование организационных подходов и кадрового обеспечения решения перспективных проблем защиты информации

Анализ обобщенных итогов развития теории и практики защиты информации приводит к выводу о том, что наиболее вероятными перспективами их дальнейшего развития являются:

совершенствование теоретических основ защиты;

практическая реализация идеи интенсификации защиты информации и перевод ее на индустриальную основу;

постепенная трансформация задачи защиты информации (в основном обеспечения так называемой компьютерной безопасности, или кибербезопасности) в задачу обеспечения информационной безопасности объектов, регионов и государства в целом.

Центральное место в ближайшей перспективе займут проблемы перехода от экстенсивных к интенсивным методам реализации процессов защиты информации. Особую роль в совершенствовании организационного обеспечения защиты информации в условиях ее интенсификации должен играть аутсорсинг на основе создания специализированных центров защиты.[34]

Основными задачами данных центров должны стать:

оказание услуг предприятиям, учреждениям, иным организациям по созданию и поддержанию функционирования в них систем защиты информации;

обучение (подготовка, переподготовка, повышение квалификации) соответствующих кадров специалистов;

сбор и формирование статистических данных об обеспечении информационной безопасности в пределах ареала конкретного центра, а также обмен этими данными с другими центрами.

Следует отметить, что в России концепция центров защиты информации на сегодняшний день практически реализована в виде сети региональных учебно-научных центров по проблемам информационной безопасности в системе высшей школы.

Для практического применения рассмотренных в статье основ теории защиты информации принципиальное значение имеет формирование репрезентативных баз, исходных данных анализа и прогнозирования ситуаций защиты. Эта деятельность может рассматриваться как одна из важнейших макрозадач центров защиты информации.

При этом так как подавляющее большинство исходных данных носит настолько неопределенный характер, что может быть получено (по крайней мере, в настоящее время и в обозримом будущем) только неформально-эвристическими методами, возникает задача организации и осуществления процедуры непрерывной массовой экспертизы.

Решение современных проблем защиты информации и более общих проблем обеспечения информационной безопасности в определяющей степени зависит также от подготовки и расстановки соответствующих кадров специалистов. В Российской Федерации к настоящему времени развернута система подготовки и повышения квалификации специалистов в области информационной безопасности. [35]

В общей сложности подготовку специалистов по тем или иным аспектам безопасности информации ведут сейчас уже более 100 вузов. Большое значение для совершенствования подготовки специалистов имеет развитие международного сотрудничества в этой области. В связи с этим нельзя не отметить положительного опыта регулярного проведения Международной конференции по образованию в области информационной безопасности в рамках деятельности международной федерации по обработке информации.

Странами-организаторами этой конференции в разное время выступали Швеция, Австралия, США, Россия, Бразилия, Швейцария, Новая Зеландия.

Рассматривая проблему интенсификации подходов к обеспечению безопасного развития информационного общества, мы можем констатировать, что на сегодня достигнуты следующие результаты.

Обосновано и в содержательном плане сформировано новое научное направление – теория защиты информации, базирующееся на структурированном описании среды защиты, всестороннем количественном анализе степени защищенности информации на объекте, научно обоснованном определении требуемого уровня защиты на конкретных объектах в любых возможных условиях их функционирования, построении оптимальных систем защиты на основе единой унифицированной методологии.

Сформирован научно-методологический базис теории защиты информации в виде неформальной теории систем, использующий достижения методов нечетких множеств, лингвистических переменных, экспертных оценок, неформального оценивания, неформального поиска оптимальных решений.

Предложены методологические подходы к разработке политики безопасности в условиях неполноты и недостоверности исходных статистических данных, структурирован процесс создания оптимальных систем защиты информации в виде кортежа концептуальных решений, составляющих существо унифицированной концепции защиты информации.

Вывод к 1 главе

Разработаны системные классификации угроз безопасности информации, потенциально возможных условий защиты, основных типов архитектурного построения систем защиты, являющиеся основой масштабной стандартизации систем и процессов защиты информации. [36]

Предложен новый подход к формированию организационного обеспечения решения проблем информационной безопасности на основе аутсорсинга в области защиты информации и создания для этой цели специализированных региональных центров.

Дальнейшие исследования предполагается проводить в направлении формирования аксиоматической теории защиты информации и разработки поведенческих моделей нарушителей, позволяющих повысить эффективность прогнозирования ситуаций защиты и дестабилизирующих факторов.

