Заключение

Основным результатом учебного пособия является методика оценки и управления информационными рисками в автоматизированных банковских системах. В частности:

1. Проведен анализ функционирование АПБС в условиях возникающих угроз и воздействий, которые могут привести к нарушению и дестабилизации работы платежной системы, к разрушению ее системы безопасности и хищению денежных средств, сохранность информации АИС и предоставление доступа к ней в строгом соответствии с установленными приоритетами и правилами разграничения доступа. Анализ проблем оценки и управления рисками ИБ в АБС позволил сделать следующие выводы: наибольшее применение для анализа и оценки рисков в настоящее время находят экспертные методы; в отечественной практике отсутствуют методики анализа и оценки рисков, в настоящее время только предпринимаются попытки разработки таких методик; невозможно предложить еди­ную, приемлемую для всех, универсальную мето­дику, соответствующую некоторой концепции управления рисками.

2. Представлена модель нарушителя более общего вида и неформальная модель нарушителя, которая позволяет включить в процесс обработки большее количество информации о харак­тере и особенностях проявления угроз. В качестве та­кой модели рассмотрена четырехкомпонентную модель.

3. Описана методика оценки и управления рисками ИБ в АБС на основе алгоритма Мамдани. Данный алгоритм использу­ется для оценки и ранжирования информационных рисков АБС по нескольким критериям. При его ис­пользовании удается избежать одной из основных проблем задачи принятия решений — определения весовых коэффици­ентов важности критериев. Входными данными для алгоритма являются описание и значения нечетких пере­менных.

4. Изложена методика выбора рациональных затрат на управление информационными рисками в АБС. Введено понятие априорных (предварительных) затрат на уменьшение вероятности и последствий угроз и апостериорных (фактических) затрат при реализации угрозы. Учитывается разновременность указанных за­трат путем их приведения к одному моменту. Для частного случая, когда априорные затраты на уменьшение веро­ятности обратно пропорциональны вероятности, а априорные затраты на уменьшение последствий обратно пропорциональны последствиям (в нату­ральных единицах), удалось получить простые аналитические выражения для оптимальных значений вероятности и последствий и минимальное зна­чение затрат при этом. Интересным оказался результат — все три соста­вляющих полных затрат равны между собой. В общем случае при нескольких типах последствий от одного угрозы и при учете нескольких угроз приведены виды целевых функций от многих пере­менных, для поиска минимальных значений которых необходимо решение с помощью вычислительных машин.

5. Проанализированы основные особенности и проблемы защиты информации в банковских системах.

Список используемых информационных источников

1. Абалмазов Э.И. Методы и инженерно- технические средства противодействия информационным угрозам.- М.: Гротек, 1997.

2. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.Руководящий документ Гостехкомиссии России, М.: ГТК РФ, 1992. 39с.

3. Агапов А.Б. Основы федерального информационного права России.- М.: Экономика, 1995.

4. Агеев А.С. Компьютерные вирусы и безопасность информации// Зарубежная радиоэлектроника.1989. N 12.

5. Аграновский А.В., Костечко Н.Н. Конфиденциальный доступ и защита информации в информационно- вычислительных сетях.- М.: Радио и связь, 2004.

6. Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления // Руководство по борьбе с компьютерными преступлениями: Пер. с англ.- М.: Мир, 1999.

7. Алексеенко В.Н. Радиомониторинг в системе обеспечения безопасности коммерческих объектов. – М.: Росси Секьюрити. 1997.

8. Алексенцев А.И. О классификации конфиденциальной информации по видам тайны // Безопасность информационных технологий. 1999. № 3.

9. Алферов А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы криптографии: Учебн. Пособие. 3-е изд., испр. и доп.- М.: Гелиос АРВ, 2005.

10. Аманов Ж.К. О некоторых вопросах уголовной ответственности за неправомерный доступ к компьютерной информации // Свобода слова и информационная безопасность государства, общества, личности: Сб. матер. межд. конф. 1 – 2 марта 2001 г. – Алматы: Интернет трейнинг центр, 2001.

11. Анин Б. Защита компьютерной информации. – СПб.: BHV- 2000-с 65.

12.Анин Б.Ю. Защита компьютерной информации .- СПб: БХВ- Петербург, 2000- с. 45.

13. Аносов В.Д., Стрельцов А.А., Ухлинов Л.М. Международные, федеральные и региональные аспекты информационной безопасности Российской Федерации // Информационное общество. 1997. № 1.

14Асаи К. Прикладные нечеткие системы./ Под ред. Тэтано Т., Асаи К., Сугэно М. - М.: Мир, 1993. – 354 с.

15. Бабаш А.И., Шанкин Г.П. История криптографии. – М.: Гелиос АРВ,2002.

