WWW.BOOK.LIB-I.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Электронные ресурсы
 
s

Pages:   || 2 |

«2 ОГЛАВЛЕНИЕ ВВЕДЕНИЕ..4 1 ИНЦИДЕНТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В КОРПОРАТИВНЫХ ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЯХ. АНАЛИЗ ОБЪЕКТА ИССЛЕДОВАНИЯ.10 1.1 Объект и предмет исследования. 10 1.2 ...»

-- [ Страница 1 ] --

2

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ …………………………………………………………………..4

1 ИНЦИДЕНТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В

КОРПОРАТИВНЫХ ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЯХ.

АНАЛИЗ ОБЪЕКТА ИССЛЕДОВАНИЯ ……………………………......10

1.1 Объект и предмет исследования …………………………………. 10

1.2 Контроль инцидентов информационной безопасности ………….16

1.3 Формальная модель инцидента ИБ в КТС ……………………..... 20

1.4 Модель функционирования системы контроля инцидентов.

Уточнение задачи исследования …………………………………. 23 Выводы к главе 1 ……………………………………………………….26

2 РАЗРАБОТКА МЕТОДИКИ ОПРЕДЕЛЕНИЯ МНОЖЕСТВА

СУЩЕСТВЕННЫХ ФАКТОРОВ ВОЗНИКНОВЕНИЯ

ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ………..27

2.1 Выявление взаимосвязи инцидентов с факторами нарушения технической политики КТС ……………………………………….

2.2. Разработка процедуры выявления существенных факторов нарушения технической политики информационной безопасности …………………………………………………........34 Выводы к главе 2 …………………………………………………….. 47

3 РАЗРАБОТКА МАТЕМАТИЧЕСКИХ МОДЕЛЕЙ И АЛГОРИТМОВ

ОПТИМИЗАЦИИ КОНТРОЛЯ ИНЦИДЕНТОВ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ …………………………..49

3.1 Разработка алгоритма формирования пакета контролируемых параметров …………………………………………………………49

3.2 Разработка алгоритма назначения контролируемым параметрам минимально допустимого времени на контроль и их распределение по узлам сети …………………………………….56 Выводы к главе 3 ………………………………………………………………………………..

4 РАЗРАБОТКА И АНАЛИЗ ЭФФЕКТИВНОСТИ СИСТЕМНЫХ

СРЕДСТВ КОНТРОЛЯ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ В КОРПОРАТИВНОЙ

ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ ……………………………….

4.1 Структурная схема системы контроля инцидентов. Порядок функционирования ………………………………………………..61

4.2 Особенности практической реализации системы контроля инцидентов ……………………………………………………….. 65

4.3 Оценка эффективности функционирования системы контроля инцидентов ……………………………………………………….. 82

4.4 Повышение производительности системы контроля инцидентов ……………………………………………………….. 87 Выводы к главе 4 …………………………………………………...... 89 ЗАКЛЮЧЕНИЕ ………………………………………………………………90 СПИСОК ПРИНЯТЫХ СОКРАЩЕНИЙ …………………………………..92 СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ ………………………….94 Приложение 1. Типовая техническая политика информационной безопасности КТС …………………………………………………….109 Приложение 2. Листинги программных модулей измерителей параметров инцидентов ………………………………………………114 Приложение 3. Алгоритм обнаружения подсетей с возникшим инцидентом информационной безопасности …………………….. 121 Приложение 4. Алгоритм восстановления производительности КТС после обнаружения инцидента информационной безопасности.. 128 Приложение 5. Копии актов о внедрении результатов диссертации…… 134 ВВЕДЕНИЕ Актуальность темы. Содержание проблемы информационной безопасности (ИБ) в системах и сетях телекоммуникаций интерпретируются следующим образом. По мере развития и усложнения средств, методов и форм автоматизации процессов обработки и передачи информации повышается уязвимость системных процессов и ресурсов, напрямую влияющая на возможность уничтожения, блокирования или искажения информации и появления в системе «нештатных» процессов, создающих ситуацию невозможности эффективного выполнения основных функций.





Политики обеспечения ИБ, и создаваемые на их основе системы защиты информации (СЗИ), не могут полностью гарантировать защиту информационнотелекоммуникационной сети. После внедрения защитных мер и средств всегда остаются уязвимые места в сети, которые могут сделать обеспечение ИБ неэффективным. Кроме того, могут быть сбои и отказы самой СЗИ, выявляться новые, ранее не идентифицированные угрозы. Ситуации, связанные с «замеченными»

нарушениями политики ИБ и отказы СЗИ в выполнении своих функций, определяют понятие «инцидента ИБ». Причинами возникновения инцидентов ИБ являются архитектурные просчеты, ошибки реализации программных и аппаратных компонентов, преднамеренные информационных воздействия, ошибки пользователей (операторов), старение оборудования и т.д. Несмотря на интеграцию в телекоммуникационные сети современных аппаратно-программных средств защиты и управления сетями, процессы контроля инцидентов ИБ автоматизированы лишь частично, отсутствуют эффективные модели и алгоритмы их обнаружения и идентификации в составе единой системы, что часто является основной причиной продолжительному снижению эффективности функционирования телекоммуникационной сети. Таким образом, исследования, направленные на создание моделей и алгоритмов контроля инцидентов, актуальны и имеют практическое значение в решении проблемы обеспечения качества функционирования сетей телекоммуникаций предприятий.

Степень разработанности темы. Проблема ИБ и защиты информации в системах и сетях телекоммуникаций исследовалась в трудах ведущих российских ученых Белова Е.Б., Галкина А.П., Герасименко В.А., Грушо А.А., Домарева В.В., Завгороднего В.И., Зегжды П.Д., Лося В.П., Лукацкого А.В., Малюка А.А., Медведковского И.Д., Молдовяна А.А., Никитина О.Р., Петракова А.В., Полушина П.А., Самойлова А.Г., Соколова А.В., Торокина А.А., Шаньгина В.Ф., Шелухина О. И., Хорева А.А., Ярочкина В.И. Значительный вклад в решение выделенной проблемы внесли зарубежные исследователи Р. Брэтт, К. Касперски, С. Норкатт, В.

Столингс, К. Лендвер, M. Howard, R. Graham, D. Sanai, S. Manwani, M. Montoro, F.

Cohen, J. Jung, D.Moore, C.Zou и другие.

Анализируя результаты исследований, можно сделать вывод, что существующие методы и средства обеспечивают существенное повышение защищенности телекоммуникационных сетей. Тем не менее, выработка решений по большинству функций защиты производится по-прежнему человеком (администратором сети), несмотря на интеграцию в телекоммуникационные сети современных аппаратнопрограммных средств администрирования и управления сетями, наличие отечественных (ГОСТ Р ИСО/МЭК ТО 13335-5-2006, ГОСТ Р ИСО/МЭК 7498-4-99, ГОСТ Р ИСО/МЭК 10164-1-99) и международных (ITU-T X.700, ISO 7498-4 FCAPS, ISO/IEC TR 18044, CMU/SEI-2004-TR-015) стандартов, процессы контроля инцидентов ИБ автоматизированы лишь частично, отсутствуют эффективные модели и алгоритмы их обнаружения и идентификации в составе единой системы, что часто является основной причиной продолжительному снижению эффективности функционирования телекоммуникационной сети.

Объект исследования - корпоративные телекоммуникационные сети (КТС).

Предмет исследования - методы и средства, позволяющие обеспечить контроль инцидентов ИБ в КТС, обусловленных нарушением политики ИБ.

Цели и задачи работы. Целью работы является решение научнотехнической задачи разработки новых моделей, алгоритмов и процедур контроля инцидентов ИБ, направленных на повышение эффективности обеспечения информационной безопасности в системах и сетях телекоммуникаций.

В соответствии с целью были поставлены и решены следующие научные задачи:

1. Анализ процессов, методов и средств обеспечения контроля инцидентов ИБ в КТС, классификация инцидентов по характеру нарушения технической политики ИБ.

2. Разработка методики формирования множества существенных факторов возникновения инцидентов ИБ, определяющих параметры контроля.

3. Разработка моделей и алгоритмов формирования пакетов контролируемых параметров, процедур обнаружения инцидентов ИБ в КТС.

4. Синтез структурной схемы системы контроля инцидентов ИБ в КТС. Реализация функциональных модулей системы контроля и их практическое внедрение в КТС предприятий и организаций.

Научная новизна. В работе получены следующие научные результаты:

1. Предложена формальная модель инцидента ИБ, как специфичного состояния КТС, идентифицируемого по отклонениям параметров ее функционирования от эталонных значений, задаваемых технической политикой ИБ.

2. Разработана методика определения существенных факторов возникновения инцидентов ИБ, в основе которой использован способ их группового ранжирования при обеспечении согласованности экспертов.

3. Разработан алгоритм формирования пакета контроля инцидентов ИБ в КТС, основанный на анализе статистических характеристик обнаружения событий ИБ по значениям контролируемых параметров, выделении комбинаций, обеспечивающих допустимые вероятностные характеристики обнаружения.

4. Предложена структурная схема автоматизированной системы контроля инцидентов ИБ, как основа для практической реализации систем данного класса.

Практическая значимость работы. Разработано информационное и программное обеспечение системы контроля инцидентов ИБ, включающее:

- программный комплекс для расчета значимости элементов корпоративной сети передачи данных (св-во о гос. регистрации программы для ЭВМ №2012612368);

- программный комплекс администрирования корпоративной сети передачи данных DTNAM v1.0 (св-во о гос. регистрации программы для ЭВМ №2012660376);

- автоматизированную систему расчета статических характеристик инцидентов информационной безопасности КСПД АСУП (св-во о гос. регистрации программы для ЭВМ №2012660377);

- программный модуль СППР административного управления корпоративной АСУ расчета показателей значимости ресурсов программно-технической инфраструктуры (св-во о гос. регистрации программы для ЭВМ №2013613706);

- программный модуль имитационного моделирования процессов администрирования СППР административного управления корпоративной АСУ (св-во о гос. регистрации программы для ЭВМ №2013613706);

- автоматизированную систему анализа защищенности объекта информатизации SaNaS 1.0 (св-во о гос. регистрации программы для ЭВМ №2014610966) и ее базу данных (св-во о гос. регистрации базы данных №2014620496);

- автоматизированную систему расчета статистических характеристик инцидентов информационной безопасности КСПД (св-во о гос. регистрации программы для ЭВМ №2015618341);

- автоматизированную систему регистрации инцидентов информационной безопасности КСПД (св-во о гос. регистрации программы для ЭВМ №2015618785).

Использование разработанных средств позволяет снижать общее количество анализируемых параметров для выявления инцидентов в 1.5 – 2,5 раза; уменьшать среднее время ожидания заявки пользователей, обнаруживших проявление инцидента ИБ, на обработку - на 33%, среднее время выполнения функции устранения инцидента - на 25%. Кроме того, в корпоративной сети уменьшается общее количество инцидентов. Результаты исследований внедрены в корпоративной телекоммуникационной сети ОАО «Завод «Электроприбор»» г. Владимир, Администрации Владимирской области, а также были использованы при разработке учебных курсов во Владимирском государственном университете.

Методология и методы исследования. При решении поставленных задач применялись: анализ процессов контроля инцидентов, синтез и моделирование алгоритмов и процедур обработки информации в сетях телекоммуникаций. Научные положения работы теоретически обосновываются с помощью аппарата теории множеств, теории графов, теории вероятностей, алгебры логики, теории статистического обнаружения, математической статистики.

Положения, выносимые на защиту:

- формальная модель инцидента ИБ в КТС, обеспечивающая теоретическое обоснование построения систем контроля инцидентов ИБ;

- методика определения множества существенных факторов возникновения инцидентов ИБ, позволяющая снижать количество контролируемых параметров для выявления инцидентов;

- алгоритм формирования пакетов контролируемых параметров, обеспечивающий повышение производительности системы контроля;

- структурная схема и результаты внедрения программных модулей системы контроля инцидентов.

Степень достоверности результатов исследований. Достоверность полученных в диссертационной работе результатов подтверждается с помощью исследований КТС, выполненных на экспериментальной установке, воспроизводящей условия возникновения инцидентов в КТС, а также в ходе практического использования разработанных средств.

Апробация работы. Материалы диссертационной работы докладывались и обсуждались на;

- XXIX, XXX и XXХIII Всероссийской НТК «Проблемы эффективности и безопасности функционирования сложных технических и информационных систем» (Серпухов, 2010, 2011, 2014);

- IX Международном симпозиуме «Интеллектуальные системы, INTELS 2010» (Владимир, 2010);

- XXIII Международной НТК «Математические методы в технике и технологиях - ММТТ-23» (Смоленск, 2010);

- XVI Международной НТК «Проблемы передачи и обработки информации в сетях и системах телекоммуникаций» (Рязань, 2010);

- XII Международной конференции «Региональная информатика (РИ-2010)»

(Санкт-Петербург, 2010); XVII Международной НТК «Информационные системы и технологии ИСТ-2011» (Нижний Новгород, 2011);

- IX Международной НТК «Перспективные технологии в средствах передачи информации» (Владимир, 2011);

- V, VI VII Всероссийской научно-практической конференции «Имитационное моделирование. Теория и практика ИММОД» (Санкт-Петербург, 2011, Казань, 2013, Москва, 2015);

- Х Российской НТК «Новые информационные технологии в системах связи и управления» (Калуга, 2011);

Всероссийской с международным участием молодежной научнопрактической конференции «Молодежная математическая наука-2012» (Саранск, 2012);

- XIX Мiжнародноi науково-практичноi конференцii «Iнформацiйнi технологii: наука, технiка, технологiя, освiта, здоров'я» (Украина, Харьков, 2011);

- XI Мiжнародноi науково-технiчноi конференцii «Проблеми iнформатики i моделювання» (Украина, Харьков-Ялта, 2011);

- Международной научно-практической конференции «The Strategies of Modern Science Development» (Yelm, WA, USA, 2013);

- IV Международной научно-практической конференции «Вопросы науки:

Современные технологии и технический прогресс» (Воронеж, 2015).