Глава 2. Методы защиты информации

2.1. Защита интернет-ресурсов по технологии движущейся цели

Представлен новый метод построения защищенных интернет-приложений, основанный на технологии движущейся цели (moving target defense). Сделано расширение данной технологии к общей проблеме защиты систем от исследования и разработан алгоритм построения защищенных от исследования систем с неограниченным количеством дополнительных параметров.[37]

На основе данного алгоритма можно строить системы защиты от атак SQL-инъекций, CSS-атак и пр. Взаимодействие с интернет-приложением построено таким образом, что когда злоумышленник пытается исследовать ресурс, он получает информацию, интерпретируя которую, он получает все более и более сложную структуру системы.

Данные технологии позволяют защитить веб-сайты от несанкционированного доступа и исследовать поведение злоумышленника. Исследование поведения злоумышленника дает возможность поиска уязвимостей, не известных на этапе проектирования системы. [38]

Предоставление надежной защиты для веб-сайтов является наиболее сложной задачей разработки систем информационной безопасности. Веб-приложения, как правило, должны быть доступны для всех пользователей в Интернете. И это является причиной того, что существует соответствующая плоскость атаки, которую невозможно устранить. Поскольку веб-сайты получают данные из внешней среды, это создает уязвимости, которые могут быть реализованы злоумышленниками. [39]

Риски безопасности подобных ресурсов не могут быть определены заранее, поскольку существует множество уязвимостей, которые будут открыты в будущем. Данные уязвимости могут быть критическими для системы. Кроме того, злоумышленник может осуществить рекогносцировку системы перед атакой на нее, что может дать ему дополнительное преимущество над защитником.

Существует общая технология устранения таких преимуществ злоумышленника. Данный метод назван защитой на основе движущейся цели (moving target defense – MTD) и основан на непрерывном изменении системы. Поэтому когда атакующий осуществляет рекогносцировку, он не может получить актуальную информацию, которую можно использовать в следующий момент времени. [40]

Практически любой атаке предшествует процесс рекогносцировки. На основании полученной информации злоумышленник пытается реализовать те или иные эксплойты. Введя в информационную систему динамические параметры, мы можем сделать процесс рекогносцировки бесполезным или малоэффективным.

Основанная на этом технология MTD уже стала неким трендом построения систем информационной безопасности.

Существуют практические реализации таких методов в области виртуализации, программно-определяемых сетей, рандомизации виртуальной памяти (address space layout randomization – ASLR) и пр.

Существуют подобные реализации и в области защиты веб-серверов. Однако все они, как правило, сводятся к динамическим именам переменных, таблиц в базах данных и пр.

Недостатком всех предложенных методов в области MTD является то, что схемы защиты на их основе также остаются стереотипными. Другими словами, если злоумышленник изучил конкретный метод MTD на одной системе, то он может использовать полученную информацию для исследования других систем, где применяется тот же метод MTD. Проблема заключается в том, что сама схема MTD также должна быть защищена от исследования. Это требует более общей постановки задачи защиты от исследования и получения метода MTD, который позволял бы строить нестереотипные системы за счет введения дополнительных параметров.

Целью данной работы является разработка алгоритма MTD, защищенного от исследования злоумышленником, и построения на его основе метода защиты интернет-ресурсов от преднамеренных атак. [41]

Таким образом, защита от исследования не накладывают каких-либо ограничений на действия злоумышленника, а управляет информацией, на основе которой он принимает решения. Это дает снижение риска сразу по всему множеству (даже не открытых) уязвимостей, так как блокирует информативную обратную связь при попытке исследования системы. Технология, о которой идет речь в данной работе, основана на искусственном усложнении системы путем введения в нее «бессмысленных» параметров.

Однако результат, который мы достигаем в результате ее реализации, заключается как раз в отклонении структуры системы в область нестереотипных шаблонов вплоть до полного хаоса для стороннего наблюдателя.

Разработанные в настоящее время приложения для веб-сервера относятся к защите сервера от SQL-инъекций. Это наиболее популярный вид уязвимостей, а поэтому и наиболее оправданный с точки зрения защиты от исследования.

