125 Кібербезпека / 4 Курс / 4.2_Управління інформаційною безпекою / Лiтература / Навчальний посібник. Інформаційна безпека. Кавун С.В
..pdfсистем // Компьютерпресс. – 1991. – №10. – С. 19 – 24; №11. – С. 7 – 21.
104.Одинцов А. Л., К вопросу об управлении инвестиционными рисками / А. Л. Одинцов, С. А. Суровегин // Инвестиции и экономическая безопасность: Доклады на научной конференции 8 февраля 2000 года; [Под ред. Е. А. Олейникова и И. Г. Шилина. – М.: РЭА им. Г. В. Плеханова, 2000. – С. 77 – 81.
105.Олейников Е. А. Экономическая и национальная безопасность: Учебник для вузов. – М.: Экзамен, 2005. – 766 с.
106.Паштова Л. Г. Формирование многоуровневой инвестиционной политики как фактор обеспечения экономической безопасности // Диссертация д.э.н. спец. 08.00.05. – М., 2001. – 48 с.
107.Петраков А. В. Основы практической защиты информации. Учебн. пособие. – 2-е изд. – М.: Радио и связь, 2000. – 368 с.
108.Петренко И. О. Экономическая безопасность России: денежный фактор. – М.: Маркет ДС, 2003. – 240 с.
109.Пярин В. Российская интеллектуальная карта создана и работает // Бюллетень финансовой информации. – 1999. – №12; 2000. – №1.
110.Расторгуев С. П. Искусство защиты и раздевания программ. – М.: Радио и связь, 1991. – 224 с.
111.Родин Г. Некоторые соображения о защите программ // Компьютер-пресс. – 1991. – №10. – С. 15 – 18.
112.Россия и страны Содружества Независимых Государств. 2003 г.
–М.: Федеральная служба гос. статистики, 2003. – 40 с.
113.Румянцева Е. Е. Новая экономическая энциклопедия. – 2-е изд. – М.: ИНФРА-М, 2006. – VI. – 812 с.
114.Сажина М. А. Фирма: управление кризисом: Учеб. пособие
–М.: Деловая литература, 2004. – 192 с.
115.Слепов В. А. Финансовая политика компании: учеб пособие / В. А. Слепов, Е. И. Громова, И. Т. Кери; [Под ред. проф. С. А. Слепова. – М.: Экономист, 2005. – 284 с.
116.Соколов А. В. Защита от компьютерного терроризма. Справочное пособие / А. В. Соколов, О. М. Степанюк. – СПб.: БВХПетербург; Арлит, 2002. – 496 с.
117.Соколов А. В. Защита информации в распределенных корпоративных сетях и системах / А. В. Соколов, В. Ф. Шаньнш. – М.: ДМК Пресс, 2002. – 656 с.
118.Специвцев А. В. Защита информации в персональных ЭВМ
/ А. В. Специвцев, В. А. Вегнер, А. Ю. Крутяков – М.: Радио и связь, 1992. – 192 с.
119.Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ от НСД к информации. Руководящий документ Гостехкомиссии России. – М.: ГТК РФ, 1992. – 28 с.
120.Теория и практика обеспечения информационной безопасности. – М.: Изд. агент. "Яхтсмен", 1996. – 192 с.
121.Термины и определения в области защиты от НСД к информации. Руководящий документ Гостехкомиссии России. – М.: ГТК РФ, 1992. – 16 с.
122.Технические средства защиты информации. Каталог ЗАО "Анна". – М.: Изд. "Анна", 1999. – 112 с.
123.Технические средства защиты информации. Каталог НПЦ фирмы "НЕЛК". – М.: Изд. "НЕЛК", 1999. – 92 с.
124.Торокин А. А. Основы инженерно-технической защиты информации. – М.: Ось-89, 1998. – 336 с.
125.Тэпман Л. Н. Риски в экономике / Под ред. проф. В. А. Швандара. – М.: ЮНИТИ, 2003. – 380 с.
126.Удалов В. И. Безопасность в среде взаимодействия открытых систем / В. И. Удалов, Я. П. Спринцис // Автоматика и вычислительная техника. – 1990. – №3. – С. 3 – 11.
127.Ухлинов Л. М. Управление безопасностью информации в автоматизированных системах. – М.: МИФИ, 1995. – 128 с.
128.Хорев А. А. Способы и средства защиты информации. – М.: МО РФ, 1998. – 316 с.
129.Хорев А. А. Технические средства и способы технического шпионажа. – М.: ЗАТ "Дальснаб", 1997. – 242 с.