Публикации: опубликовано 28 работ, 5 в изданиях из перечня ВАК, из них 1 проиндексирована в международной базе Scopus. Получено 9 свидетельств о государственной регистрации программ для ЭВМ.

Личный вклад. Все результаты, изложенные в диссертации, получены автором лично или при его непосредственном участии. Постановка цели и задач, обсуждение планов исследований и результатов выполнены совместно с научным руководителем.

1 ИНЦИДЕНТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В КОРПОРАТИВНЫХ ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЯХ.

АНАЛИЗ ОБЪЕКТА ИССЛЕДОВАНИЯ

В главе описываются объект и предмет исследования. Анализируются стандарты и руководящие документы, средства автоматизации, связанные с вопросами управления инцидентами информационной безопасности. Предложена формальная модель инцидента ИБ в корпоративной телекоммуникационной сети, как специфичного ее состояния идентифицируемого по отклонениям параметров ее функционирования от их эталонных значений, задаваемых технической политикой ИБ сети. Уточняется задача исследования.

1.1 Объект и предмет исследования

Объектом исследования настоящей диссертации является подкласс телекоммуникационных сетей – корпоративные телекоммуникационные сети (КТС) [13, 35].

КТС – сети масштаба предприятия, особенности которых, принципиальные в данной работе, следующие [3, 6, 11, 13, 19, 28, 39, 50, 102]:

1. КТС является вычислительной сетью, используемой для соединения имеющихся на предприятии информационных систем (ИС).

2. КТС является сетью передачи данных. Режим работы сети, как правило, круглосуточный. Основным транспортным протоколом для передачи данных является протокол TCP/IP.

3. В КТС используются разные типы приложений: клиент-серверные, на основе эмуляции терминала, WEB приложения и др.

4. Для адресации КТС используется адресное пространство разрешенного частного адресного пространства Интернет.

5. В пределах КТС имеются каналы связи (КС) с другими сетями для получения доступа к информационным ресурсам (ИР) и сервисам сторонних организаций.

6. В целях обеспечения удаленного доступа пользователей к информационно-техническим сервисам КТС допускается наличие КС удаленного доступа.

7. Все сетевые компоненты КТС идентифицированы и учтены в базе данных сетевого администрирования.

8. Все активное сетевое оборудование (АСО) КТС синхронизировано с сервером синхронизации времени.

9. Доступ и удаленное управление АСО разрешено только системному администратору после прохождения аутентификации и авторизации. Параметры аутентификации и авторизации АСО отконфигурированы.

10. На всех портах АСО установлен режим управления доступом к среде, должен быть режим STP (Spanning Tree Protocol). Все неиспользуемые порты АСО отключены.

11. Трафик, генерируемый системами управления сетью, не создает препятствия для передачи данных в КТС.

12. В системе в качестве структурных элементов присутствуют ярко выраженные система защиты информации (СЗИ) и система административного управления (САдУ). Их функции разграничены и обеспечиваются различными структурными подразделениями. СЗИ включает технические (аппаратные), программные и другие средства защиты, а также организационные мероприятия, исключающие или существенно затрудняющие разрушение, уничтожение, искажение и/или противоправный, несанкционированный доступ к конфиденциальной информации. Основной целью САдУ является приведение сети в соответствие с целями и задачами, для которых она предназначена. Достигается эта цель путём управления сетью, позволяющего минимизировать затраты времени и ресурсов, направляемых на управление системой, и в тоже время максимизировать доступность, производительность и продуктивность системы.

13. СЗИ построена и функционирует в соответствии со стратегией и тактикой защиты, определяемой Политикой обеспечения информационной безопасности (ПИБ). ПИБ является основным документом, регламентирующим процессы обеспечения ИБ на предприятии, утверждена руководством и является документом обязательного исполнения.

Данный набор особенностей характерен для крупных организаций, в которых обеспечением ИБ занимается специализированный отдел. Для полноценного функционирования, подобным организациям необходимо иметь в структуре КТС серверное оборудование, системы защиты, виртуальные приватные сети. На основе анализа подходов ведущих фирм (Cisco, Dlink) к построению КТС, сформирована типовая схема КТС, которая представлена на рисунке 1.1.

–  –  –

Анализ типовых решений КТС [3-6, 8-10, 13, 22, 27, 28, 30, 35, 36, 58, 68, 69, 72, 79] позволяет выделить принципиальные для настоящего исследования особенности:

1. Распределенная структура. КТС включает множество сегментов сети передачи данных, расположенных на обширной территории, наличие большого числа информационных каналов взаимодействия с «внешним миром» (источниками и потребителями информации), необходимость обеспечения непрерывности функционирования, что затрудняет оперативное решение задач сетевого управления, требует участия высококвалифицированных специалистов и/или специального инструментария автоматизации процессов управления.

2. Большое разнообразие решаемых задач и типов обрабатываемых данных, сложные режимы автоматизированной обработки информации с широким совмещением выполнения информационных запросов различных пользователей, обеспечение автоматизации целых направлений деятельности предприятия (бухгалтерский учет, управление финансами, капитальное строительство и управление проектами, материально-техническое снабжение, управление производством и персоналом, внешнеэкономические связи и ряд других направлений), представленных множеством взаимосвязанных процессов. Заметим, что данные процессы, как правило, детерминированы (как минимум, в течение цикла управления сетью).

3. Гетерогенность. Разнообразие парка СВТ, сетевого оборудования и, в особенности, базового ПО на предприятии, что определяет требования к наличию в штате обслуживающего персонала различной специализации и профессиональной квалификации.

4. Участие в процессе автоматизированной обработки информации большого количества пользователей, большинство из которых имеют низкую квалификацию, что приводит к большому количеству инцидентов ИБ, связанных с человеческим фактором.

5. Объединение в единых базах данных информации различного назначения, принадлежности и уровней конфиденциальности делает ИР уязвимыми ко многим типам атак.

6. Большое количество сбоев в работе КТС связано с:

- широким использованием ОС Microsoft Windows с базовыми настройками безопасности как на РС пользователей, так и на корпоративных серверах;

- использованием слабо защищенных протоколов Ethernet и протоколов стека TCP/IP в качестве основы взаимодействия информационных процессов КИТС;

- использованием в прикладных задачах уязвимых протоколов HTTP, SNMP, FTP, DHCP, OPC, DCOM, ActiveX.

Политики ИБ, и создаваемые на их основе СЗИ, не могут полностью гарантировать защиту КТС. После внедрения защитных мери средств всегда остаются уязвимые места в КТС, которые могут сделать обеспечение ИБ неэффективным.

Кроме того, могут быть сбои и отказы самой СЗИ, выявляться новые, ранее не идентифицированные угрозы. Ситуации, связанные с «замеченными» нарушениями политики ИБ и отказы СЗИ в выполнении своих функций, определяют понятие «инцидента ИБ».

Причинами возникновения инцидентов ИБ в КТС являются архитектурные просчеты, ошибки реализации программных и аппаратных компонентов, преднамеренные информационных воздействия, ошибки пользователей (операторов), старение оборудования и т.д.

Наиболее распространенные причины возникновения инцидентов:

- сетевые атаки злоумышленников [68, 70, 102, 103, 107, 108, 119, 125]. Сетевым атакам подвержены такие элементы КТС, как корпоративные сервера, РС пользователей, среда передачи данных;

- вредоносные программы [2, 5, 12, 20, 29, 106] - компьютерные вирусы, черви, троянские программы. Таким видам угроз подвержены преимущественно РС пользователей. Заражение элементов КТС может сопровождаться нарушением СЗИ, ошибками или отказами элементов КТС, и, в результате, снижением системной производительности [22, 26];

- выход из строя аппаратных компонентов КТС, связанный с нарушением правил их эксплуатации (ошибки подключения, перегрев оборудования, деструктивные механические воздействия), а также связанный с их старением (эксплуатация аппаратных компонентов с превышением допустимых/гарантийных сроков);

- выход из строя компонентов КТС вследствие ошибок пользователей (человеческий фактор);

- архитектурные просчеты и ошибки реализации программных компонентов КТС.

По результатам исследований European Network and Information Security Agency за 2013 год [116], наиболее частыми причинами возникновения инцидентов ИБ в КТС являются естественные (природные) причины - 12%, ошибки пользователей - 12%, вредоносные атаки - 6%, ошибки ПО- 47%, другие причины – 33%. Процент от общего времени, затраченный на устранение каждого из типов инцидентов: естественные (природные) причины - 25%, ошибки пользователей вредоносные атаки - 20%, ошибки ПО- 25%, другие причины - 10%. Здесь же приводятся данные о том, что в среднем 45% инцидентов происходит из-за проблем с ПО, 25% - связаны с человеческими ошибками и 30% - с аппаратными отказами.

Методы и средства, позволяющие обеспечить контроль инцидентов ИБ в КТС, обусловленных нарушением политики ИБ, составляет предмет исследования диссертационной работы.

1.2 Контроль инцидентов информационной безопасности

ГОСТ Р ИСО/МЭК ТО 18044-2007 [18] дает следующие определения: «Инцидент ИБ – появление одного или нескольких нежелательных, или неожиданных событий КТС, с которыми связана значительная вероятность … угрозы КТС».

«Событие КТС – идентифицированное появление определённого состояния системы, сервиса или сети, указывающего на возможное нарушение политики безопасности или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности». В международной практике разработано большое количество нормативных документов, регламентирующих вопросы управления инцидентами ИБ [18, 113, 120-122].

В [18] выдвигаются общие требования к построению системы управления ИБ, в частности, относящиеся и к процессам управления инцидентами. Документ [120] описывает инфраструктуру управления инцидентами в рамках циклической модели процессов Шухарта - Деминга [38] - модель PDCA. Стандарт [120] описывает модель PDCA как основу функционирования всех процессов системы управления ИБ. Даются подробные спецификации для стадий планирования, эксплуатации, анализа и улучшения процесса. Стандарт [121] основной упор делает на организацию работы CISRT (Critical Incident Stress Response Team) - подразделения, обеспечивающего поддержку предотвращения, обработки и реагирования на инциденты. Вводится ряд критериев, на основании которых можно оценивать эффективность данных сервисов, приводятся процессные карты. Сборник «лучших практик» по построению процессов управления инцидентами приведен в [113].

Подробно разбираются вопросы реагирования на разные типы угроз, такие как распространение вредоносного ПО, НСД и другие. Документ [122] определяет формальную модель процесса реагирования на инциденты ИБ.

Особенностью походов, принципиальной для настоящего исследования, является следующее: стандарты [18, 113, 120, 122] описывают процедуры управления – менеджмента инцидентов, практически не затрагивая технических вопросов. Из данных публикаций не понятно, каким образом обнаружить инцидент ИБ, какие события могут быть причинами инцидента. Не конкретизированы понятия «нарушение политики безопасности» и «неизвестная ситуация». В дальнейшем будем рассматривать ряд функций менеджмента инцидентов, связанный только с техническими вопросами контроля инцидентов и не в ИС предприятия в целом, а только в ее технологической основе – КТС. Соответствующую политику ИБ будем называть технической политикой ИБ.

Цикл контроля инцидентов ИБ в КТС включает шесть этапов.

Этап 1. Измерение параметров инцидентов.

КТС функционирует в штатном режиме с требуемой (например, номинальной) производительностью Eном, оцениваемой средними задержками передачи информационных пакетов или числом информационных пакетов (байтов) по всем маршрутам [59 - 60]. Данный этап сопровождается контролем значений параметров инцидентов всех элементов КТС. Данный процесс должен быть организован таким образом, чтобы не приводить к существенному повышению средних задержек. Процесс контроля может осуществляться по наперед составленному расписанию, циклически или разово. Этап заканчивается при возникновении инцидента ИБ. Возникновение инцидента обнаруживается, например, по выходу средних задержек за пределы допустимых значений. Предпосылки этому резкое повышение сетевого трафика, что может быть связано с DOS-атакой, или снижение трафика, что связано, например, с выходом из строя линии связи, сервера или ряда рабочих станций.

Этап 2. Обнаружение инцидента.

На данном этапе происходит обнаружение инцидента, поиск элементов КТС с нарушениями требований политики, сбор информации об инциденте и его последствиях. В течение данного этапа производительность КИТС может продолжать уменьшаться.

Этап 3. Идентификация инцидента.

Производится анализ собранной информации об инциденте (идентификация инцидента и его классификация), анализ возможных решений инцидента. Выбирается подходящее решение инцидента возможно оперативное (временное), обеспечивающее частичное восстановление производительности.

Этап 4. Формирование программы «решения» инцидента.