Информация об используемой технологии защиты являлась открытой. ORM-модуль не обеспечил должной защиты от исследования, поскольку менял наименования сущностей базы данных только в определенные интервалы времени, в течение которых структура оставалась неизменной. Кроме того, он оказался неэффективен для исследования, где вместо наименований сущностей использовался их порядок в базе данных. Структура данных с использованием ORM-модуля была раскрыта в 2 случаях из 10. Структура базы данных с использованием модуля Reflexion Web не была получена ни в одном эксперименте. [42]в

В целом тестирование данных систем и анализ их работы дали положительные результаты. При использовании трех и более параметров в «концепции уникальности» злоумышленник тратил достаточно много времени на попытку рекогносцировки в системе и в конечном счете отказывался от дальнейшего исследования. При этом полученные сигнатуры поведения злоумышленника позволяли с 80%-ной точностью идентифицировать его при попытке атак на другие веб-серверы.

2.2. Методика организации защиты информации

На основе того что обработка, хранение и передача информации на портативных устройствах имеет отличительные особенности, в работе проанализирован ряд методов в разных областях информационной безопасности – от оценки рисков до планирования организационных мер. Предложены и собраны в виде развернутой методики адаптированные алгоритмы расчета коэффициентов оценки безопасности на основе существующих математических методов исследования.

Все чаще компании внедряют в свои корпоративные сети для работы с информацией мобильные устройства. По данным исследования Gartner, проведенного в конце октября 2012 года, уже в 2017 году более двух третей предприятий во всем мире перейдут на мобильные устройства в работе с корпоративными системами управления.

Аналитики уверены, что более 65% предприятий будут использовать разнообразные решения для мобильных устройств, в частности для планшетов и смартфонов, в работе с корпоративными системами. Gartner прогнозирует, что к 2017 году 90% предприятий будут поддерживать две и более мобильные операционные системы для работы своих сотрудников. Одной из основных причин роста этого направления стало бурное развитие рынка планшетных компьютеров. Если раньше пользователи планшетов ограничивались установкой корпоративной почты, то теперь все больше людей хотят внедрить на свои девайсы мобильные приложения корпоративных систем для работы в любом месте.[43]

Необходимость защищать информацию на мобильных устройствах, особенно при их корпоративном применении, осознают не только специалисты по информационной безопасности, но и люди, не имеющие прямого отношения к этой отрасли. В то же время риски, связанные с внедрением публичных сервисов, очевидны сегодня далеко не всем, хотя они не менее высоки.

В России острую необходимость в использовании мобильных гаджетов в работе испытывают не все организации, а доверяют этому направлению с точки зрения безопасности еще меньше. Поэтому требуется взвешивать все за и против таких нововведений. Использование информации, таким образом, должно быть хорошо мотивировано, так как имеет свои риски безопасности и требует значительных затрат на организацию защиты. В данной работе предлагаются алгоритмы оценки, анализа и выбора в виде методики, на основе представленной методики разработан программный комплекс.

На первом этапе предложенной методики собираются исходные данные, где заказчик формирует требования к типам устройств, предпочитаемой концепции (BYOD, CYOD, COPE) и функционалу, желательно чтобы он проанализировал экономическую эффективность, рассчитал окупаемость и прибыль от введения данного сектора корпоративной мобильности и выразил это в процентах, где условно 0% - «нововведение ничего не изменит в бизнесе», а 100% - «очень необходимое нововведение, приведет к процветанию компании». [44]

Этот показатель назовем эффективностью использования (коэффициентом эффективности использования). Специалист в области информационной безопасности должен проанализировать полученные данные и произвести собственную оценку. Основным критерием оценки будет являться безопасность применения. Она основывается прежде всего на типе обрабатываемой на устройстве информации: персональные данные (ПДн), коммерческая, служебная или иная тайна. Для них определена некоторая совокупность требований защиты, например для ПДн требования определяются исходя из уровня защищенности согласно Приказу ФСТЭК №21. В случае с другими видами тайн, требования к их защите могут быть сформированы в нормативных документах организации, либо отождествлены с ПДн.

Одним из вариантов расчета критерия безопасности может послужить расчет отношения требований безопасности, которые могут быть реализованы на устройстве локально к требованиям необходимым для данной категории информации согласно нормативным документам.

В общую оценку по желанию можно включить дополнительные критерии, особенно когда в расчет не берется коэффициент эффективности

Функциональность определяет возможность выполнения бизнес-задач, удобство – повышение производительности и скорости реагирования. Расстановка значений данных критериев проводится экспертным методом специалиста безопасности.