130.Хоффман Л. Д. Современные методы защиты информации: Пер. с англ. – М.: Сов. радио, 1980. – 264 с.
131.Цыгичко В. Н. Информационное оружие как геополитический фактор и инструмент силовой политики / В. Н. Цыгичко, Г. Л. Смоляк, Д. С. Черепекин. – М.: ИСА АН РФ, 1997. – 252 с.
132.Шапкин А. С. Экономические и финансовые риски. Оценка, управление, портфель инвестиций. – М.: Дашков и К0, 2005. – 544 с.
133.Шарый Л. Д. Безопасность предпринимательской деятельности: Учебник / Л. Д. Шарый, В. М. Родачин. – 2-е изд., доп. и
перераб. – М., 2005. – 476 с.
134.Экономика предприятия (фирмы): Учеб. пособие / Под ред. А. С. Пелиха. – М.; Ростов-н/Дону: МарТ, 2004. – 504 с.
135.Экономика предприятия (фирмы): Учебник / Под ред. О. И. Волкова, О. В. Девяткина. – 3-е изд., перераб. и доп. – М.: ИНФРА-М, 2004. – 600 с.
136.Ярочкин В. И. Безопасность информационных систем. – М.:
Ось-89, 1997. – 320 с.
137.Ярочкин В. И. Аудит безопасности фирмы: теория и практика: Учебн. пособие для вузов / В. И. Ярочкин, Я. В. Бузанова. – М.: Акад. Проект; Королѐв: Парадигма, 2005. – 352 с.
138.Яскевич В. И. Секьюрити: Организационные основы безопасности фирмы. – М.: Ось-89, 2005. – 368 с.
139.ANSI/X3/SPARC Study Group on Database Management Systems: Interim report, 1975. – P. 92 – 141.
140.CSC-STD-003-85, Computer Security Requirements Guidance for Applying the Department of Defense System Evaluation Criteria in Specific Environments // Federation of American Scientist. – www.fas.org/irp/nsa/ rainbow/std003.htm.
141.Datapro Reports on Information Security. – Vol.1 – 3, 1990 – 1993
//SCM.Portal. – portal.acm.org/citation.cfm?id=17735.
142.DoD 5200.28-STD. Department of Defence Trusted Computer System Evaluation Criteria (TCSEC) 1985 // ftp.fas.org/irp/nsa/rainbow /std001.htm.
143.Evaluation Levels Manual, Department of Trade and Industry, Computer Security Branch, Kingsgate House, Vol. 22. – P. 66 – 74.
144.ISO/DIS 2382/8. Data processing. – Vocabulary – Part 8: Control, integrity and security. – ISO, 1985. – 35 p.
145.ISO/DIS 7498/2. Information Processing Systems – Open Systems Interconnection Reference Model. Part 2: Security Architecture. ISO, 1989. – 41 р.
146.National Bureau of Standards, "Data Encryption Standard", January 1977, NIST NBS-FIPS PUB 46 // Безопасность информационных технологий. – http://www.security.ukrnet.net/modules/sections/index.php? artid=181&op=viewarticle.
147.NCSC-TG-001. A Guide to Understanding Audit in Trusted Systems
//Federation of American Scientist. – fas.org/irp/nsa/rainbow /tg001.htm.
148.NCSC-TG-003. A Guide to Understanding Discretionary Access
Control in Trusted Systems // Federation of American Scientist / ftp.fas.org/irp /nsa/rainbow/tg003.htm.
149.NCSC-TG-005. Version-1. Trusted Network Interpretation of the trusted Computer System Evaluation Criteria // National Technical Information Service. – http://oai.dtic.mil/oai/oai?verb=getRecord&metadataPrefix=html& identifier=ADA255422.
150.NCSC-TG-006. A Guide to Understanding Configuration Management in Trusted Systems // Federation of American Scientist / www.fas.org- /irp/nsa/rainbow/tg006.htm.
151.NCSC-TG-009. Version-1. Computer Security Subsystem Interpretation of the Trusted Computer System Evaluation Criteria // Federation of American Scientist. – ftp.fas.org/irp/nsa/rainbow/tg009.htm.
152.NCSC-TG-021. Version-1. Draft Trusted Database Management System Interpretation of the Trusted Computer System Evaluation Criteria // Бе-
зопасность информационных технологий. – http://www.security.ukrnet.net /modules/sections/index.php?artid=181&op=viewarticle.
153.Gladny H.M. In: Performance of Computer Installation, Berke. – 1978, Proceedings. – P. 151 – 200.
154.HighLand H.J. Novell network virus alert., C&S. – 1990. – Vol. 9. – №7. – P. 570.