16. Банковское дело : Справ. пособие/ М.Ю. Бабичев, Ю.А. Бабичева, О.В.Трохова, и др.; Под ред. Ю.А. Бабичевой. М.: Экономика, 1993. 397 с.

17. Барсуков В.С. Обеспечение информационной безопасности. – М.: Эко-Тренз, 1996.

18. Батурин Ю.М., Жодзишский А.М. Компьютерная преступность и компьютерная безопасность. М.:Юридическая литература, 1991. 160 с.

19. Безопсность электронного бизнеса / В.А. Пярин А.С. Кузьмин, С.Н. Смирнов; Под ред. действ. Члена РАЕН, д.т.н., профессора В.А. Минаева. – М.: Гелиос АРВ, 2002.

20. Безопасность информационных технологий. Выпуск 1.М.:Госкомитет РФ по высшему образованию, МИФИ. 1994. 100 с.

21. Безруков Н.Н. Компьютерная вирусология. – Киев: УРЕ, 1991.

22. Белоусов И.В. Информационная безопасность телеккомуникационных сетей: проблемы и пути их решения // Безопасность информационных технологий, 1999.

23. Бизнес – Безопасность – Телеккомуникации: Терминологический словарь. 2-ое изд., дополненное / Е.Г.Новикова, А.В. Петраков , С.В. Рабовский , Г.А. Урьев.-М.: Норма , 2004.

24. Бияшев О.Г., Диев С.И., Размахнин М.К. Основные направления развития и совершенствования криптографического закрытия информации//Зарубежная радиоэлектроника. 1989. N 12.

25. Блачарски Д. Защита чужими руками // LAN/ Журнал сетевых решений. 2000. №3.

26. Богирев В.Г., Гончаров В.В., Серов Р.Е. Основы современной криптографии. – М.: Горячая линия – Телеком ,2001.

27. Браун Д., Гундерсон Л., Эванс М. Интерактивный анализ компьютерных преступлений // Открытые системы. 2000.№ 11. с. 40-49.

28. Бровкова М.Б., Байбурин В.Б. Введение в защиту информации. Учебн. Пособие.- М.: Инфра- М, Форум, 2004.

29. Бронштейн И. Н. Справочник по математике / Бронштейн И. Н., Семендяев К. А. – М.: Прогресс, 1957. – 361 с.

30.Будзко В. И. Количественные оценки отказоустойчи­вых и катастрофоустойчивых решений // Вопросы защиты информации. - 2003. - №2. - C. 19-32.

31. Буянов В.П., Уфимцев Ю.С. Методика информационной безопасности. – М.: Экзамен, 2004.

32. Вехов М. Компьютерные преступления: способы совершения, методики расследования.- М.: Право и закон, 1996.

33. Викторов А.Ф. Информационная война в современных условиях // Информационное общество. 1997.№1. с. 58-59.

34.Вихорев С. В. Классификация угроз информационной безопасности. – М.: ДМК Пресс, 2001. – 316 с.

35. Володин А.В., Устинов Г.Н., Цибин В.В. Сети передачи данных – модель угроз информационной безопасности // Вестник связи. 1999. №4. С. 52-57.

36.Вороненко П. Современные методы защиты информации. - М.: Бан­ковский деловой мир, 1998. - 760 с.

37.Воронцова Л. В. , Фролов Д.Б. История и современность информационного противоборства. – М.: Горячая линия – Телеком, 2006.

38.Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники. Руководящий документ Гостехкомиссии России,- М.: ГТК РФ, 1992. 29с.

39.Гайкович В. Безопасность электронных банковских систем / Гайкович В., Першин А. – М.: Единая Европа, 1993. – 364 с.

40.Гайкович В.Ю., Першин А.Ю. Безопасность электронных банковских систем. М.:Единая Европа, 1994. 369 с.

41. Г.Дж. Симмонс. Защита информации. ТИИЭР, т.76 N5, май 1988г.

42. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2-х кн.М:Энергоатомиздат, 1994.400 с. и 176 с.

43. Герасименко В.А. Проблемы защиты данных в системах их обработки// Зарубежная радиоэлектроника. 1989. N 12.

44. Герасименко В.А., Размахнин М.К., Родионов В.В. Технические средства защиты информации//Зарубежная радиоэлектроника. 1989. N 12.

45. Голубев В.В., Дубров П.А., Павлов Г.А. Компьютерные преступления и защита информации в вычислительных системах //Вычислительная техника и ее применение. М.:Знание, 1990, N 9, С.3-26.

46. ГОСТ Р 50922-96. Защита информации. Основные термины и определения. Госстандарт России.