Причем величину µ определяет исследователь или лицо, принимающее решение. Затем данный показатель умножается на эффективность использования. Допустимым значением является 0,5 и выше. Общий результат позволит оценить целесообразность в отношении выгода/потеря и по возможности изменить исходные данные. При использовании разных типов устройств подход к обеспечению безопасности должен быть комплексным. [45]

На основе типа устройств, требуемого функционала и обрабатываемой информации формируется модель угроз и производится оценка риска. При оценке рисков используют тот или иной математический аппарат: теорию вероятностей, теорию нечеткостей, интервальную математику. Наиболее распространенным является подход на основе теории вероятностей, он в дальнейшем и будет применяться. В данном подходе используют вероятностную модель явления, описываемую случайным ущербом, коэффициентом безопасности и вероятностью события. В вероятностной модели оценка возможности наступления нежелательного события (P) сводится к вычислению вероятности и является безразмерной величиной от 0 до 1. Случайный ущерб описывается функцией распределения с бесконечно большим числом параметров (причин).

Случайный ущерб описывается функцией распределения с бесконечно большим числом параметров (причин). Параметрами функции могут быть характерные уязвимости с их вероятностью реализации или критичностью. Параметры взаимодействуют друг с другом аддитивно, т.е. вызванные ими эффекты складываются, тогда вероятности (веса) параметров согласно Центральной предельной теореме теории вероятностей подчиняются нормальному Гауссовому распределению.

Число параметров обычно пытаются сводить к небольшому числу, лучше всего к одному. С этой целью применяется вычисление математического ожидания (М). Одним из вариантов оценки может стать составление матрицы покрытий угроз и выполняемого на мобильных устройствах функционала. Одному виду функции может быть присуще несколько типов угроз, так как реализация функций может затрагивать несколько технологий. [46]

Пусть определено множество необходимых функций мобильного устройства и множество угроз, соответствующих данному типу устройств , таких, что каждый ассоциирован с подмножеством, где M - математическое ожидание;

КБ – коэффициент безопасности;

ni – число устройств приходящихся на функцию;

N – общее число устройств;

P – возможность наступления нежелательного события.

Коэффициент ni/N используется для нормирования значения риска по числу устройств.

В последней строке рассчитывается средний показатель по столбцу. Этот показатель оценивает дальнейшее отношение к угрозе, насколько она актуальна и сколько устройств ей подвержены – kj коэффициент значимости. Чем он выше, тем больше внимания нужно сосредоточить на этом и тщательнее выбирать средство/требование/функцию защиты; при минимальном показателе можно применять какие-либо универсальные средства, основной задачей которых является предотвращение другой угрозы.

Целью этой операции является распределение средств на защиту при ограниченности ресурсов, как финансовых, так и ресурсов производительности, и акцентирование внимания на критичном элементе. При использовании данной методики можно достаточно быстро определить, от какой функции стоит отказаться вследствие нецелесообразности ее использования. [47]

Основные риски связаны с тем, что корпоративные данные хранятся и обрабатываются на устройствах, изначально не приспособленных для защиты со стороны корпоративных ИТ-служб. В случае утери или кражи устройства данные могут стать доступными злоумышленникам, а утерянный смартфон или планшет может открыть доступ к корпоративным приложениям или позволить подключиться к внутренней сети предприятия. Поэтому очень важно вовремя узнать о пропаже устройства, заблокировать его, очистить данные и проверить, не были ли скомпрометированы учетные записи халатного сотрудника .

Функции защиты можно условно разделить на базовые, обязательные и второстепенные. Базовые - это те функции, которые должны присутствовать в любом случае, чаще всего они необходимы для должного взаимодействия системы и устройства. Такие функции нужны независимо от набора угроз, выявленных ранее. К обязательным относятся функции, которые покрывают весь список угроз и выявленных уязвимостей, а также те функции, которые необходимо учесть согласно Приказу ФСТЭК при обработке ПДн.

Второстепенные функции - это функции, не являющиеся обязательными, однако они могут использоваться по нескольким причинам: повышение производительности, оптимизация и удобство управления, использование данной функции в дальнейшем, тестирование возможностей. Функции защиты реализуются различными системами и технологиями. В общем виде можно представить безопасность мобильных устройств на основе формулы:

MS = EMM + К + App + OS + VPN + PS, (5)

где MS – безопасность мобильных устройств;

EMM – Enterprise Mobile Management: MDM, MAM, MIM;

К – концепция использования МУ;

App – набор клиентских приложений;

OS – методы и средства защиты ОС;

VPN – средства защиты сети

PS – средства защиты ИС, связанные с обработкой информации на мобильных устройствах (DLP-системы, разграничение доступа и т.д.).