155.Linde Richard R. Operating System Penetration, Proceedings. – 1975 NCC. – P. 361 – 368.
156.Linden T. A. (editor) Security Analysis and Enhancements of Computer Operating Systems, Institute for Computer Sciences and Technology of National Bureau of Standarts, Washington, D.C.20234, Report NBSIR 76-1041, April 1976.
157. Olson I. M., Abrams M. D., Computer Acces Policy Choices
//Computer& Security. – Vol. 9(1990). – №8. – Р. 699 – 714.
158.Security & Protection. – 1978. – Vol. 10. – №2. – P. 23 – 40.
159.Smith G.S. 2001. New Age Technology Threats and Vulnerabilities. Journal of Forensic Accounting. – Р. 125 – 130.
160.Straub D. W., Widom C. S. Deviancy by bit and bytes: computer abusers and control measures // Computer security: A Global Challenge. Netherlands,1984. – Р. 431 – 441.
161.Parker T. A. Application Access Control Standarts for Distributed Systems., Computer&Security. – Vol/ 9. – №6. – Р. 319 – 330.
162.T.A. Parker, Security in Open Systems – A Report on the Standart
work of ECMA's TC32/TG9, Р. 38 – 50 in Proc. 10th Natl. Computer Security Conf., IEEE, Baltimore, September, 1987.
163.Yves le Roux, Technical Criteria For Security Evaluation Of Information Technology Products/Information Security Guide, 1990/1991. – P. 59 – 62.
164.Zabihollah Rezaee Financial Statement Fraud: Prevention and Detection, 2002. – P. 276 – 279.
Зміст
Вступ |
.......................................................................................................................... |
3 |
|
1. ЗАГАЛЬНІ ПРИНЦИПИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ ................. |
6 |
||
1.1. |
Основні ...............................................................................................поняття ІБ |
6 |
|
1.2. |
Структура .......................................................................................................ІБ |
12 |
|
1.3. Класифікація ...................................................................ресурсів для захисту |
21 |
||
1.4. |
Загрози ......................................................................................та уразливості |
31 |
|
1.4.1. ................................................................. |
Класифікація загроз інформації |
31 |
|
1.4.2. ................................. |
Несанкціонований доступ до комп ’ ютерних систем |
37 |
|
1.4.3. ................................................................................ |
Окрема модель загроз |
48 |
|
1.4.4. ......................................... |
Джерела загроз та окрема модель порушника |
54 |
|
1.4.5. .......................................... |
Оцінка уразливостей інформаційних ресурсів |
66 |
|
1.4.6. .. |
Класифікація загроз DSECCT (Digital Security Classification of Threats) |
72 |
|
1.5. Класифікація ..............................................................................атак та вірусів |
80 |
||
1.5.1. ................................................................................ |
Типові віддалені атаки |
80 |
|
1.5.2. ............................................................... |
Віддалені атаки на хости Internet |
95 |
|
1.5.3. ............................................ |
Атаки на основі використання стека TCP/IP |
114 |
|
1.5.4. .................................................................................... |
Комп ’ ютерні віруси |
118 |
|
2. КАНАЛИ ................................................................ВИТОКУ ІНФОРМАЦІЇ (КВІ) |
141 |
||
2.1. |
Класифікація ..............................................................................................КВІ |
141 |
|
2.1.1. ................................................ |
Канали втрати конфіденційної інформації |
141 |
|
2.1.2. ........................................................................ |
Конфіденційна інформація |
145 |
|
2.1.3. .............................. |
Джерела й канали втрати конфіденційної інформації |
146 |
|
2.1.4. .............................. |
Легальні й нелегальні методи добування інформації |
147 |
|
2.1.5. ............................................................Технічні канали витоку інформації |
149 |
||
2.2. Методи ..........................................та засоби захисту від витоку інформації |
155 |
||
2.3. |
Методи ...................................................................................визначення КВІ |
167 |
|
3. ОРГАНІЗАЦІЯ ...................ІНФОРМАЦІЙНОЇ БЕЗПЕКИ НА ПІДПРИЄМСТВІ |
184 |
||
3.1. Політики ..................................інформаційної та економічної безпеки (ІЕБ) |
194 |
||
3.1.1. .................................................................................. |
Цілі та завдання ПБ |
187 |
|
3.1.2. ............................................................................... |
Обов ' язки у сфері ІЕБ |
188 |
|
3.1.3. ......................................................... |
Забезпечення фізичної безпеки КС |
189 |
|
3.1.4. .................................. |
Загальні вимоги до керування і використання КС |
190 |
|