Происходит формирование объема и последовательности необходимых работ по восстановлению требований технической политики на «инцидентных» элементах. Кроме того, под конкретные работы подбираются исполнители.

Этап 5. Исполнение программы «решения» инцидента.

Происходит выполнение конкретных работ по восстановлению требований действующей политики безопасности. Если восстановить работоспособность КТС не удается (по девствующей политике), то необходимо политику пересмотреть. На данном этапе эффективность КТС должна достигнуть Eном.

Этап 6. Завершение инцидента.

Формируется отчет по результатам контроля.

Составляющие времени цикла контроля:

T1 – время измерения параметров инцидентов;

T2 -время обнаружения инцидента;

T3 - время идентификации инцидента;

T4 - время формирования программы «решения» инцидента;

T5 - время выполнения программы «решения» инцидента;

T6 - время завершения инцидента.

Далее время цикла будет рассматриваться как основной показатель эффективности процессов контроля инцидентов в КТС.

Для эффективного контроля инцидентов ИБ необходимо:

1. Выполнить классификацию инцидентов ИБ. Состояния КТС, которые не войдут в указанный перечень, будут рассматриваться как штатные.

2. Разработать методику обнаружения типа и места инцидента. Нарушение ТПИБ может заметить пользователь, системный администратор КТС, администратор безопасности или автоматизированная система сетевого мониторинга. Администратор по «рекомендации» автоматизированной системы контроля, анализирующей совокупность событий ИБ, должен принять окончательное решение об обнаружении конкретного типа инцидента ИБ.

3. Разработать процедуры устранения последствий и причин инцидента ИБ, выполнить действия, предупреждающие (или, по крайней мере, ослабляющие) повторное возникновение инцидента ИБ.

В настоящее время существует ряд коммерческих продуктов, потенциально способных автоматизировать ряд системных процессов контроля инцидентов ИБ.

Выделим системы управления элементами сети (Cisco View, Optivity, RAD View), сканеров сети (AdRem Net Crunch, Manage Engine Op Manager, Service Keeper, nmap, xspider, maxpatrol, LanScope) [97, 98], программы инвентаризации аппаратных компонентов и ПО (EVEREST Ultimate Edition, WinAudit, ASTRA32 – Advanced System Information Tool, Network Asset Tracker, Network Inventory Monitor,

Network Inventory Navigator) [117, 118]. Применение данных средств позволяет автоматизировать процессы:

- создания и поддержки шаблона безопасности - специальной базы профилей, содержащих значения параметров эталонных состояний КТС. Типичными примерами систем такого класса являются CA Unicenter TNG, Sun Net Manager, HP OpenView, IBM/Tivoli [99];

- поддержки пользователей (Technical support, Helpdesk, Service Desk), позволяющей пользователям оперативно информировать о возникающих проблемах [133];

- анализа журналов событий средств защиты информации КТС - систем обнаружения вторжений, систем межсетевого экранирования, антивирусных комплексов и т.д.;

- создание автоматизированных средств административного управления восстановления работоспособности КТС в случае обнаружения инцидентов ИБ, связанных со сбоями и отказами в функционировании элементов сети [41 - 47, 52 Анализ возможных средств автоматизации контроля инцидентов позволяет сделать следующие выводы:

- инциденты, связанные с нарушением технической политики ИБ не систематизированы, так инциденты, обусловленные отказами и сбоями в функционировании элементов сети, а также авариями, как множественными отказами [58], не могут составлять полное множество нарушений технической политики ИБ;

- средства сетевого управления, как правило, имеют в своем составе возможности по обнаружению событий ИБ, но алгоритмы их работы «закрыты» - составляют коммерческую тайну, ими практически невозможно управлять программно. Часто декларируемые характеристики и функциональные особенности коммерческих средств отличаются от их реальных характеристик;

- мощные системы управления событиями, которые объявляют об анализе «всех» событий в ИС (более нескольких миллионов одновременно), требуют для их обработки супер-ЭВМ. Такие системы сильно «подсаживают» сеть и весьма дороги для большинства отечественных предприятий. Заметим, что эти системы анализируют события, связанные с информационным взаимодействием пользователей и системы, анализа событий, связанных мониторингом технической политики, не декларируется;

- ряд разработок в направлении автоматизации контроля инцидентов ИБ не выходят за рамки лабораторных исследований и далеки от практического применения.

1.3 Формальная модель инцидента ИБ в КТС

Пусть в процессе функционирования наблюдаемая КТС может находиться в одном из N состояний множества S = (S1, S2, …, SN). Согласно предлагаемой модели, каждое состояние (полностью) описывается вектором параметров. Мощность множества таких векторов совпадает с мощностью S. Запись PAR ( PAR 1,PAR 2,...,PAR N ) означает, что в каждый момент времени существуют вектора ( PAR 1,PAR 2,...,PAR N ) из одних и тех же параметров. Такими параметрами могут быть как количественные - изменяемые в процессе функционирования значения статических и динамических характеристик элементов КТС, так и качественные, отражающие экспертные оценки поведения элементов анализируемой системы.

Конкретные значения параметров текущего состояния SN - вектора

- будем обозначать p1, p2,.... Пусть всего таких значений M. Таким PARn,( n 1,N ) образом, PARn ( p1, p2,..., pM )n,( n 1,..., N ), и S ( PAR 1,PAR 2,...,PAR N ) ( p1, p2,...,pM )1,...,( p1, p2,...,pM )N (1.1) Параметры инцидентов ИБ. Принципиальной задачей контроля инцидентов ИБ является идентификация (обнаружение) (по значениям измеренных текущих значений параметров) некоторых состояний КТС - S *, которые мы сопоставляем с наличием инцидента.

Пусть выявлено некоторое подмножество параметров, по которым возможно идентифицировать состояния из подмножества S* ( S1, S2,...,SN* ) S, N* S * N. Параметры объекта, позволяющие обнаруживать и распознавать состояния S *, назовем параметрами инцидентов (ПИн) ИБ. Очевидно, что таких параметров меньше, чем M, описывающих все состояния КТС. Обозначим вектор

–  –  –

Такое подмножество (эталонных) значений параметров назовем шаблоном безопасности КТС по принятой (действующей) технической политике ИБ. Подмножества значений параметров, не разрешенных по технической политике ИБ, определяют состояние КТС, связываемое с инцидентом ИБ. Очевидно, для того, чтобы «обнаружить» инциденты ИБ по текущим значениям параметров инцидентов ИБ, необходимо их (значения параметров) сопоставить с шаблоном.

На всех множествах параметров инцидентов ИБ (1.2) введем функцию расстояния между двумя значениями (измеренным и шаблонным (разрешенным)).

Пусть это будет вещественная неотрицательная симметричная функция, равная нулю исключительно в случае совпадения значений. Практически такую функцию ввести нетрудно, поскольку множества значений параметров инцидентов ИБ являются либо подмножествами множеств целых или вещественных чисел (числовые параметры элементов КТС, например, минимальная длина пароля), либо множествами строк определённой длины (строковые параметры элементов системы), либо массивами опять же чисел или строк (например, списки контроля доступа). Таким образом, мы имеем возможность определить, является ли текущее значение параметра разрешенным.

Замечание. На практике для некоторых параметров инцидентов невозможно «перечислить» все значения, соответствующие шаблону безопасности. Приходится вводить понятие «допустимого диапазона». Таким параметром может быть средняя загрузка процессора какого-либо сервера или рабочей станции в течение дня. Тогда значение функции приравнивается нулю при попадании значения параметра в допустимый диапазон.

Событие информационной безопасности. Введем в рассмотрение простое логическое высказывание «Значение параметра инцидента отличается от значений, задаваемых шаблоном безопасности». Оно истинно при неравенстве нулю выше введённой функции расстояния, и ложно при равенстве. Поставим в соответствие высказыванию соответствующую логическую переменную, обозначим ее как X m, и назовем в дальнейшем событием информационной безопасности (СоИБ).

Замечание. Такой поход включает идентифицированное появление определенного состояния КТС, которое свидетельствует либо о возможном нарушении политики ИБ, либо об отказе СЗИ, либо о возникновения ранее неизвестной ситуации, которая может быть связана с ИБ, что полностью соответствует принятому определению события, введенному в стандарте [18].

Инцидент ИБ – это сложное логическое высказывание, состоящее из многих СоИБ, истинность которого проверяется системой контроля. Для каждого вида инцидента v поставим в соответствие логическую функцию Yv, истинность которой по текущим значениям X m показывает факт наличия инцидента.

–  –  –

Для обнаружения инцидентов необходимо анализировать значения многих параметров КТС (включая параметры СЗИ, как подсистемы КТС): например, параметров парольной защиты (минимальная длина пароля пользователя, период действия пароля и т.д.), параметров (настройки) системы управления доступом, специфические настройки, имеющие отношение к «профильному» функционированию КТС (характеристики производительности) и т.д. Эти и другие параметры, критичные с точки зрения возникновения инцидентов ИБ, были названы параметрами инцидентов ИБ (ПИн).

Система контроля инцидентов (СКИн) ИБ «запоминает» эталонные значения (настройки) ПИн (соответствующие действующему «профилю») в своей базе данных. Значения эталонных настроек определяются требованиями технической политики ИБ.

При осуществлении контроля инцидентов ИБ (ИнИБ) производится сравнение текущих значений ПИн с эталонными, и в случае выявления несоответствия принимается решение о возникновении ИнИБ.

Каждый раз при осуществлении проверки «на инцидент» производить сравнение эталонных настроек, сохранённых в базе данных, и «измеренных» значений абсолютно всех параметров во всех узлах КТС не рационально: на проведение такого мониторинга требуются существенные вычислительные и временные ресурсы, которые в процессе проведения проверки (мониторинга) отнимаются у КТС.

Если число проверяемых параметров велико, то это может приводить к существенному снижению производительности КТС, и она не сможет обеспечить свою главную функцию - поддержку информационных процессов предприятия. Поэтому в процедурах контроля, оптимизируемых по временным критериям, среди всех параметров проверки выделяется некоторое подмножество наиболее критичных, они подлежат сравнению, остальные параметры остаются неконтролируемыми.

Одной из задач данного диссертационного исследования и является выявление наиболее критичных параметров КТС. «Сужение» множества параметров контроля, кроме выше названного, может достигаться, например, выявлением «инцидентной» подсети, тогда контролируемых параметров уже снизится во столько раз, сколько подсетей в КТС.

При отклонении параметра от «эталонного» значения имеет место потенциальный ущерб, связанный с возможностью реализации той или иной угрозы ИБ.

Этот ущерб имеет место как для случая контролируемых параметров, так и для неконтролируемых. Разница лишь в том, что с отклонениями неконтролируемых параметров приходится «мириться», значения же отклонений контролируемых параметров могут быть востребованы для соответствующих корректировок и настроек средств и механизмов защиты в СЗИ (приведение к профилю технической политики).

Приведённое описание логики работы СКИн является основой для создания формальной математической модели функционирования данной системы.

Пусть в анализируемой КТС определено MПИн М параметров, контролируемых СКИн, а также заданы функции определения расстояния между двумя значениями для каждого параметра.

В связи с тем, что контролируются не все параметры КТС, а лишь их часть, вводится понятие пакета контроля.

Определение. Подмножество ПИн с номерами m1 {1,..., MПИн } назовём пакетом контроля, обозначив его ПК(m1).

Теоретически может быть ( 2MПИн 1) пакетов. Каждому пакету контроля соответствует множество контролируемых параметров с номерами из множества m1. Для ПК(m1) параметры pari, i m1 (параметры перенумерованы) будем называть контролируемыми параметрами.

Задача контроля - определить значения Yv за минимальное время, что означает нахождение минимальных ПК по каждому виду инцидента, определения минимального времени на контроль каждого параметра пакета, которые в совокупности обеспечат требуемое качество обнаружения инцидента.

Так как определение значений ПИн подвержено случайным воздействиям в узлах КТС, и требуется минимизировать время контроля, то для каждого «измерителя» параметра задаются характеристики обнаружения X m за время не более t j :

функции рm ( t t j ), qm ( t t j ),t j = 1,T вероятностей корректного и «ложного»

обнаружения. Вследствие этого качество обнаружения инцидента связывается с граничными вероятностями корректного и «ложного» обнаружения инцидента.

Исходя из вышеуказанных положений, цель исследования заключается в синтезе алгоритмов формирования оптимального контроля инцидентов ИБ в КТС.

Для достижения этой цели необходимо решить следующие частные задачи:

- разработать методику зависимости возникновения инцидентов от факторов нарушения технической политики ИБ;

- выявить контролируемые параметры КТС, по которым возможно оценить нарушение технической политики;

- разработать алгоритм формирования пакета контроля;

- разработать алгоритмы и экспериментальное программное обеспечение для практического определения ПИн КТС.

Выводы к главе 1

Стандарты и руководящие документы, связанные с вопросами управления инцидентами информационной безопасности, не затрагивают технических вопросов построения систем контроля, не конкретизируют технических особенностей нарушений политики безопасности, как основной причины инцидента.

Предложена формальная модель инцидента ИБ в КТС, как специфичного ее состояния, идентифицируемого по отклонениям параметров ее функционирования от их эталонных значений, задаваемых технической политикой ИБ сети.

Анализ известных средств автоматизации контроля инцидентов показал:

инциденты, связанные с нарушением ТПИБ не систематизированы; средства сетевого управления, как правило, имеют в своем составе возможности по обнаружению событий ИБ, но алгоритмы их работы «закрыты», ими невозможно управлять программно.