Для защиты данных на устройствах, таких как планшетный компьютер, смартфон, мобильный телефон, могут применяться одни решения EMM только в случае перекрытия всех угроз, но обычно они дополняются специализированным программным обеспечением, таким, как средства антивирусной защиты. Некоторые из них могут предложить и систему защиты для ноутбуков, но на практике оказывается, что это достаточно ограниченная система, реализующая только часть требований. Самыми яркими представителями на рынке являются AirWatch, MobileIron, IBM, Citrix.[48]

Российские разработчики также включились в процесс реализации подобных решений. Наиболее известные готовые продукты: Kaspersky Security for Mobile от «Лаборатории Касперского» и WorksPad Protected - совместное решение для создания защищенных корпоративных мобильных рабочих мест, созданное альянсом ИнфоТеКС, «МобилитиЛаб» (ГК АйТи) и НИИ СОКБ.

В отношении ноутбуков и нетбуков подход к защите реализуется подобно защите ПК с отличительной особенностью удаленного доступа и в случае концепции BYOD хранения личных данных на устройстве. То есть здесь рассматривается каждая конкретная подсистема защиты, и выбирается наиболее подходящее решение. Выбор конкретного решения завит от финансовых ограничений предприятия и предпочтений по функционалу у специалиста, а также может быть реализован выбор подходящей системы с помощью существующих методик подбора компонентов. [49]

После выбора системы защиты формируются рекомендации по эксплуатации и организационные меры. При информировании и обучении сотрудников стоит особое внимание уделить ответственности за нарушение требований. Помимо ценности информации, определяющим условием будет концепция применения МУ принятая на предприятии. Для концепции BYOD –выдвигаются самые высокие требования, для CYOD – минимальные.

Условно степень ответственности (X) можно представить в виде:

Xj = [Концепция МУ; ценность информации]

Для возможности совершенствования системы на основе исходных требований и возможных реализаций строится «идеальная» модель системы, в которой произведен поиск оптимального набора данных для повышения значения критерия эффективности (на первом этапе) и выбора наиболее подходящего технического решения без учета финансовых ограничений.

Вывод к 2 главе

Проблема защиты от исследования систем. Получение новой информации – это исследование системы, при котором мы интерпретируем информацию в соответствии с гипотезами относительно ее структуры. То есть даже в исследовании некая информация всегда априорно предшествует действиям, иначе мы не сможем интерпретировать получаемую от системы обратную связь.

На этом основывается принцип защиты от исследования систем: чтобы сохранить функциональную структуру системы от несанкционированных воздействий, надо ее разнообразить до такой степени, чтобы для непосвященного исследователя она представляла хаос, относительно структуры которого трудно сформулировать однозначную гипотезу.

Заключение

Вместе с тем развитие информационного общества, помимо расширения созидательных возможностей, приводит и к росту угроз национальной и международной безопасности, связанных с нарушением установленных режимов использования информационных и коммуникационных систем, ущемлением конституционных прав и свобод граждан, распространением вредоносных программ, а также с использованием возможностей современных информационных технологий для осуществления враждебных, террористических и других преступных действий.

В связи с этим особую остроту сегодня приобретает проблема обеспечения информационной безопасности, и прежде всего надежной защиты информации (предупреждения ее искажения или уничтожения, несанкционированной модификации, злоумышленного получения и использования). Рассматриваемая проблема находится в центре внимания специалистов уже более 40 лет.

Количество публикаций по различным аспектам обеспечения информационной безопасности и защиты информации исчисляется к настоящему времени несколькими тысячами, издаются специальные журналы, регулярно проводятся научные и практические конференции.

Информационная безопасность системы – это ее качество, характеризующее, с одной стороны, способность противостоять дестабилизирующему воздействию внешних и внутренних информационных угроз, а с другой – уровень угроз, которые создает ее функционирование для элементов самой системы и внешней среды.

Такое определение информационной безопасности отличается от распространенного определения, трактующего безопасность как состояние защищенности. Использование термина «состояние защищенности», на наш взгляд, не учитывает происходящих в последнее время изменений в подходах к созданию новых информационных технологий. При этом безопасность рассматривается не как некоторая надстройка, а как изначальный базис технологии, т. е. ее непременное качество.