47. Давыдовский А.И., Максимов В.А. Введение в защиту информации// Интеркомпьютер.1990. N 1. С.17-20.

48. Дейтел Г. Введение в операционные системы: В 2-х т. Т.2. Пер. с англ. М.: Мир, 1987. 398 с.

49.Демидов Н.Н., Чохонелидзе А.Н., Неффа В.М. Персо­нификация и профилирование пользователей ресурсов Интер­нета на основе экспертного оценивания // КомпыоЛог. - 2002. №1.- С. 7-12.

50. Дружинин Г.В.,Сергеева И.В. Качество информации.М.:Радио и связь, 1990. 172 с.

51. Запечников С.В.,Милославская Н.Г., Толстой А.И.Основы построения виртуальных частных сетей. Учебное пособие для вузов. – М.: Горячая линия – Телеком, 2003.

52. Защита информации в персональных ЭВМ/Спесивцев А.В., Вегнер В.А., Крутяков А.Ю. и др. М.:Радио и связь, МП "Веста", 1992. 192 с.

53. Информация о преступлениях в сфере высоких технологий. – М.: ГИЦ МВД РФ, 2003.

54. Исаев А.А. Применение специальных познаний для квалификации преступлений. – Алматы: Мектеп, 1997.

55. Карасик И. Программные и аппаратные средства защиты информации для персональных компьютеров//Компьютер-пресс.1992. N 3. С.37-46.

56. Карпинский О. Защита информации, виртуальные частные сети (VPN). Технология ViPNet / По материалам компании Infotecs // Gazeta.Ru.- 2001.- 18с.

57. Карпинский О. Защита информации, виртуальные частные сети (VPN). Технология ViPNet / По материалам компании Infotecs // Gazeta.Ru.- 2001.- 18с.

58. Катаев С.Л. Социальные аспекты компьютерной преступности // Центр иссл. пробл. комп. преступн. – Киев, 2002 .

59. Кляйн Д. Как защититься от "взломщика". Обзор методов парольной защиты и набор рекомендаций по ее улучшению //Программирование, 1991, N 3, С.59-63.

60. Козлов В.Е. Теория и практика с компьютерной преступностью. – М.: Горячая линия – Телеком, 2002.

61. Комментарий к уголовному кодексу Российской Федерации / Под общ. ред. д.юр.н., Председателя Верховного Суда РФ В.М. Лебедева. изд., дополненное / Норма , 2004.

62. Конституция Российской Федерации от 12 декабря 1993 г.// Российская газета: офиц. изд. 1993. № 23 ФМ.

63. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Руководящий документ Гостехкомиссии России, М.:ГТК РФ, 1992. 9 с.

64. Концепция создания системы платежей крупных сумм. Рабочие материалы //Департамент информатизации ЦБ РФ, 1994.

65. Крылов В.В. Информация как элемент криминальной деятельности // Вестник Моск. ун-та. Сер. 11. Право. - М., 1998.-№4.-С.50-64.

66.Кудрявцев Б. Н. Генезис преступлений. - М.: Инфра-М, 1998. - 214с.

67.Леоненков А. В. Нечеткое моделирование в среде MATLAB и fuzzyTECH. - СПб.: БХВ - Петербург, 2003. - 736 с.

68. Малюк А.А. Информационная безопасность: Концептуальные и методологические основы защиты информации. Учебное пособие для вузов. – М.: Горячая линия – Телеком, 2004.

69.Мельников Ю. Общие принципы защиты банковской информации// Банковские технологии. Конфидент. 1995. - №7. - C. 21– 26.

70. Моисеенков И.Э. Американская классификация и принципы оценивания безопасности компьютерных систем//Компьютер-пресс. 1992. N2,N 3. С.47-54.

71. Моисеенков И.Э. Основы безопасности компьютерных систем//Компьютерпресс.-1991. N10. С.19-24, N11. С.7-21, N12.

72.Невский А. Г. Практика управления информационной безопасностью. – М.: Наука, 2000. – 284 с.

73.Никонова Е. Банковские технологии в Интернете// Банковские технологии. Конфидент. 1997. - № 3. - C. 41-44.

74. Оспанов Е.Т. Орудие преступления – компьютер // Бюллетень ГСУ и ЭКУ МВД РК. – Алма-Ата: МВД РК, 1995.- №1-2(1-5).-С.35-41.

75.Остапенко А. Г., Кащенко А. Г., Кащенко Г. А., Оптимальный выбор варианта системы защиты информации по критерию стоимость/эффективность при заданном уровне остаточного интегрального уровня // V международная научно – техническая конференция кибернетика и технологии XXI века. Воронеж 2004. – C. 86-92.

76. Остапенко Г.А. Информационные операции и атаки в социотехнических системах. Учебное пособие Учебное пособие для вузов. – М.: Горячая линия – Телеком, 2007.