Задача эффективного контроля инцидентов ИБ в КТС заключается в том, чтобы определить минимальный по количеству контролируемых параметров пакет, найти значения минимального времени на контроль каждого из составляющих пакет параметров.

2 РАЗРАБОТКА МЕТОДИКИ ОПРЕДЕЛЕНИЯ МНОЖЕСТВА

СУЩЕСТВЕННЫХ ФАКТОРОВ ВОЗНИКНОВЕНИЯ ИНЦИДЕНТОВ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Основная проблема в синтезе математических моделей контроля инцидентов ИБ по параметрам КТС заключается в том, что появлению инцидента сопутствует множество различных причин - факторов и обнаружить их проявление можно в самых разнообразных компонентах КТС.
В результате анализа типовой ТПИБ КТС было выявлено 30 таких факторов. Если связать факторы с параметрами функционирования элементов сети, то в реальной КТС (например, состоящей из 1000 узлов) для анализа нарушения должно анализироваться нескольких тысяч параметров. Такой анализ за приемлемое время и без снижения общей производительности КТС бесперспективен. Следовательно, процедура обнаружения инцидентов по параметрам функционирования КТС должна сопровождаться снижением множества факторов – выявлением существенных факторов, влияющих на возникновение инцидента.

В главе предлагается методика «усечения» полного множества факторов нарушения ТПИБ, основанная на систематизации инцидентов ИБ, выявлении взаимосвязи инцидентов с факторами нарушения технической политики КТС и групповом экспертном анализе. Приводятся практические примеры ее применения.

–  –  –

№ Наименование фактора 1 Антивирусная защита (АВЗ) не (установлена и активирована) на – шлюзе доступа (HTTP, FTP трафик) 2 АВЗ не (установлена и активирована) на почтовых системах (SMTP/POP3 трафик) 3 АВЗ не (установлена и активирована) на ФС 4 АВЗ не (установлена и активирована) на РС 5 АВЗ не обновляются централизованно и регулярно 6 Обнаружен неизвестный компонент КИТС 7 Имеется доступ к активному сетевому оборудованию (АСО) не только у СисАдм 8 Разрешен доступ к АСО по протоколу SNMP в режиме изменения 9 Не на всех используемых АСО установлен режим STP 10 Не все неиспользуемые порты АСО отключены 11 Не установлен контроль доступа на границе КИТС для входящих и исходящих данных на сетевом и транспортном уровне 12 Нет аудита контроля доступа по сетевому соединению 13 Имеется «множественный» доступ к журналам аудита 14 Разрешено использование VPN без шифрования данных 15 Не весь входящий и исходящий трафик анализируется на наличие ВП и сигнатур известных атак 16 На РС сетевые конфигурационные параметры не соответствуют шаблону 17 Учетные записи пользователей не актуальны 18 Учетная запись не соответствует роли ее владельца 19 Учетные записи уволенных сотрудников не блокируются и не удаляются 20 Использование некорректных паролей 21 Разрешена установка и/или изменение набора ПО на РС пользователям (не только системному администратору) 22 Не все используемое ПО идентифицировано в реестре разрешенного ПО 23 В РС и/или серверах имеется ПО, сведения о котором не внесены в реестр разрешенного ПО 24 Реестр ПО содержит сведения о ПО с «просроченной» лицензией 25 В папках пользователей присутствует информация «неслужебного» характера 26 Пользователям не запрещено самостоятельно организовывать файловые серверы 27 На РС пользователя открыт общий доступ к папкам 28 Обнаружено подключение портативных мобильных устройств, которые не учтены в реестре аппаратного обеспечения 29 Изменена аппаратная конфигурация РС 30 Изменена аппаратная конфигурация серверов

2.2 Разработка процедуры выявления существенных факторов нарушения технической политики информационной безопасности Выявление существенных факторов нарушения ТПИБ основано на классификации, предложенной в п.2.1 и процедуре групповой экспертизы полного множества факторов способом ранжирования [7, 74] и удаления из данного множества «несущественных» факторов. Разработанную процедуру представим в виде алгоритма, поясняя формальные подходы соответствующими примерами. Заметим, что данный алгоритм описывает процедуру для любого вида инцидента.

Алгоритм выявления существенных факторов нарушения ТПИБ Шаг 1. Задать множество факторов нарушения ТПИБ Ф { Фk }, k 1,...,K.

Отобрать показатели (всего ), определяющие вид ИнИБ - нарушенные меры защиты (НМЗ), приводящие к возникновению инцидента. Соответствие «ИнИБ – НМЗ» показывает таблица 2.4. Знак «+» означает связность вида инцидента с соответствующим нарушением; знак «-» - отсутствие такой связи.

Анализ таблицы 2.4:

- для каждого из пяти выделенных видов инцидентов возможно определить «свои» множества показателей:

ИнИБ1 = {НМЗ1, НМЗ 2, НМЗ 3, НМЗ 6 }, ИнИБ2 = { НМЗ 1, НМЗ 2, НМЗ 4, НМЗ 5, НМЗ 6, НМЗ 7}, ИнИБ3 = { НМЗ 2, НМЗ 4, НМЗ 5, НМЗ 6, НМЗ 7}, ИнИБ4 = { НМЗ 5, НМЗ 6, НМЗ 7}, ИнИБ5 = { НМЗ 2, НМЗ 3, НМЗ 5, НМЗ 6, НМЗ 7};

- зная соответствие факторов нарушения ТПИБ мерам обеспечения ИБ возможно сопоставить определенные подмножества факторов «своему» виду инцидента.

Таблица 2.4 - НМЗ, приводящие к возникновению ИнИБ

–  –  –

чая отсутствия связных рангов. При W 0 согласованность оценок различных экспертов отсутствует, а при W 1 согласованность мнений экспертов полная.

При крайних коэффициентах конкордации могут быть даны следующие рекомендации. Если W 0, то для получения достоверных оценок следует уточнить исходные факторы и (либо) изменить состав группы экспертов. При W 1 не всегда можно считать оценки объективными, поскольку может оказаться, что все члены экспертной группы условились придерживаться одинаковых взглядов.

Необходимо, чтобы найденное значение W было не менее заданного значения:

–  –  –

согласованы в большей мере (сходятся в оценке событий), чем не согласованы.

При W 0.5 оценки нельзя считать в достаточной степени согласованными.

Пример 2.4.

Определим коэффициент конкордации экспертных оценок по НМЗ 1 «Нарушены механизмы идентификации и аутентификации» (таблица 2.7).

Как видно из примера согласованность экспертов достаточно высокая. Конец примера 2.4.

Шаг 5.

Выделить из ранжированного списка факторов три подмножества, в соответствии с предпочтениями экспертов, оценки которых примерно одинаковы для большинства экспертов:

- множество факторов, ранг которых у большинства экспертов максимальный (1 или 2), назовем данное подмножество множеством существенных факторов (СФ);

- множество факторов, не являющихся существенными (ранг которых у большинства экспертов не 1 или 2, но менее 10), назовем данное подмножество множеством малосущественных факторов (МСФ);

Таблица 2.7 - Определение коэффициента конкордации (по показателю НМЗ «Нарушены механизмы идентификации и аутентификации»)

–  –  –

W 0.7(4)

- множество остальных факторов, которые будем рассматривать как несущественные (НСФ). Заметим, что факторы несущественные в рамках данного показателя.

Пример 2.5.

Для рассматриваемой обработка данных экспертизы по показателю НМЗ 1 «Нарушены механизмы идентификации и аутентификации» и применению медианного ранжирования СФ={ Ф17, Ф18, Ф19, Ф20 }. Такое выделение выглядит естественным, т.к. данные факторы необходимо в обязательном порядке учитывать при идентификации инцидента по данному показателю.

Для рассматриваемого примера МСФ={ Ф8, Ф12, Ф14, Ф21, Ф27 }. Заметим, что согласованность экспертов во факторам «второго» плана достаточно высокая (по Ф8 - 8 из 13, по Ф12 – 7 из 13, по Ф14 - 7 из 13, по Ф21 -10 из 13, по Ф27 – 13 из 13). Выявление малосущественных факторов может быть полезно при более точной идентификации вида инцидента. Конец примера 2.5.

В дальнейшем нас будут интересовать только множества СФ и МСФ.

Шаг 6. Обработать результаты экспертизы по всем показателям по аналогии с шагом 3. Получить множества СФ (МБ) и МСФ (МБ ).

Пример 2.6.

Обрабатывая результаты экспертизы по аналогии с примером 2.4, получим следующие подмножества:

- по показателю НМЗ2 (Нарушены механизмы контроля и разграничения доступа к защищаемым ИР) СФ(НМЗ 2 ) = { Ф20, Ф21, Ф22, Ф23 }, МСФ(НМЗ2 ) = { Ф7, Ф8, Ф13, Ф17, Ф25, Ф26 };

- по показателю НМЗ3 (Нарушены механизмы контроля и разграничения доступа к сетевым ресурсам) СФ(НМЗ 3 ) = { Ф7, Ф8, Ф18, Ф19, Ф29 }, МСФ(НМЗ 3 ) = ={ Ф6, Ф11, Ф12, Ф16, Ф17, Ф20, Ф21, Ф26, Ф28, Ф30 };

- по показателю МБ4 (Нарушены механизмы защиты от ВП) СФ(НМЗ 4 ) = { Ф1, Ф2, Ф3, Ф4, Ф17, Ф23 }, МСФ(МБ4 ) = { Ф5, Ф22, Ф25, Ф26, Ф27 };

- по показателю НМЗ 5 (Нарушены механизмы защиты внутренних КС) СФ(НМЗ 5 ) = { Ф11 }, МСФ(НМЗ 5 ) = { Ф4, Ф7, Ф8, Ф9, Ф16, Ф26, Ф27, Ф28, Ф29, Ф30 };

- по показателю НМЗ 6 ( Нарушены механизмы защиты внешних КС) СФ(МБ6 )= { Ф16 }, МСФ(МБ6 )= { Ф1, Ф8, Ф11, Ф12, Ф27, Ф30 };

- по показателю НМЗ 7 (Нарушены механизмы защиты от удаленных атак) СФ(НМЗ 7 ) = { Ф4, Ф8, Ф12, Ф17, Ф29 }, МСФ(НМЗ 7 ) = { Ф6, Ф11, Ф12, Ф16, Ф17, Ф20, Ф21, Ф26, Ф28, Ф30 }.

Для наглядности выявленные существенные (обозначены символом «х») и малосущественные (обозначены символом «0») факторы для нарушенных мер ТПИБ представлены таблицей 2.8.

Таблица 2.8 - Существенные и малосущественные факторы

–  –  –

Сводная таблица 2.9 показывает соответствие «инциденты - существенные и малосущественные факторы».

Таблица 2.9 - Существенные и малосущественные факторы инцидентов ИБ

–  –  –

Анализ данных таблицы 2.9:

- строки Ф10, Ф15, Ф24 не помечены знаками СФ и МСФ ни для одного ИнИБ. Это означает, что, по коллективному мнению экспертов, данные факторы (Ф10 – «Не все неиспользуемые порты АСО отключены», Ф15 – «Не весь входящий и исходящий трафик анализируется на наличие ВП и сигнатур известных атак», Ф24 – «Реестр ПО содержит сведения о ПО с «просроченной» лицензией») напрямую не приводят к серьезному нарушению ТПИБ. Следовательно, из дальнейшего рассмотрения данные факторы следует исключить;

- в практической работе для повышения производительности контроля инцидентов возникает возможность ограничиться только анализом существенных факторов.

Конец примера 2.6.

Шаг 6. Получить множество существенных факторов объединением множеств СФ для каждого инцидента: ФСФ ФСФ, 1,...,. Конец алгоритма.

Пример 2.7.

Полное множество СФ для всех видов инцидентов получаем объединением множеств СФ для каждого инцидента (таблица 2.10):

СФ(ИнИБ1) = { Ф7, Ф8, Ф18, Ф19, Ф20, Ф23, Ф29 };

СФ(ИнИБ2) = { Ф1, Ф2, Ф3, Ф4, Ф8, Ф11, Ф12, Ф16, Ф17, Ф18, Ф19, Ф20, Ф23 };

СФ(ИнИБ3) = { Ф1, Ф2, Ф3, Ф4, Ф8, Ф11, Ф12, Ф16, Ф17, Ф20, Ф21, Ф22, Ф23 };

СФ(ИнИБ4) = { Ф4, Ф8, Ф11, Ф12, Ф16, Ф17, Ф23 }.

СФ(ИнИБ5) = { Ф4, Ф7, Ф8, Ф11, Ф12, Ф16, Ф17, Ф18, Ф19, Ф20, Ф21, Ф22, Ф23 }.

Конец примера 2.6.

Таким образом, удалось уменьшить количество факторов, влияющих на возникновение инцидентов ИБ и выявить их совокупности, позволяющие идентифицировать вид инцидента (с 30 до 17, т.е. почти в два раза). На рис.2.1 представлена блок – схема описанного алгоритма.

Таблица 2. 10 - Существенные факторы возникновения инцидентов

–  –  –

Выводы к главе 2 Предложена классификация инцидентов ИБ по признаку «нарушение технической политики ИБ». Выделены характерные особенности пяти типов инцидентов: «Не устранённая уязвимость», «Не обнаружена реализация угрозы», «Нет защиты от реализованной угрозы», «Реализация неизвестной угрозы», «Не устраняется воздействие реализации угрозы».