Литература

  1. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.
  2. Астахова, Л.В. Развитие управленческой компетенции специалиста по защите информации в вузе // Современные проблемы науки и образования. – 2012. – № 6.
  3. Жгун А. А. Исследование ложной синхронизации приёма и передачи информации в модели скрытой передачи информации // Вестник Новгородского гос. ун-та им. Ярослава Мудрого. − 2010. − Вып. 60. − С. 33-35.
  4. Жгун А. А., Жгун Т. В., Осадчий А. Н. Исследование синхронизации приёма и передачи информации в стенографической системе // Научно-технические ведомости СПбГПУ. − Сер. «Информатика. Телекоммуникации. Управление». − 2010. − № 2. − С. 7-11.
  5. Жгун А. А., Кирьянов Б. Ф. Оценка вероятности синхронизации в модели скрытой передачи информации // Вестник Казанского гос. технич. ун-та им. А. Н. Туполева. − 2009. − Вып. 4. − С. 78 -81.
  6. Запенчинков С.В., Милославская Н.Г., Толстой А.И. Основы построения виртуальных частных сетей: учеб. пособие для вузов. М.: Горячая линия – Телеком, 2003. 249 с.
  7. Кирьянов Б. Ф. Математическое моделирование в среде Delphi: Монография. – M.: РАЕ, 2012. –150 с.
  8. Кирьянов Б. Ф. Микро-ЭВМ как средства имитации и обработки случайных процессов в радиоэлектронных системах: Монография. − Новгородский политехнич. ин-т. Деп. в ВИНИТИ 10.11.86, № 7646-В86. – 213 с.
  9. Кирьянов Б. Ф. Основы теории стохастических вычислительных машин и устройств: Монография.− Казанский авиац. Ин-т. Деп. в ЦНИИТЭИ приборостроения 21.05.76, № 524. – 168 с.
  10. Кирьянов Б. Ф., Кирьянов Д. В. Математическая модель системы обмена конфиденциальной информацией по каналам связи // Обозрение ППМ. – Т. 128. – Вып. 5. – 2011.
  11. Кирьянов Б. Ф., Кирьянов Д. В. Модель системы связи с высоконадёжной защитой информации в каналах её передачи // Информационные технологии и их приложения. – Казань: КГТУ им А. Н. Туполева, 2011. – С. 207 – 211.
  12. Кирьянов Б. Ф., Кирьянов Д. В. Модель системы связи с высоконадёжной защитой информации в каналах её передачи // Вестник Новгородского гос. ун-та им. Ярослава Мудрого. – 2011. – Вып. 65. – С. 73 – 75.
  13. Кирьянов Б. Ф., Кирьянов Д. В. Простой способ генерирования локальных баз данных и технология обращения к ним // Вестник Новгородского госуд. ун-та им. Ярослава Мудро- го. Сер. Технич. науки. – 2010. – Вып. 60. – С. 41 – 42.
  14. Коноплев, С.П. Инновационный менеджмент: учеб. пособие. М.: ТК Велби, Изд-во Проспект, 2008. - 128с.
  15. Пугач О.В. Математические методы оценки рисков // Заводская лаборатория. Диагностика материалов. 2013, № 79. С. 64-69.
  16. Стивен Браун. Виртуальные частные сети. М.: Изд-во: «Лори», McGraw-Hill Companies, 2001. 503 с.
  17. Информационная безопасность и защита информации Мельников В. П. и др. / Под ред. Клейменова С. А.– М.: ИЦ «Академия», 2008.– 336 с.
  18. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. Щербаков А. Ю. – М.: Книжный мир, 2009.– 352 с.
  19. Стандарты информационной безопасности Галатенко В. А.– М.: Интернет-университет информационных технологий, 2006. – 264 с

  1. Пугач О.В. Математические методы оценки рисков // Заводская лаборатория. Диагностика материалов. 2013, № 79. С. 64-69.

  2. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  3. Кирьянов Б. Ф., Кирьянов Д. В. Модель системы связи с высоконадёжной защитой информации в каналах её передачи // Вестник Новгородского гос. ун-та им. Ярослава Мудрого. – 2011. – Вып. 65. – С. 73 – 75.

