Метод обоснования мероприятий информационной безопасности социально-важных объектов
Ключевые слова:
метод, модели, информационная безопасность, обоснование мероприятийАннотация
Рассматривается задача обоснования целесообразных мероприятий информационной безопасности социально важных объектов. Для ее решения предлагается усовершенствованный метод, ориентированный на более гибкий учет особенностей текущих ситуаций. Предложен ряд новых марковских моделей защищаемых процессов и возможных угроз применительно к структурам Пенсионного фонда. Приведены результаты моделирования.
Литература
1. Юсупов Р.М. Наука и национальная безопасность. 2-е издание, переработанное и дополненное // СПб.: Наука. 2011. 369 с.
2. Петренко С.А., Попов Ю.И. Оценка затрат на информационную безопасность // Конфидент. 2003. №1(49). С. 68–73.
3. Обухов А.А. Диагностика необходимости инвестирования в безопасность в современном предпринимательстве и формирование на ее основе рекомендаций // Вестник Омского университета. Серия «Экономика». 2013. №3. С. 78–84.
4. Рытов М.Ю., Рудановский М.В. Управление безопасностью информационных технологий на основе методов когнитивного моделирования // Информационная безопасность. 2010. №4. С. 579–582.
5. Ажмухамедов И.М., Ханжина Т.Б. Оценка экономической эффективности мер по обеспечению информационной безопасности // Вестник АГТУ. 2011. № 1 С. 185–190.
6. Бирюков Д.Н., Ломако А.Г. Подход к построению системы предотвращения киберугроз // Проблемы информационной безопасности. Компьютерные системы. 2013. №2. С. 13–19.
7. Крамаров Л.С., Бабенко Л.К. Обнаружение сетевых атак и выбор контрмер в облачных системах // Известия ЮФУ. Технические науки. 2013. №12(149). С. 94–101.
8. Абрамов Е.С., Кобилев М.А., Крамаров Л.С., Мордвин Д.В. Использование графа атак для автоматизированного расчета мер противодействия угрозам информационной безопасности сети // Известия ЮФУ. Технические науки. 2014. №2(151). С. 92–100.
9. Троников И.Б. Методы оценки информационной безопасности предприятия на основе процессного подхода:дис. канд. техн. наук // Санкт-Петербург. 2010. 134 c.
10. Ажмухамедов И.М., Ханжина Т.Б. Оценка экономической эффективности мер по обеспечению информационной безопасности // Вестник АГТУ. 2011. №1. С. 185–190.
11. Миронов В. В., Носаль И.А. Моделирование и оценка системы обеспечения информационной безопасности на примере ГОУ ВПО «СыктГУ» // Информация и безопасность. 2011. № 2. С. 209–211.
12. Васильев В.И., Савина И.А., Шарипова И.И. Построение нечетких когнитивных карт для анализа и управления информационными рисками вуза // Вестник УГАТУ. 2008. №2. Т. 10. С. 199–209.
13. Schneier B. Attack Trees // Dr. Dobb’s Journal. 1999. vol. 24. no. 12. pp. 21–29.
14. Sodiya A. S., Onashoga S. A., Oladunjoye B. A. Threat Modeling Using Fuzzy Logic Paradigm // Issues in Informing Science and Information Technology. 2007. vol. 4. pp. 53–61.
15. Чечулин А.А. Методика оперативного построения, модификации и анализа деревьев атак // Труды СПИИРАН. СПб: Наука. 2013. №3 (26). С.40–55.
16. Карпеев Д.О. Исследование и развитие методического обеспечения оценки и управления рисками информационных систем на основе интересо-ориентированного подхода: дис. канд. техн. наук // Воронеж. 2009. 171 c.
17. Корнилова А.Ю,. Палей Т.Ф. Проблемы применения методов экспертных оценок в процессе экономического прогнозирования развития предприятия // Проблемы современной экономики. 2010. № 3 (35). С.124–128.