Разработана методика формирования множества существенных факторов возникновения инцидентов информационной безопасности, которые определяют параметры контроля. В основе методики использован способ «усечения» полного множества факторов нарушения ТПИБ по разработанным правилам. На первом этапе методики выявляется взаимосвязь инцидентов разного типа с факторами нарушения конкретной технической политики. На втором этапе выполняется групповой экспертный анализ факторов, в основе которого использован способ группового ранжирования при обеспечении согласованности экспертов.

Практическое применение методики позволяет уменьшить количество факторов в среднем в 1.5 – 2 раза. Данный «выигрыш» зависит от особенностей конкретной КИТС и действующей технической политики.

–  –  –

3 РАЗРАБОТКА МАТЕМАТИЧЕСКИХ МОДЕЛЕЙ И АЛГОРИТМОВ

ОПТИМИЗАЦИИ КОНТРОЛЯ ИНЦИДЕНТОВ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Оптимизация контроля инцидентов ИБ заключается в формировании оптимального пакета контроля. Оптимальным в предлагаемом подходе считается такой пакет, который содержит минимальное количество контролируемых параметров, которые в совокупности обеспечивают обнаружение инцидента определенного вида с вероятностью не хуже заданной. Контролируемые параметры пакета должны быть «распределены» по узлам КТС. Кроме того, для повышения оперативности обнаружения инцидента время, отводимое на контроль каждого параметра, должно быть минимально возможным. Для обнаружения инцидента по совокупности событий нарушения ТПИБ необходимы решающие правила, на основе которых автоматизированной системой контроля буде принято решение о наличие инцидента ИБ.

В главе разрабатываются математические и алгоритмические модели формирования пакета контроля инцидентов ИБ в КТС и распределения контролируемых параметров по узлам сети.

–  –  –

Пусть контролируется один вид инцидента. Исходные данные: i ( i = 1,I ) номер узла КТС; j ( j = 1, J ) - номер контролируемого параметра; tij - затраты времени на определение СоИБ Х ij ; функции вероятностей корректного и «ложного»

обнаружения Х ij, заданные массивами pkt, qkt,k 1,..., K ; K I J ; t 1,..., T. Требуется

- определить минимальный пакет контроля инцидента Mk min, распределить контролируемые параметры по узлам.

Алгоритм формирования пакета контроля инцидентов Шаг 1. Задать матрицу ij наличия контролируемого параметра j в узле i, P* и Q * - граничные вероятности корректного и «ложного» обнаружения инцидента пусть Mk K.

Пример 3.1.

Пусть матрицы pkt и qkt, полученные экспериментально, представлены таблицами 3.1 и 3.2 соответственно.

–  –  –

значения по комбинации Х k в соответствии с номером набора событий l. НабоM ры будем обозначать lt k. Получить массив lt, где lt = Plt / Qlt.

Пример 3.2.

Таблица 3.3 содержит значения вероятности корректного и «ложного» обнаружения инцидента, полученные на всех возможных наборах событий ( 2m1 1 ) в фиксированные моменты времени в соответствии с примером

3.1. Сверху в ячейках значения PИН lt, снизу - QЛТ lt. Таблица 3.4 содержит значения lt. Конец примера 3.2.

–  –  –

Шаг 3. Отобрать множество наборов событий по правилу: lMk, если lt P * / Q*, l = 0,...,( 2Mk - 1), t = 1,T. Каждому набору из поставить в соответствие Pltmin. Выполнить сортировку по убыванию Pltmin.

–  –  –

Новое значение 11. PИН 0.85 P*. Конец примера 3.4.

Шаг 6. Выполнить минимизацию логической функции, образованной дизъюнкцией термов в. Число оставшихся логических переменных определяет значение Mk min. Данная функция представляет собой совершенную дизъюнктивную нормальную форму (СДНФ), так как содержит логические термы максимального ранга. Формально минимизация есть процесс получения минимальной ДНФ (МДНФ) исходной логической функции, которая содержит минимальное количество логических переменных и логических операций над ними. Конец алгоритма.

Пример 3.5.

Выполним минимизацию функции, составленной при использовании результатов таблицы 5, применив метод Квайна – Мак Класки. Получим минимальную дизъюнктивную нормальную форму МДНФ= X 1 X 2 X 1 X 3 X 4 X 5 X 2 X 3 X 4 X 5 X 2 X 3 X 4 X 5.

Конец примера 3.5.

–  –  –

PИНlt P* соответствуют наборы с номерами 1690, 1691, 1692, 1693, условию min l 1 1694, 2190, 2191, 2192, 2193.

Минимальное суммарное время на контроль (12 единиц) имеют наборы с номерами 1691 и 2191. Из них выбираем набор номер 1691, так как он обеспечивает большую вероятность обнаружения (0.95) по сравнению с набором 12 (0.9).

Таким образом, чтобы обеспечить требуемую вероятность обнаружения инцидента за минимальное время, необходимо параметр 1 в первом узле измерять 2 ед.времени, параметр 2 в первом узле – 3 ед.времени, параметр 2 в узле 2 – 3 ед.времени, первый и второй параметры в 3 узле по 2 ед.времени. Из практических соображений иногда может быть желательно, чтобы длительности оценки параметров в одном узле была не только минимальной, но и одинаковой. Для нашего примера следует ввести коррекцию – 1 и 2 параметры измерять по 3 ед.времени. Это сделать можно, так как вероятность обнаружения по каждому контролируемому параметру с увеличением времени растер, а вероятность ложной тревоги – уменьшается. Конец примера 3.6.

На рис. 3.1 представлена блок-схема обобщенного алгоритма нахождения минимального набора контролируемых параметров, распределения их по узлам, и нахождения минимально допустимого времени на контроль каждого параметра.

Выводы к главе 3

Разработан алгоритм формирования оптимального пакета контроля инцидентов ИБ в КТС, основанный на анализе статистических характеристик обнаружения событий ИБ по значениям контролируемых параметров, выделении комбинаций, обеспечивающих допустимые вероятностные характеристики обнаружения. Отличительной особенностью по сравнению с логико-статистическим подходом является включение в методику этапа логической минимизации наборов комбинаций событий, в результате которой достигается минимальное число событий, и как следствие, контролируемых параметров.

Дополнительные возможности предложенного подхода связаны с разработкой процедуры расстановки параметров оптимального пакета контроля по узлам КТС и решением задачи выбора минимального времени, достаточного для контроля инцидентов с заданными показателями эффективности обнаружения, что позволяет повысить производительность системы контроля инцидентов за счет снижения суммарного времени на контроль.

Предложен алгоритм обнаружения инцидента ИБ в КТС, основанный на переборе всех возможных комбинаций событий ИБ, имеющих вид бинарных сигналов и полученных при измерении параметров оптимального пакета контроля.

Преимуществом предлагаемого подхода является использование минимального количества анализируемых комбинаций событий, обеспечивающих обнаружение инцидента с вероятностью не хуже заданной.

Конец

–  –  –

Практическая реализация моделей и алгоритмов, предложенных в предыдущих главах, требует системного подхода, то есть рассмотрения предложенных средств в их взаимосвязи, что предопределяет построение системы с выделением подсистем (блоков) с четко ограниченными функциональными свойствами, а также алгоритмизацию системных функций.

В главе предлагается структурная модель системы контроля инцидентов ИБ в КТС (СКИн), описывается алгоритм ее функционирования. Приводятся результаты экспериментов по определению статистических характеристик обнаружения событий ИБ разработанными средствами. Рассматриваются примеры практической реализации функциональных блоков системы контроля.

4.1 Структурная схема системы контроля инцидентов. Порядок функционирования Структурная схема СКИн представлена на рисунке 4.1. На схеме выделены следующие функциональные блоки:

1. Блок управления измерителями (БУИ). Измеритель – это программный модуль, позволяющий «измерить» значение контролируемого параметра, который, как правило, представляет собой текстовый файл настройки соответствующего средства защиты в узле КТС. Источником параметров в большинстве являются системные средства ОС и программ-приложений. БУИ осуществляет настройку дистрибутивов измерителей в соответствии с определенными параметрами, такими как тип устройства, адрес и т.д., формирует пакет измерителей для конкретного узла с номером, задаваемым из БУ, выставляет сигнал для БУ, что пакет измерителей для узла сформирован. При настройке измерителя под конкретный узел использует данные об архитектуре узлов КИТС (из БХПА).

–  –  –

Рисунок 4.1 – Структурная схема системы контроля инцидентов

2. Блок хранения статистических характеристик обнаружения событий ИБ (БХСХИ) – для каждого параметра и каждого узла хранятся массивы вероятностей корректного и «ложного» обнаружения СоИБ.

3. Блок хранения дистрибутивов измерителей (БХДИ) – содержит исходные коды программных модулей, для формирования объектных модулей программ необходима соответствующая компиляция и настройка под операционную среду узла.

4. Блок управления (БУ) – осуществляет координацию работы всех компонентов системы, инициирует запросы на формирование и настройку измерителей, распределяет пакеты с измерителями по сетевым узлам, управляет получением значений контролируемых параметров. В состав БУ включен блок формирования решающего правила (БФРП), который в соответствии с множеством параметров для контроля и статистическими характеристиками обнаружения СоИБ «вычисляет» решающее правило обнаружения инцидента. В состав такого правила в соответствии с алгоритмами главы 3 включен оптимальный набор контролируемых параметров, их расстановка по узлам КТС, задание времени на контроль каждого параметра.

5. Решающий блок (РБ) – формирует массив событий ИБ на основе сравнений значений контролируемых параметров с их эталонными значениями из БХП, вычисляет значение логической функции обнаружения, выставляет сигнал «Инцидент».

6. Блок временного хранения данных (БВХД) - служит хранилищем, которое используется для записи результатов работы измерителей.

7. Блок хранения параметров архитектуры (БХПА) КТС содержит сведения об особенностях операционной среды каждого узла, что позволяет настраивать измерители под конкретные условия применения.

8. Блок формирования программы «решения» инцидента (БФПРИ) служит для автоматизации формирования задания на устранение инцидента и/или его последствий. Под программой «решения» инцидента ИБ понимается автоматизированная процедура формирования объема работ по восстановлению структурно функциональных компонент «инцидентных» узлов КТС. Выполнение программы позволяет восстановить требования действующей технической политики. Данный блок формирует программу Ин по типу инцидента, событиям ИБ, его составляющих, характеристикам «инцидентных» узлов.

9. Блок администраторов (БА). Задачей БА является исполнение предписаний программы «решения» инцидента. В блоке происходит распределение работ по администраторам (исполнителям) и выполнение этих работ.

10. Блок формирования отчетов (БФО). Задачей БФО является представление в виде документированного отчета сведений о текущем, прошедшем и прогнозируемом состоянии КТС по запросу. При получении запроса (извне) о формировании отчета, БФО отправляет запрос на получение требуемых сведений БАПР.

После получения запрошенных данных от БАПР, БФО обрабатывает их и формирует отчет в одной из требуемых форм. Входными данными БФО являются сведения о текущих значениях (последний раз измеренных) параметров инцидентов, событиях ИБ, исполненных и сформированных программах «решения». Выходными данными являются запрошенные сведения о функционировании СКИн в виде документированного отчета.

На схеме обозначены:

U = { u1,...,uU } - узлы КТС;

PK - множество контролируемых ПИн;

множество дистрибутивов измерителей, VV * - множество «настроенных» измерителей;

PK изм - множество результатов;

PK эт - «профиль» ТПИБ.

Алгоритм работы системы:

Шаг 1. Задание на контроль: вид инцидента, P * и Q *. Если требуется «тотальная» проверка, то на контроль определяются все М * параметров.

Шаг 2. Выполнить процедуру формирования ПК (см. главу 3). В результате сформирован ПК с Mk min в виде tij, i = 1,Mk min ; j = 1,U * ; U* U ( U * - число узлов, отобранных для контроля, t ij - время на контроль i -го ПИн в j -м узле). Если tij = 0, то параметр на конкретном узле не отобран для контроля.

Шаг 3. Процесс формирования массива «измеренных» параметров (МИП):

сбросить «МИП готов»; отправить запрос на установление связи с узлом u j ; timeout. Если ответа нет, и истекло время ожидания, то сообщение «Узел j не отвечает. Продолжить контроль?». Если продолжение контроля возможно, то переход к шагу 4, иначе конец алгоритма.

Шаг 4. Процедура формирования общего пакета измерителей (ОПИ) для узла: «сбросить» «Сформирован ОПИ»; очистить предыдущий ОПИ; начиная с i = 1, пока ( i Mk min и tij ) получать файлы дистрибутивов измерителей из БХДИ, «настраивая» их и добавляя в ОПИ. Выставить флаг «Сформирован ОПИ».

Шаг 5. Отправить ОПИ в u j, time-out. Если продолжение контроля

–  –  –

перейти к шагу 7; иначе перейти к анализу параметров следующего узла ( j = j + 1 ) – к шагу 4.

Шаг 7. «Пуск РБ». Сравниваются PK изм с PK эт, вычисляются логические функции Yv по значениям Xi, i Mk min ; если Yv = 1, то выставляется флаг «Обнаружен инцидент», прейти к шагу 8; иначе конец алгоритма.