  4. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  5. Кирьянов Б. Ф., Кирьянов Д. В. Модель системы связи с высоконадёжной защитой информации в каналах её передачи // Вестник Новгородского гос. ун-та им. Ярослава Мудрого. – 2011. – Вып. 65. – С. 73 – 75.

  6. Кирьянов Б. Ф., Кирьянов Д. В. Модель системы связи с высоконадёжной защитой информации в каналах её передачи // Вестник Новгородского гос. ун-та им. Ярослава Мудрого. – 2011. – Вып. 65. – С. 73 – 75.

  7. Кирьянов Б. Ф., Кирьянов Д. В. Модель системы связи с высоконадёжной защитой информации в каналах её передачи // Вестник Новгородского гос. ун-та им. Ярослава Мудрого. – 2011. – Вып. 65. – С. 73 – 75.

  8. Кирьянов Б. Ф., Кирьянов Д. В. Модель системы связи с высоконадёжной защитой информации в каналах её передачи // Вестник Новгородского гос. ун-та им. Ярослава Мудрого. – 2011. – Вып. 65. – С. 73 – 75.

  9. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  10. Кирьянов Б. Ф., Кирьянов Д. В. Модель системы связи с высоконадёжной защитой информации в каналах её передачи // Вестник Новгородского гос. ун-та им. Ярослава Мудрого. – 2011. – Вып. 65. – С. 73 – 75.

  11. Кирьянов Б. Ф., Кирьянов Д. В. Модель системы связи с высоконадёжной защитой информации в каналах её передачи // Вестник Новгородского гос. ун-та им. Ярослава Мудрого. – 2011. – Вып. 65. – С. 73 – 75.

  12. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  13. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  14. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  15. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  16. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  17. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  18. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  19. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  20. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  21. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  22. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  23. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  24. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  25. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  26. Жгун А. А. Исследование ложной синхронизации приёма и передачи информации в модели скрытой передачи информации // Вестник Новгородского гос. ун-та им. Ярослава Муд рого. − 2010. − Вып. 60. − С. 33-35.

  27. Жгун А. А., Жгун Т. В., Осадчий А. Н. Исследование синхронизации приёма и передачи информации в стенографической системе // Научно-технические ведомости СПбГПУ. − Сер. «Информатика. Телекоммуникации. Управление». − 2010. − № 2. − С. 7-11.

  28. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  29. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  30. Коноплев, С.П. Инновационный менеджмент: учеб. пособие. М.: ТК Велби, Изд-во Проспект, 2008. - 128с.

  31. Кирьянов Б. Ф. Микро-ЭВМ как средства имитации и обработки случайных процессов в радиоэлектронных системах: Монография. − Новгородский политехнич. ин-т. Деп. в ВИНИТИ 10.11.86, № 7646-В86. – 213 с.

  32. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  33. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  34. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  35. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  36. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  37. Запенчинков С.В., Милославская Н.Г., Толстой А.И. Основы построения виртуальных частных сетей: учеб. пособие для вузов. М.: Горячая линия – Телеком, 2003. 249 с.

  38. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  39. Кирьянов Б. Ф., Кирьянов Д. В. Модель системы связи с высоконадёжной защитой информации в каналах её передачи // Информационные технологии и их приложения. – Казань: КГТУ им А. Н. Туполева, 2011. – С. 207 – 211.

  40. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  41. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  42. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  43. Кирьянов Б. Ф. Математическое моделирование в среде Delphi: Монография. – M.: РАЕ, 2012. –150 с.

  44. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  45. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  46. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

  47. Кирьянов Б. Ф., Кирьянов Д. В. Модель системы связи с высоконадёжной защитой информации в каналах её передачи // Вестник Новгородского гос. ун-та им. Ярослава Мудрого. – 2011. – Вып. 65. – С. 73 – 75.

  48. Кирьянов Б. Ф., Кирьянов Д. В. Модель системы связи с высоконадёжной защитой информации в каналах её передачи // Вестник Новгородского гос. ун-та им. Ярослава Мудрого. – 2011. – Вып. 65. – С. 73 – 75.

  49. Астахова, Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации/ Л.В. Астахова//Вестник Южно-Уральского государственного университета. Серия: Компьютерные технологии, управление, радиоэлектроника. -2013. -Т. 13. № 1. -С. 79-83.

СПИСОК ДЛЯ ТРЕНИРОВКИ ССЫЛОК