18. Ефимов Е.И. Возможность применения существующих средств анализа рисков в системах принятия решений с привлечением экспертов // Омский научный вестник. 2011. № 3-103. С.281–284.
19. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. 2008. № 149/54-144.
20. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». 2013. № 21.
21. Приказ ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». 2013. № 7.
22. Положение Центрального Банка Российской Федерации «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». 2012. № 382-П.
23. Постановление Правительства Российской Федерации «Об утверждении Положения о защите информации в платежной системе». 2012. № 584.
24. Payment Card Industry Data Security Standard (PCI DSS) // PCI Security Standards Council LLC. Version 2.0. 2010. 75 p. URL: https://www.pcisecuritystandards.org/documents.
25. Стандарт Банка России СТО БР ИББС-1.0-2014 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения // М.:Вестник Банка России. 2014. № 48–49. 37 с.
[13:21:14] Alexander Ronzhin: 26. ГОСТ Р ИСО/МЭК 27001—2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования // М.: Стандартинформ. 2008. 26 с.
27. ГОСТ Р ИСО/МЭК 13335-1 – 2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий // М.: Стандартинформ. 2006. 23 с.
28. Осипов В. Ю., Носаль И. А. Обоснование периода пересмотра мероприятий по защите информации // Информационно-управляющие системы. 2014. № 1. С. 63–69.
29. Осипов В.Ю., Носаль И.А. Обоснование мероприятий информационной безопасности // Информационно-управляющие системы. 2013. № 2(63). С. 48–53.
30. Носаль И.А. Обоснование оптимального набора прав доступа // Комплексная защита объектов информатизации и измерительные технологии. Сб. научн. тр. Всероссийской научно-практической конф. с междунар. участ. Санкт-Петербург:Издательство Политехнического университета. 2014. С. 41–45.
2. Петренко С.А., Попов Ю.И. Оценка затрат на информационную безопасность // Конфидент. 2003. №1(49). С. 68–73.
3. Обухов А.А. Диагностика необходимости инвестирования в безопасность в современном предпринимательстве и формирование на ее основе рекомендаций // Вестник Омского университета. Серия «Экономика». 2013. №3. С. 78–84.
4. Рытов М.Ю., Рудановский М.В. Управление безопасностью информационных технологий на основе методов когнитивного моделирования // Информационная безопасность. 2010. №4. С. 579–582.
5. Ажмухамедов И.М., Ханжина Т.Б. Оценка экономической эффективности мер по обеспечению информационной безопасности // Вестник АГТУ. 2011. № 1 С. 185–190.
6. Бирюков Д.Н., Ломако А.Г. Подход к построению системы предотвращения киберугроз // Проблемы информационной безопасности. Компьютерные системы. 2013. №2. С. 13–19.
7. Крамаров Л.С., Бабенко Л.К. Обнаружение сетевых атак и выбор контрмер в облачных системах // Известия ЮФУ. Технические науки. 2013. №12(149). С. 94–101.
8. Абрамов Е.С., Кобилев М.А., Крамаров Л.С., Мордвин Д.В. Использование графа атак для автоматизированного расчета мер противодействия угрозам информационной безопасности сети // Известия ЮФУ. Технические науки. 2014. №2(151). С. 92–100.
9. Троников И.Б. Методы оценки информационной безопасности предприятия на основе процессного подхода:дис. канд. техн. наук // Санкт-Петербург. 2010. 134 c.
10. Ажмухамедов И.М., Ханжина Т.Б. Оценка экономической эффективности мер по обеспечению информационной безопасности // Вестник АГТУ. 2011. №1. С. 185–190.
11. Миронов В. В., Носаль И.А. Моделирование и оценка системы обеспечения информационной безопасности на примере ГОУ ВПО «СыктГУ» // Информация и безопасность. 2011. № 2. С. 209–211.
12. Васильев В.И., Савина И.А., Шарипова И.И. Построение нечетких когнитивных карт для анализа и управления информационными рисками вуза // Вестник УГАТУ. 2008. №2. Т. 10. С. 199–209.