Шаг 8. Инициировать процесс формирования программы «решения»

инцидента. Выполняется БФПРИ: выбирается либо типовая программа, либо синтезируется новая - ИН. (Пример процесса синтеза программы «решения»

инцидента приведен в приложении 4). Исполнить программу: передать программу в БА, ждать завершения. Сохранить исполненную программу. Конец алгоритма.

4.2 Особенности практической реализации системы контроля инцидентов А. Измерители параметров инцидентов (ИПИ) – основные элементы системы контроля. Это программные модули, позволяющие определить значение параметра. ИПИ запускаются на удаленных устройствах (РС, сервер, АСО) и передают на выход результаты работы. Ошибки первого и второго рода при обнаружении событий ИБ обусловлены рядом особенностей, как работы самой программы, так и узла, на котором происходит выполнение программного кода. Из наиболее значимых, можно выделить следующие:

1. ограничение максимально допустимого времени работы программы;

2. последовательное считывание данных, составляющих значение параметра;

3. ошибки при чтении конфигурационных файлов вследствие изменения прав доступа – отклонений по сути нет, хотя данные параметра изменены;

4. отключение узлов во время работы программы ИПИ;

5. изменение конфигурационных файлов узлов (плановые изменения в ОС) и др.

Исходные коды ИПИ представлены в Приложении 2. Далее приводятся результаты экспериментальной оценки статистических характеристик обнаружения СоИБ по данным, полученным ИПИ.

Основными статистическими характеристиками являются функции вероятности корректного и «ложного» обнаружения события, заданные массивами max pkt, qkt k = 1,...,K ; K = I J ; t = 1,...,T, T = max( t ij ). В дальнейшем двойные индексы будем опускать, полагая идентичность РС, серверов и АСО (в рассматриваемой задаче это вполне приемлемо).

Для «снятия» характеристик обнаружения была создана экспериментальная установка (рисунок 4.2).

Она состояла из 4 элементов:

конечная станция (Компьютер A), работающая в режиме настройки и 1.

пересылки ИПИ, а также получения результатов значений параметров;

фрагмент телекоммуникационной сети с управляемыми настройками 2.

сетевого оборудования (маршрутизатор);

конечная станция (Компьютер B), которая работает в режиме получателя ИПИ, выполнения программы измерения параметра и отправки результатов компьютеру А;

конечная станция (Компьютер C), которая «нагружает»

4.

маршрутизатор, имитируя среднюю загрузку в КТС, а именно: опрашивает маршрутизатор, отправляя эхо-запросы на него.

При работе экспериментальной установки приняты следующие соглашения:

- в процессе измерения используется «чистая» КТС (на систему в это время не проводилось атакующих воздействий, ПО и аппаратные средства элементов функционируют без сбоев и т.п.);

- внешние условия (по отношению к наблюдаемому элементу) не изменяются (например, характер сетевого взаимодействия элемента неизменен на протяжении процесса функционирования);

- внутренние свойства системы, изменение которых может повлиять на показания измеряемых параметров, также оставались неизменными (списки пользователей и их права, набор установленного ПО и т.д.).

–  –  –

Эксперимент по формированию массива значений вероятности корректного обнаружения СоИБ за время не более заданного заключался в следующем:

1. В узле А создавался модуль программы – измерителя параметра, кроме того, А хранил эталонное значение параметра;

2. В узле В в настройках источника контролируемого параметра (текстовый файл, используемый либо системными средствами ОС, либо программамиприложениями) случайным образом изменялся один символ. В результате измененный символ находился в разных местах файла. Кроме того, в узле запускались программы-приложения, имитирующие обычную работу рабочей станции;

3. Задавалось время на контроль (в ИПИ). Сначала определялись границы времени обнаружения, далее временные отрезки распределялись равномерно (до 100 интервалов в зависимости от параметра). Из А измеритель отправлялся в В, ожидался ответ. Если за заданное время тайм-аута в А приходил пакет с результатом работы измерителя, то сравнивались измеренное значение с эталонным. В случае несовпадения фиксировалось СоИБ. Если за время тайм-аута ответа не было, результат работы ИПИ считался не корректным.

4. Узел С равномерно «подгружал» маршрутизатор.

5. На каждое значение задаваемого времени контроля процедура обнаружения события осуществлялась 100 раз. Относительная частота обнаружения СоИЮ дает одну точку графика.

Эксперимент по формированию массива значений вероятности «ложного»

обнаружения СоИБ за время не более заданного заключался в следующем:

1. В узле А создавался загрузочный модуль программы – измерителя параметра, кроме того, А хранил эталонное значение параметра;

2. В узле В фиксировалась эталонная настройка источника контролируемого параметра, в узле запускались программы-приложения, имитирующие обычную работу рабочей станции;

3. Задавалось время на контроль (в ИПИ). Сначала определялись границы времени обнаружения, далее временные отрезки распределялись равномерно (до 100 интервалов в зависимости от параметра). Из А измеритель отправлялся в В, ожидался ответ. Если за заданное время тайм-аута в А приходил пакет с результатом работы измерителя, то сравнивались измеренное значение с эталонным. В случае несовпадения фиксировалось СоИБ. Если за время тайм-аута ответа не было, результат работы ИПИ считался не корректным.

4. Узел С равномерно «подгружал» маршрутизатор.

5. На каждое значение задаваемого времени контроля процедура обнаружения события осуществлялась 100 раз. Относительная частота обнаружения СоИБ дает одну точку графика.

Экспериментально полученные значения статистических характеристик обнаружения:

- Измерителя №1 параметров «АВЗ не установлена и активирована на шлюзе доступа (HTTP, FTP трафик)», «АВЗ не установлена и активирована на почтовых системах (SMTP/POP3 трафик)», «АВЗ не установлена и активирована на ФС», «АВЗ не установлена и активирована на РС» представлены на рис. 4.3, а.

Длительность контроля: мин = 421 мс, макс = 590 мс, ср = 505 мс;

- Измерителя №2 параметра «Имеется доступ к активному сетевому оборудованию не только у системного администратора» представлены на рис. 4.3, б. Длительность контроля: мин = 545 мс, макс = 1084 мс, ср = 766 мс;

- Измерителя №3 параметра «Разрешен доступ к АСО по протоколу SNMP в режиме изменения» (рис. 4.3, в). Длительность контроля: мин = 497 мс, макс = 814 мс, ср = 604 мс);

- Измерителя №4 параметров «Не установлен контроль доступа на границе КИТС для входящих и исходящих данных на сетевом и транспортном уровне» и «Нет аудита контроля доступа по сетевому соединению» (рис. 4.3,г).

Длительность контроля:мин = 501 мс, макс = 755 мс, ср = 607мс;

- Измерителя №5 параметра «На РС сетевые конфигурационные параметры не соответствуют шаблону (Политике)» (рис 4.3, д). Длительность контроля:

мин = 896 мс, макс = 1551 мс, ср = 1256 мс;

- Измерителя №6 параметра «Учетные записи пользователей не актуальны»

мин = 983 мс, макс = 2841 мс, ср = (рис. 4.3, е). Длительность контроля:

1831 мс;

- Измерителя № 7 параметра «Учетная запись не соответствует роли ее мин = 714 мс, макс = владельца» (рис. 4.3, ж). Длительность контроля:

1401 мс, ср = 1016 мс;

–  –  –

- Измерителя №8 параметра «Учетные записи уволенных сотрудников не блокируются и не удаляются» (рис. 4.3, з). Длительность контроля: мин = 714 мс, макс = 1401 мс, ср = 1016 мс;

- Измерителя №9 параметра «Использование некорректных паролей» (рис.

4.3, и). Длительность контроля: мин = 312 мс, макс = 744 мс, ср = 516 мс;

- Измерителя №10 параметра «Разрешена установка и/или изменение набора ПО на РС пользователям (не только системному администратору)» (рис. 4.3, к).

Длительность контроля: мин = 378 мс, макс = 718 мс, ср = 533 мс;

- Измерителя №11 параметров «Не все используемое ПО идентифицировано в реестре разрешенного ПО» и «В РС и/или серверах имеется ПО, сведения о котором не внесены в реестр разрешенного ПО» (рис. 4.3, л). Длительность контроля: мин = 1211 мс, макс = 2135 мс, ср = 1719 мс;

- Измерителя №12 параметра «Изменена аппаратная конфигурация РС»

(рис. 4.3, м). Длительность контроля: мин = 1256 мс, макс = 2126 мс, ср = 1790 мс.

Таблица 4.3 содержит сведения об источниках измеряемых параметров, характеристиках обнаружения и особенностях измерения.

–  –  –

Рисунок 4.4 - Интерфейс АРМ администратора CSNM v.

1.0.

С целью обеспечения совместимости при обмене структурированными данными между компонентами комплекса, разработаны протоколы на основе расширяемого языка разметки XML. Для защиты от атак класса Man in the middle (MitM) служебный трафик шифруется, с применением криптографического алгоритма с открытым ключом RSA.

В. Программный комплекс администрирования корпоративной сети передачи данных DTNAM v1.0 (Data Transmission Network Administrator Manager [90] позволяет автоматизировать процессы, предусмотренные функциональными блоками БА и БАПР (СКИн). В основу DTNAMv.1.0 легли модели и алгоритмы, описанные в [33-35, 40-48, 53, 58, 62, 64-66, 71, 115]. Архитектура системы предполагает три основные группы пользователей: пользователи, администраторы, диспетчер. Обобщенная структура программного комплекса в виде диаграммы развертывания в нотации UML, алгоритмы функционирования каждой из групп пользователей, модель данных БД в виде диаграмм в нотации Баркера описаны в [62, 64, 66, 71]. DTNAM v.0.1 был развернут в сегменте КТС ОАО «Завод «Автоприбор».

Период тестовой эксплуатации комплекса составлял 1 месяц, в процессе которого проводились замеры следующих показателей: время ожидания заявки пользователей, обнаруживших проявление инцидента ИБ, на обработку; время выполнения функции устранения инцидента; назначения исполнителя на решения инцидента.

Рассматриваемые показатели фиксировались средствами DTNAMv.0.1.

Усредненные показатели периода тестовой эксплуатации комплекса и аналогичные показатели за период предшествующий внедрению представлены в таблице 4.4. Уточним, что исследуемые показатели периода предшествующего периоду тестовой эксплуатации системы были получены из базы данных функционирующей на предприятии системы поддержки пользователей Servise Desk. Минимальное время ожидания заявки пользователей, обнаруживших проявление инцидента ИБ, на обработку в среднем снизилось в 3 раза, максимальное время ожидания заявки - на 16,7%, среднее время - на 33%; минимальное время выполнения функции устранения инцидента не изменилось, максимальное время снизилось до 17%, среднее время снизилось на 25%; снизилось время назначения исполнителя на решения инцидента. Отметим что, период тестовой эксплуатации не достаточно продолжителен, однако наблюдаемое снижение среднего времени по всем показателям позволяет говорить об эффективности применяемых методов.

–  –  –

С. Дополнительные программные средства:

- комплекс для расчета значимости элементов корпоративной сети передачи данных [89] позволяющий автоматизировать процесс назначения исполнителей на выполнение работ по восстановлению КТС после обнаружения инцидента ИБ;

- автоматизированная система расчета статических характеристик инцидентов информационной безопасности КСПД АСУП [91], позволяющая автоматизировать процедуры выявления наиболее важных «инцидентных» сетевых узлов;

- программные модули системы поддержки принятия решения административного управления корпоративной АСУ для формирования оптимальной очереди задач администрирования [92], расчета показателей значимости ресурсов программно-технической инфраструктуры [93] и имитационного моделирования процессов администрирования [94], позволяющие администратору безопасности принять оптимальное решение по восстановлению производительности КТС после обнаружения инцидента;

- система анализа защищенности объекта информатизации SaNaS 1.0 [95] и ее база данных [88], позволяющие моделировать разнообразные ситуации с формированием технической политики ИБ (и, соответственно, построения СЗИ).

4.3 Оценка эффективности функционирования системы контроля инцидентов Время цикла контроля будет рассматриваться как основной показатель эффективности процессов контроля инцидентов в КТС. Составляющие цикла:

1. T1 – время измерения параметров инцидентов. Для пакета ПК(m1) определим затраты времени на выполнение действий по измерению каждого параметра

pi, i m1 и сопоставлению с эталоном следующим образом. Введем обозначения:

св

- t i - затраты времени на установление связи с источником pi. Данное время необходимо на взаимное «узнавание» источника и приемника данных и может быть в среднем оценено половиной тайм-аута, отводимого на данную процедуру (заметим, что элемент КТС (например, РС), может в данный момент быть отключен, занят и т.п). Для типовой сети это постоянная величина, равная приблизительно 250 мс;

- t iзап - затраты времени на установку (настройку) ПО ИПИ «по месту» и его запуск. Здесь, как минимум, необходимо проверить установку необходимых для работы ПО измерителя системных средств);

- t iизм - затраты времени непосредственно на измерение (задается программой контроля и обеспечивается в обязательном порядке);

- t iдос - затраты времени на доставку результатов измерения. Здесь включены процедуры установления связи «источник-приемник», ожидание и прием результата от измерителя, а также восстановление работы элемента КТС с контролируемым параметром (удаление ПО измерителя). Данное время в первом приближении может быть оценено половиной тайм-аута, отводимого на соответствующую процедуру (250 мс);

рез

- затраты времени на «сопоставление» результатов измерения параti метра, полученного от измерителя, с его эталонным значением.