3.1.5. ........................... |
Правила ІЕБ під час використання ресурсів (Internet) |
192 |
|
3.1.6. .......................... |
Правила ІЕБ під час використання електронної пошти |
194 |
|
3.1.7. ............................................................................ |
Антивірусний захист КС |
195 |
|
3.1.8. ........................ |
Керування і експлуатація криптографічних систем у КС |
196 |
|
3.1.9. ...................................................................... |
Правила впровадження ПЗ |
196 |
|
3.1.10. .................................Порядок впровадження і контролю виконання ПБ |
199 |
||
3.1.11. .............................................................................. |
Порядок перегляду ПБ |
201 |
|
3.2. Модель ....................................................................системи об'єктів захисту |
201 |
||
3.3. |
Методика розробки ПБ .................................................................................... |
205 |
|
3.4. |
Методи оцінки втрат ........................................................................................ |
214 |
|
3.5. |
Методи оцінки ризиків...................................................................................... |
220 |
|
3.5.1. |
Оцінка ризиків для інформаційних ресурсів ........................................... |
220 |
|
3.5.2. |
Методи оцінки ризиків на основі методики фірми Digital Security ......... |
224 |
|
3.5.3.Приклад розрахунку ризиків ІС на основі моделі інформаційних потоків234
3.5.4. |
Приклад розрахунку ризиків |
по погрозі конфіденційність ..................... |
238 |
3.5.5. |
Приклад розрахунку ризиків |
по погрозі цілісність.................................. |
242 |
3.5.6. |
Приклад розрахунку ризиків по погрозі відмова в обслуговуванні ....... |
244 |
|
3.5.7. Розрахунок ризиків за загрозою ІБ........................................................... |
249 |
||
3.6. Служба ІЕБ. Організація її аудиту .................................................................. |
253 |
||
3.6.1. Цілі й призначення аудиту ....................................................................... |
|
254 |
|
3.6.2. |
Етапи проведення аудиту ........................................................................ |
|
255 |
3.6.3. Виробіток рекомендацій щодо результатів аудиту ІБ............................. |
260 |
||
3.6.4. Організація технічного захисту інформації.............................................. |
261 |
||
3.7. Кадровий аспект ІЕБ на підприємстві............................................................. |
261 |
||
3.7.1. Організація прийому на роботу ............................................................... |
262 |
||
3.7.2. |
Етапи відбору персоналу ......................................................................... |
|
263 |
3.7.3. |
Посадова інструкція .................................................................................. |
|
265 |
3.7.4. Корпоративна культура на підприємстві ................................................. |
266 |
||
3.7.5. |
Мотивація й безпека ................................................................................. |
|
268 |
3.7.6. |
Звільнення ................................................................................................. |
|
270 |
3.7.7.Особливості прийому на роботу співробітників, пов'язаних з володінням
конфіденційною інформацією ................................................................................ |
272 |
|
3.8. Економічна безпека підприємства в умовах сучасного ринку ...................... |
273 |
|
3.8.1. |
Види можливих збитків (втрат) ................................................................ |
279 |
3.8.2. Основні напрямки забезпечення ЕБ організації ..................................... |
290 |
|
3.8.3. Інтелектуальна складова ЕБ організації.................................................. |
299 |
|
3.8.4. |
Закордонний досвід .................................................................................. |
307 |
3.8.5. Основи організації захисту електронних документів.............................. |
319 |
|
3.8.6. |
Захист електронних платежів................................................................... |
321 |
3.8.7. Загальна схема функціонування електронних платіжних систем.......... |
321 |
|
НАВЧАЛЬНЕ ВИДАННЯ
Кавун Сергій Віталійович Носов Віталій Вікторович
Манжай Олександр Володимирович
ІНФОРМАЦІЙНА БЕЗПЕКА
Навчальний посібник
Відповідальний за випуск Пономаренко В. С. Відповідальний редактор Сєдова Л. М.
Редактор Нещеретна О. М.
Коректор Бриль В. О.
План 2008 р. Поз. №41-П. |
|
|
Підп. до друку |
Формат 60 90 1/16. Папір MultiCopy. Друк Riso. |
|
Ум.-друк. арк. 22,0. Обл.-вид. арк. 27,5. Тираж |
прим. Зам. № |
|
Видавець і виготівник — видавництво ХНЕУ, 61001, м. Харків, пр. Леніна, 9а
Свідоцтво про внесення до Державного реєстру суб’єктів видавничої справи
Дк №481 від 13.06.2001 р.
Кавун С. В. Носов В. В.
Манжай О. В.
ІНФОРМАЦІЙНА БЕЗПЕКА
Навчальний посібник
3