13. Schneier B. Attack Trees // Dr. Dobb’s Journal. 1999. vol. 24. no. 12. pp. 21–29.
14. Sodiya A. S., Onashoga S. A., Oladunjoye B. A. Threat Modeling Using Fuzzy Logic Paradigm // Issues in Informing Science and Information Technology. 2007. vol. 4. pp. 53–61.
15. Чечулин А.А. Методика оперативного построения, модификации и анализа деревьев атак // Труды СПИИРАН. СПб: Наука. 2013. №3 (26). С.40–55.
16. Карпеев Д.О. Исследование и развитие методического обеспечения оценки и управления рисками информационных систем на основе интересо-ориентированного подхода: дис. канд. техн. наук // Воронеж. 2009. 171 c.
17. Корнилова А.Ю,. Палей Т.Ф. Проблемы применения методов экспертных оценок в процессе экономического прогнозирования развития предприятия // Проблемы современной экономики. 2010. № 3 (35). С.124–128.
18. Ефимов Е.И. Возможность применения существующих средств анализа рисков в системах принятия решений с привлечением экспертов // Омский научный вестник. 2011. № 3-103. С.281–284.
19. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. 2008. № 149/54-144.
20. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». 2013. № 21.
21. Приказ ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». 2013. № 7.
22. Положение Центрального Банка Российской Федерации «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». 2012. № 382-П.
23. Постановление Правительства Российской Федерации «Об утверждении Положения о защите информации в платежной системе». 2012. № 584.
24. Payment Card Industry Data Security Standard (PCI DSS) // PCI Security Standards Council LLC. Version 2.0. 2010. 75 p. URL: https://www.pcisecuritystandards.org/documents.
25. Стандарт Банка России СТО БР ИББС-1.0-2014 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения // М.:Вестник Банка России. 2014. № 48–49. 37 с.
[13:21:14] Alexander Ronzhin: 26. ГОСТ Р ИСО/МЭК 27001—2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования // М.: Стандартинформ. 2008. 26 с.
27. ГОСТ Р ИСО/МЭК 13335-1 – 2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий // М.: Стандартинформ. 2006. 23 с.
28. Осипов В. Ю., Носаль И. А. Обоснование периода пересмотра мероприятий по защите информации // Информационно-управляющие системы. 2014. № 1. С. 63–69.
29. Осипов В.Ю., Носаль И.А. Обоснование мероприятий информационной безопасности // Информационно-управляющие системы. 2013. № 2(63). С. 48–53.
30. Носаль И.А. Обоснование оптимального набора прав доступа // Комплексная защита объектов информатизации и измерительные технологии. Сб. научн. тр. Всероссийской научно-практической конф. с междунар. участ. Санкт-Петербург:Издательство Политехнического университета. 2014. С. 41–45.
Опубликован
2015-04-16
Как цитировать
Носаль, И. А. (2015). Метод обоснования мероприятий информационной безопасности социально-важных объектов. Труды СПИИРАН, 2(39), 84-100. https://doi.org/10.15622/sp.39.5
Раздел
Статьи
Авторы, которые публикуются в данном журнале, соглашаются со следующими условиями:
Авторы сохраняют за собой авторские права на работу и передают журналу право первой публикации вместе с работой, одновременно лицензируя ее на условиях Creative Commons Attribution License, которая позволяет другим распространять данную работу с обязательным указанием авторства данной работы и ссылкой на оригинальную публикацию в этом журнале.
Авторы сохраняют право заключать отдельные, дополнительные контрактные соглашения на неэксклюзивное распространение версии работы, опубликованной этим журналом (например, разместить ее в университетском хранилище или опубликовать ее в книге), со ссылкой на оригинальную публикацию в этом журнале.
Авторам разрешается размещать их работу в сети Интернет (например, в университетском хранилище или на их персональном веб-сайте) до и во время процесса рассмотрения ее данным журналом, так как это может привести к продуктивному обсуждению, а также к большему количеству ссылок на данную опубликованную работу (Смотри The Effect of Open Access).