–  –  –

2. T2 - время обнаружения инцидента. Это время синтеза по данным измерений логической функции и ее вычисления. Длительностью данного этапа для практической оценки эффективности СКИн можно пренебречь.

3. T3 - время идентификации инцидента. Данный этап цикла возникает, если проводится тотальный контроль, проверяются все параметры инцидентов на всех узлах. Идентификация проводится по сопоставлению единичных событий с типовым для каждого типа инцидента. Задача чисто вычислительная, не требующая существенных затрат времени (по сравнению с T1 ).

4. T4 - время формирования программы «решения» инцидента. Данное время состоит из «идентификации» параметров «инцидентных» узлов и решения задачи назначения работ по приведению характеристик «инцидентных» узлов профилю Политики. Данная вычислительная задача не трудоемка, и длительностью этапа можно пренебречь.

5. T5 - время выполнения программы «решения» инцидента. Пусть определены события ИБ - X i, i m1. Все компоненты, параметры которых не соответствуют Политике ( X i 0 ), должны быть «восстановлены». Прогнозируемое время ~, i m, a A выполнения функции восстановления значения i – го параметра t ia 1 a - м исполнителем (системным администратором), в общем случае, зависит от ~ типа «инцидентного» узла u j, вида работы pk i, «назначения» ia исполнителя на работу и профессиональных качеств (компетентности k ia ) исполнителя:

~ = f ( u, k,, pk ), f - функционал.

~ j ia ia i tia Компетенция – интегральный показатель, отражающий уровень знаний, умений и опыта исполнителя работ [67]. В простейшем случае за значение kia примем вероятность выполнения функции за время, не превышающее нормативн ное время t iн : kia = p( t ia t i ). Значения k ia используются для решения оптимизационных задач назначения исполнителей на работы [48, 61, 71]. Суммарное время выполнения программы «решения» инцидента T5 зависит от общего количества исполнителей (если число исполнителей меньше количества работ, то создаются «очереди» работ). Если имеется достаточное количество исполнителей, и допускается параллельное (одновременное) исполнение, то T5 определяется самой

–  –  –

6. T6 - время завершения инцидента. Завершается инцидент формированием отчета и запоминанием успешно реализованной программы решения инцидента.

Отчет формируется из готовых форм. Длительность данного этапа (по крайней

–  –  –

T5. Таким образом, Tц T1 + T5.

Замечание. В диссертации рассматриваются в основном средства определения T1. Поэтому снижение времени цикла контроля будет достигаться, в основном, уменьшением суммарного времени измерения параметров инцидентов.

Рассмотрим пример оценки среднего времени контроля инцидентов для фрагмента КТС Предприятия. Исследуемый фрагмент состоит из шести подсетей, содержащих от 3 до 25 узлов – РС и серверов. Для объединения узлов в рамках подсетей используются 8 коммутаторов. Подсети объединены посредством трех маршрутизаторов, доступ в Интернет обеспечивает пограничный маршрутизатор.

Характеристики сетевых узлов:

РС (49 единиц) - ОС Windows 7 (64-bit), процессор IntelPentiumG645 (2.9 ГГц), оперативная память DDR 3 (4 Гб, частота 1333 MHz), HDDSATA 500Гб;

- серверы (7 единиц: 1 север-шлюз доступа, 1 почтовый сервер, 5 файловых сервера (они же серверы корпоративных приложений) – все HewlettPackard (HP) 385841-421 DL320G3 P3.0-2MB 1GBA80 VPN (P4-3.0Ghz 2Mb/ 1x1024mb /SATARAID 80GbHDD / CD / 2x10/100/1000NIC/ISA);

- коммутаторы (8 единиц) - Cisco Catalyst 2960 Series Intelligent Ethernet Switch (24 порта, 10/100 Fast Ethernet и 10/100/1000 Gigabit Ethernet);

- маршрутизаторы (4 единицы) - Cisco 2911/K9, Ethernet 10Base-T/100BaseTX/1000Base-T.

Характеристики измерителей в данной сети (режим обнаружения события с вероятностью равной 1) сведены в таблицу 4.5.

Вычислим время контроля:

- для маршрутизаторов. Пограничный маршрутизатор (контролируемые параметры 7 и 8). Общее время контроля параметров пограничного маршрутизатора 755 + 500 = 1255мс (оба параметра измеряются одним измерителем). Остальные маршрутизаторы (3 единицы, параметры 5 и 6). Общее время контроля ( 1084 + 814 + 500 ) 3 = 7194мс 0.1мин.

Общее время контроля 686 + 23.3 + 19.2 + 7.2 = 735.7 с 12.3мин.

Нетрудно видеть, что основной вклад в общее время контроля вносит измерение параметров рабочих станций. Например, в сети, в которой на каждые 15 компьютеров выделен 1 коммутатор, на три коммутатора выделен 1 маршрутизатор (маршрутизатор имеет один резервный порт), время контроля при 100 рабочих станциях 24.1 мин, для 200 РС 47.9 мин, для 500 РС 1.9 час, для 1000 4 час.

Таблица 4.5 - Характеристики измерителей анализируемой сети

–  –  –

Конечно, 4 часа на контроль инцидентов – значительное время, за такой промежуток КИТС может прекратить выполнять свою основную функцию. Необходимы средства повышающие производительность СКИн (в части снижения длительности цикла).

–  –  –

Повышения производительности СКИн можно достичь двумя путями:

- уменьшением количества контролируемых рабочих станций;

- реализацией способа многопоточности в цикле контроля.

1. Уменьшение количества контролируемых РС.

Инцидент ИБ, как правило, приводит к снижению системной производительности КТС. В [46] рассматривается возможность идентификации сетевого сегмента с «нарушением» системной производительности. «Узнавание» сегмента с инцидентом происходит по сопоставлению маршрутных таблиц маршрутизаторов. Алгоритм обнаружения подсетей с возникшим инцидентом информационной безопасности приведен в приложении 3. В результате контроль ограничивается одним сегментом сети. Как правило, сетевой сегмент содержит 3-4 коммутатора и 12-20 компьютеров, подключенных к каждому коммутатору. Рис. 4.6 иллюстрирует относительное снижение времени контроля при данном подходе.

Рисунок 4.6 – Относительное снижение времени контроля (цифрами обозначены «1» -20 РС в сегменте (верхний, синий), «2» – 40 РС (средний, красный), «3» - 60 РС (нижний, зеленый)).

Из графиков видно, что существенное (более 50%) снижение времени контроля наблюдается уже в КТС, имеющей порядка 150-200 РС.

Недостаток данного похода состоит в том, что считается, что инцидент ИБ произошел в одной подсети. При множественных инцидентах выигрыш может быть не столь очевиден.

2. Реализация способа многопоточности в цикле контроля.

Модернизируем «списковый» алгоритм контроля, при котором перед посылкой очередного ОПИ ожидается МИП с предыдущего узла. Изменение алгоритма происходит следующим образом: в очередь посылаются все ОПИ для всех узлов, далее принимаются МИПы от узлов с подготовленными данными, неважно, в каком порядке. Естественно предположить, что к моменту отсылки последнего ОПИ некоторые данные будут уже готовы. Оценить снижение времени контроля при данном подходе достаточно сложно, оно зависит от текущего состояния КТС. Если сеть в данный момент работает с номинальной производительностью, и инцидентов сильно на это влияющих нет, то время контроля будет складываться из длительности передачи всех ОПИ и длительности приема всех МИПов, то есть, по сути, длительностями тайм-аутов.

Здесь есть ограничение. Данные первого узла должны быть готовы сразу после отправки последнего ОПИ.Для примера в предыдущем разделе (49 РС, 7 серверов, 8 коммутаторов и 4 маршрутизатора) длительность отправки всех ОПИ равна 250 49 12250 мс 12.3с, а время готовности данных первого узла составляет 250 13621 13871мс 14с. Это означает, что система контроля должна ждать 1.7 с. Общее время контроля 40 с, что значительно меньше. Выигрыш больше, если не надо «ждать» результатов. Для нашего примера это достигается, если число РС увеличится минимум до 56.

Дальнейшее снижение времени контроля может быть достигнуто при использовании широковещательного ОПИ, но данный подход применим только при тотальном контроле.

Выводы к главе 4 Предложена структурная модель системы контроля инцидентов ИБ, отличающаяся введением в состав структуры блоков, позволяющих сформировать оптимальные пакеты контроля, учесть архитектуру КТС, варьировать решающие правила обнаружения инцидента, хранить значения параметров, определяемых технической политикой ИБ предприятия.

Разработан алгоритм функционирования системы контроля, обеспечивающий возможности контроля инцидентов а автоматическом режиме, что позволяет сформировать требования к практической реализации систем данного вида.

Предложены подходы к повышению производительности системы контроля, основанные на выделении «инцидентных» подсетей, применении многопоточности в цикле контроля, что в отдельных случаях позволяет значительно снизить время цикла контроля, что особенно ощутимо при полном (тотальном) контроле инцидентов.

Разработано информационное и программное обеспечение системы контроля инцидентов ИБ, включающее программные комплексы документированного обеспечения, мониторинга состояния элементов, АРМ диспетчера. Результаты опытной эксплуатации на ряде предприятий модулей системы контроля инцидентов показали: среднее время ожидания заявки пользователей, обнаруживших проявление инцидента ИБ, на обработку снижается на 33%, среднее время выполнения функции устранения инцидента снижается до 25%, снизилось время назначения исполнителя на решения инцидента. Кроме того, уменьшается общее количество инцидентов.

ЗАКЛЮЧЕНИЕ

Основные результаты диссертационного исследования:

Стандарты и руководящие документы, связанные с управлением инцидентами ИБ, не затрагивают технических вопросов построения систем контроля, не конкретизируют технических особенностей нарушений политики безопасности. Анализ средств автоматизации контроля инцидентов показал: инциденты, связанные с нарушением ТПИБ не систематизированы, средства сетевого управления имеют возможности по обнаружению событий ИБ, но алгоритмы их работы «закрыты», ими невозможно управлять.

Предложена формальная модель инцидента ИБ, как специфичного состояния КТС, идентифицируемого по отклонениям параметров ее функционирования от шаблонов, задаваемых ТПИБ. Задача эффективного контроля заключается в том, чтобы определить минимальный по количеству контролируемых параметров пакет, найти значения минимального времени на контроль каждого параметра.

Предложена классификация инцидентов ИБ по признаку «нарушение 3.

технической политики ИБ». Выделены характерные особенности инцидентов: «Не устранённая уязвимость», «Не обнаружена реализация угрозы», «Нет защиты от реализованной угрозы», «Реализация неизвестной угрозы», «Не устраняется воздействие реализации угрозы».

Разработана методика определения множества существенных факторов 4.

возникновения инцидентов ИБ. В основе методики использован способ «усечения» полного множества факторов нарушения ТПИБ. Выявляется взаимосвязь инцидентов разного типа с факторами нарушения конкретной технической политики, далее выполняется групповой экспертный анализ факторов, в основе которого использован способ группового ранжирования при обеспечении согласованности экспертов.

Разработан алгоритм формирования пакета контроля инцидентов ИБ, 5.

основанный на анализе статистических характеристик обнаружения событий ИБ по значениям контролируемых параметров, выделении комбинаций, обеспечивающих допустимые вероятностные характеристики обнаружения. Разработана процедура расстановки параметров оптимального пакета контроля по узлам КТС, что позволяет повысить производительность системы контроля.

Предложен алгоритм обнаружения инцидента, основанный на переборе 6.

всех возможных комбинаций событий ИБ, имеющих вид бинарных сигналов.

Преимуществом предлагаемого подхода является использование минимального количества анализируемых комбинаций событий, обеспечивающих обнаружение инцидента с вероятностью не хуже заданной.

Предложена структурная схема системы контроля инцидентов ИБ. Разработан алгоритм ее функционирования, что позволяет сформировать требования к практической реализации систем данного вида.

Разработано информационное и программное обеспечение системы 8.

контроля инцидентов ИБ, включающее программные комплексы для расчета значимости элементов КТС, документированного обеспечения, администрирования корпоративной сети, регистрации инцидентов ИБ, мониторинга состояния элементов КТС, АРМ диспетчера. Результаты опытной эксплуатации на ряде предприятий модулей системы контроля инцидентов показали: среднее время ожидания заявки пользователей, обнаруживших проявление инцидента ИБ, на обработку снижается на 33%, среднее время выполнения функции устранения инцидента снижается до 25%, снизилось время назначения исполнителя на решения инцидента.

Кроме того, уменьшается общее количество инцидентов.