77.Петренко С. А. Аудит безопасности Intranet / Петренко С. А., Петренко А. А. – М.: ДМК Пресс, 2002. – 416 с.

78.Петренко С. Л. Анализ и управление информационными рисками / Петренко С. Л., Симонов С. В. – М.: Синтег, 2003. – 371 с.

79.Попова В.В., Вехов В.Б., Илюшин Д.А. Тактические особенности расследования преступлений в сфере компьютерной информации: Научн.- практ. пособие. Изд. 2-е, доп. и испр. – М.: ЛексЭст, 2004. с. 34-78.

80. Постановление Правительства Российской Федерации “ О сертификации средств защиты информации ” № 870 от 26 июня 1995 г.

81.Проблемы квалификации хищения денежных средств со счетов банка с использованием средств компьютерной техники. Журнал “Российский судья”- июнь 2006г.

82.Родин Г. Некоторые соображения о защите программ//Компьютер-пресс.1991. N 10.- С.15-18.

83.Румянцев А.А. Экономическая эффективность научных исследований (методология измерения). - М.: Экономика, 1974. - 167 с.

84.Саати Т. Математические модели конфликтных ситуаций. - М.: Сов. радио, 1977. – 351 c.

85.Саати Т. Принятие решений. Метод анализа иерархий. – М.: Радио и связь, 1993. – 294 с.

86.Саати Т., Кернс К. Аналитическое планирование. Организация систем. - М.: Радио и связь, 1991. – 319 с.

87.Севрук В. Т. Банковские риски. - М.: Дело ЛТД, 1996. - 72 с.

88.Симонов С. Анализ рисков, управление рисками // Jet Info. 1999. - №1. - C. 3-18.

89.Симонов С. В. Анализ рисков, управление рисками // Jet Info. - 2003. - № 2. C. 19-27.

90.Симонов С. В. Анализ рисков в информационных систе­мах. Практические аспекты // Конфидент № 2. – 2001. – №3. – C. 28-35.

91.Симонов С. В. Анализ рисков, управление рисками // JetInfo. 1999. - № 1. – C. 21-27.

92.Симонов С. В. Анализ рисков, управление рисками // Jet Info. - 1999. - № 2. – C. 32-37.

93.Симонов С. В. Методология анализа рисков в информационных системах // Конфидент. 2001. - № 1. – C. 59-65.

94.Симонов С. В. Обзор примеров взлома банковских структур // Jet Info. 2000. - № 1. – C 15-19.

95.Словарь основных понятий и определений. Геополитика и национальная безопасность / М.И. Абрахманов и др.- М., 1998.

96.Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ от НСД к информации. Руководящий документ Гостехкомиссии России, М.:ГТК РФ, 1992. 25с.

97.Термины и определения в области защиты от НСД к информации. Руководящий документ Гостехкомиссии России, М.:ГТК РФ, 1992. 13с.

98.Уголовный кодекс Российской Федерации от 13 июня 1996 г. // Собрание законодательства РФ офиц. изд. 1996 № 25.

99.Удалов В.И., Спринцис Я.П. Безопасность в среде взаимодействия открытых систем//Автоматика и вычислительная техника.1990.N3, С.3-11.

100.Халяпин Д.Б. , Ярочкин В.И. Основы защиты промышленной и коммерческой информации. Термины и определения. Словарь ИПКИР.- М., 1994.

101.Хофман Л.Дж. Современные методы защиты информации: Пер. с англ.М.:Сов.радио, 1980, 264 с.

102.Ярочкин В.И., Шевцова Г.А. Словарь терминов и определений по безопасности и защите информации. – М.: Ось-89, 1996.

103.ISO/IEC 17799 Information technology - Code of practice for information security

management.

104.http://www.mitre.org/resources/centers,/sepq/Tisk/sys_cng_niitre.html.

105.http://www.iiiitre.oig/iesqurces/centcrs/scpo/risk/risk_matnx.html.

106.http://www.riskwatch.com.

107.http://www.computer-security-policies.com.

108.http://www.citforum.ru/security/articles/risk.

Учебное издание

Пархоменко Андрей Петрович

Мешкова Алла Федоровна

Менжулин Роман Вальерьевич

ОСНОВНЫЕ ПРОБЛЕМЫ И ОСОБЕННОСТИ ЗАЩИТЫ ИНФОРМАЦИИ В БАНКОВСКИХ СИСТЕМАХ: МОДЕЛИ НАРУШИТЕЛЕЙ

В авторской редакции

Подписано к изданию 12.12.2008.

Уч.-изд.л. 10,1.

ГОУВПО «Воронежский государственный технический

университет»