СПИСОК ПРИНЯТЫХ СОКРАЩЕНИЙ

АБ – администратор безопасности АВЗ – антивирусная защита АРМ – автоматизированное рабочее место АСО - активное сетевое оборудование БА – блок администраторов БВХД - блок временного хранения данных системы контроля инцидентов БУ – блок управления системы контроля инцидентов БУИ - блок управления измерителями системы контроля инцидентов БФО - блок формирования отчетов системы контроля инцидентов БФПРИ - блок формирования программы «решения» инцидента системы контроля инцидентов БХДИ - блок хранения дистрибутивов измерителей системы контроля инцидентов БХП - блок хранения профиля системы контроля инцидентов БХПА - блок хранения параметров архитектуры системы контроля инцидентов БХСХИ - блок хранения статистических характеристик измерителей системы контроля инцидентов ВП – вредоносная программа ЗИ – защита информации ЗМ – защитная мера ЗФ – защитная функция ИБ – информационная безопасность ИПИ - измеритель параметра инцидентов ИР – информационные ресурсы ИС – информационная система КТС - корпоративная телекоммуникационная сеть КС - канал связи КСПД – корпоративная сеть передачи данных ИнИБ – инцидент ИБ ПИБ - Политика обеспечения информационной безопасности ПИн - параметры инцидентов ИБ ПК – пакет контроля ПО – программное обеспечение САдУ – система административного управления РБ – решающий блок системы контроля инцидентов РС – рабочая станция СВТ – средства вычислительной техники СЗИ – система защиты информации СКИн - система контроля инцидентов СоИБ – событие информационной безопасности ТПИБ – техническая политика обеспечения информационной безопасности

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

Александр Бондаренко Политика информационной безопасности.

1.

[Электронный ресурс]. – Режим доступа: http://www.leta.ru/presscenter/publications/article_295.html (дата обращения:19.02.2015).

Артемов, Д.В. Влияние компьютерных вторжений на функционирование вычислительных сетей / Д.В. Артемов. - М: Приор, 2001. - 123 c.

Барабаш, О.В. Построение функционально устойчивых распределенных информационных систем / О.В. Барабаш; – Киев: НАОУ, 2004. – 226 с.

Баранов, И.Ю. Исследование гибкого инструментального комплекса 4.

для интеллектуальной системы административного управления в корпоративных АСУП: дис. … канд. технич. наук: 05.13.06 : защищена 2006 г. / Баранов Игорь Юрьевич. – Орел, 2006.

Безруков, Н.Н. Компьютерная вирусология: энциклопедия / Н.Н. Безруков; - Киев: Укр. сов.энцик., 1991. - 416 с.

Бекасов, В.Ю. Аспекты анализа структуры корпоративных мультисервисных сетей / В.Ю. Бекасов. - СПб: Питер, 2004. - 208с.

Блюмин, С.Л. Модели и методы принятия решений в условиях неопределенности / С.Л. Блюмин, И.А. Шуйкова. - Липецк: ЛЭГИ, 2001. - 138 с.

Бойченко, М.К. Мониторинг ресурсов узлов корпоративной сети / М.К.

8.

Бойченко, И.П. Иванов. - Приборостроение, №2. – 2010. - С. 114 - 120.

Бондаренко, А.Д. Методы и средства разработки интеллектуальных систем управления корпоративными компьютерными сетями: дис. … канд. технич.

наук: 05.13.13 : защищена 2007 г. / Бондаренко Алексей Дмитриевич. – Москва, 2007.

10. Бондаренко, А.Д., Проектирование интеллектуальных систем управления компьютерными сетями / А.Д. Бондаренко Ю.Л. Леохин. - Лесной вестник, №2. - 2007. - С. 180 - 186.

11. Бройдо, В.Л. Вычислительные системы, сети и телекоммуникации / В.Л. Бройдо. - СПб.: Питер, 2006. - 703 с.

12. Брэгг, Р., Безопасность сетей: полное руководство / Р. Брэгг, М. РодсОусли, К. Страссберг. - М: Эком, 2006. - 912 с.

13. Воробиенко, П.П. Обобщенная информационная модель взаимодействия систем инфокоммуникаций / П. П. Воробиенко, М. И. Струкало. - Электросвязь. – 2004. – №11.

14. Гатчин, Ю. А. Теория информационной безопасности и методология защиты информации / Ю. А. Гатчин, В. В. Сухостат. - СПб: СПбГУ ИТМО, 2010. с.

15. Герасименко, В.А. Защита информации в автоматизированных системах обработки данных: В 2-х кн.: Кн. 1. – М.: Энергоатомиздат, 1994. – 400 с.; Кн. 2. – М.: Энергоатомиздат, 1994. - 176 с.

16. Герасименко, В.А., Малюк А.А. Основы защиты информации / В.А. Герасименко, А.А. Малюк. – М.: МОПО, МИФИ, 1997. - 537 с.

17. Голдовский, И.М. Банковские микропроцессорные карты / И.М. Голдовский. — М.: «Альпина Паблишер». - 2010. - 694 с.

18. ГОСТ Р ИСО/МЭК 18044:2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности. – М.: Стандартинформ,2009. – 50 с.

19. ГОСТ Р ИСО/МЭК ТО 13335-5-2006. Информационная технология.

Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети. – М.: Стандартинформ,2006. – 22 с.

20. Гошко, С.В. Энциклопедия по защите от вирусов / С.В. Гошко. - М.:

СОЛОН-Р, 2005. - 352 с.

21. Грибунин В.Г. Разработка и реализация политики безопасности предприятия [Электронный ресурс]. – Режим доступа: http://bre.ru/security/22754.html (дата обращения:19.02.2015).

22. Груздева, Л.М. Модели повышения производительности корпоративных телекоммуникационных сетей в условиях воздействия угроз информационной безопасности: дис. … канд. технич. наук: 05.12.13 : защищена 2011 г. / Груздева Людмила Михайловна. – Владимир, 2011.

23. Ден Томашевский Microsoft Windows 8. Руководство пользователя = Microsoft Windows 8. - Вильямс, 2013. - С. 352.

24. Джей Б. Snort 2.1. Обнаружение вторжений. - М.: Бином-пресс, 2006. с.

25. Домарев, В.В. Безопасность информационных технологий. Методология создания систем защиты / В.В. Домарев. - К.:ООО «ТИД «ДС», 2001. - 688 с.

26. Дэвис, Д. Вычислительные сети и сетевые протоколы / Д. Дэвис, Д.

Барбер, У. Прайс. - Москва: Мир, 1982. - 214 с.

27. Запечников, С. В. Информационная безопасность открытых систем.

Средства защиты в сетях: Том 2 / С.В. Запечников, Н.Г. Милославская, А.И. Толстой, Д.В. Ушаков. - М: Горячая линия - Телеком, 2008. - 560 с.

28. Защита информации в телекоммуникационных системах: Учебник / В.Г.

Кулаков, А.Б. Андреев, А.В. Заряев и др. – Воронеж: Воронежский институт МВД России, 2002. – 300с.

29. Козлов, Д.А. Энциклопедия компьютерных вирусов: энциклопедия / Д.А. Козлов, А.А. Парандовский, А.К. Парандовский; - М.: Солон-Р, 2001. - 464 с.

30. Компьютерные сети. Принципы, технологии, протоколы / В.Г. Олифер, Н.А. Олифер–СПб. Питер, 2010. – 944 с.

31. КриптоПро CSP с поддержкой Windows 8. [Электронный ресурс]. – Режим доступа: http://www.cryptopro.ru/news/2012/08/kriptopro-csp-s-podderzhkoiwindows-8 (дата обращения:25.01.2016).

32. Кульгин, М.В. Технологии корпоративных сетей: энциклопедия / М.В.

Кульгин; - СПб.: Питер, 1999. - 704с.

33. Лучинкин, С.Д. К вопросу о создании автоматизированной системы администрирования инцидентами безопасности телекоммуникационных сетей / С.Д. Лучинкин, М.М.Монахова. - Проблемы эффективности и безопасности функционирования сложных технических и информационных систем: Материалы XXХIII Всероссийской НТК. – Серпухов: Филиал ВА РВСН, 2014. – С.

186 - 189.

34. Лучинкин, С.Д. О функциях администратора безопасности АИС предприятия / М.Ю. Монахов, Д.В. Мишин, М.М. Монахова. - Проблемы эффективности и безопасности функционирования сложных технических и информационных систем: Материалы XXХIII Всероссийской НТК. – Серпухов:

Филиал ВА РВСН, 2014. – с. 201-204.

35. Лучинкин, С.Д. Решение задачи эффективной загрузки персонала технической поддержки при обслуживании телекоммуникационных систем / И.И. Семенова, Д.В. Мишин, М.М. Монахова. - Материалы VI Международной НТК «Инженерные системы». – М: РУДН, 2014. – С. 274-280.

36. Лысков, О.Э. Автоматизация поддержки процесса обеспечения работоспособности вычислительной сети предприятия: дис. … канд. технич. наук:

05.13.06 : защищена 2008 г. / Лысков Олег Эдуардович. – Орел, 2008.

37. Марат Давлетханов. Обзор Security Studio Endpoint Protection (ч. 1 и ч.2). [Электронный ресурс]. – Режим доступа: http://www.antimalware.ru/reviews/security_studio_endpoint_rotection_part1 и http://www.antimalware.ru/reviews/security_code_endpoint_protection_part2 (дата обращения:25.01.2016)

38. Милославская, Н.Г. Управление рисками информационной безопасности: Уч. пособие для вузов / Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. Горячая линия – Телеком», 2014. – 130 с.

39. Михайлов, А.В. Модели и алгоритмы повышения живучести распределенных информационно-вычислительных систем АСУП: дис. … канд. технич.

наук: 05.13.06 : защищена 2007 г. / Михайлов Андрей Витальевич. – Владимир, 2007.

40. Мишин, Д.В. О дополнениях к методике расчета значимости элементов корпоративной сети передачи данных / Д.В. Мишин, И.Ю. Богомазова, А.В. Андреев, М.М. Монахова. - Современные научные исследования. Выпуск 1. - Концепт. - 2013. - URL: http://e-koncept.ru/article/689/ (дата обращения:25.01.2016).

41. Монахова, М.М. Алгоритмы распределенного администрирования корпоративных сетей передачи данных / Д.В. Мишин, М.М. Монахова // Материалы XIV Международной НТК «Проблемы передачи и обработки информации в сетях и системах телекоммуникаций». - Рязанский государственный радиотехнический университет. - 2010. - С. 131-134.

42. Монахова, М.М. Исследование алгоритмов повышения функциональной живучести АСУП в среде имитационного моделирования AnyLogic / Мишин Д.В., М.М. Монахова // Труды XXX Всероссийской НТК «Проблемы эффективности и безопасности функционирования сложных технических и информационных систем». Часть IV. - Серпуховской ВИ РВ. - 2011. - С. 175-177.

Монахова, М.М. Математическая модель приоритетов функциональных элементов корпоративных сетей передачи данных / Д.В. Мишин, М.М. Монахова // Тезиси доповiдей XIX мiжнародноi науково-практичноi конференцii «Iнформацiйнi технологii: наука, технiка, технологiя, освiта, здоров'я». 2011, НТУ ХПI. - С.56-57.

Монахова, М.М. Модели и алгоритмы администрирования корпоративных сетей передачи данных / Д.В. Мишин, М.М. Монахова //Труды XXIX Всероссийской НТК «Проблемы эффективности и безопасности функционирования сложных технических и информационных систем». - Серпуховской ВИ РВ. - 2010.

- С. 165-170.

45. Монахова, М.М. Модель автоматизированной системы администрирования корпоративной сети передачи данных / Д.В. Мишин, М.М. Монахова //Труды IX Международного симпозиума «Интеллектуальные системы». - М.: РУСАКИ. С. 268-271.

46. Монахова, М.М. Особенности контроля инцидентов информационной безопасности в корпоративной информационно-телекоммуникационной сети // М.М. Монахова / Известия высших учебных заведений. Технология текстильной промышленности. 2015, № 4 (358). - С.153 – 157

47. Мишин, Д.В. Модель администратора корпоративной сети передачи данных / Д.В. Мишин, М.М. Монахова. – Сборник трудов XII СанктПетербургской Международной конференция «Региональная информатика (РИСПб. - С.55 - 56.

48. Мишин, Д.В. Проблемы оптимизации распределения работ администраторов как основных исполнительных субъектов в рамках решения целевой задачи администрирования КСПД / Д.В. Мишин, М.М. Монахова. – Материалы III Международной научно-практической конференции «Современные информационные технологии в образовательном процессе и научных исследованиях». 2010. Изд-во ГОУ ВПО «ШГПУ». - С. 91 - 95.

Монахова, М.М. Система документированного обеспечения администрирования корпоративной сети передачи данных / Д.В. Мишин, М.М. Монахова // Вестник Костромского государственного университета им. Н.А. Некрасова. С. 70 - 72.

50. Мишин, Д.В. Современные подходы к автоматизации администрирования корпоративных сетей передачи данных / / Д.В. Мишин, М.М. Монахова. – Материалы III Международной научно-практической конференции «Современные информационные технологии в образовательном процессе и научных исследованиях». 2010. - Изд-во ГОУ ВПО «ШГПУ». - С. 88-91.

51. Монахова, М.М. Имитационное исследование алгоритмов оптимизации административных ресурсов КСПД / Д.В. Мишин, М.М. Монахова // Тезиси XI мiжнародноi науково-технiчноi конференцii «Проблеми iнформатики i моделювання». - Харкiв-Ялта. - НТУ ХПI, 2011. - С. 56.

52. Монахова, М.М. Математическая модель автоматизированной системы обеспечения живучести АСУП / Д.В. Мишин, М.М. Монахова. - Труды научнопрактической конференции «Математика и математическое моделирование». 2011.

- Мордовский государственный педагогический институт имени М.Е. Евсевьева.

– Саранск, 2011.

53. Монахова, М.М. О модели администратора автоматизированной системы администрирования корпоративной сети передачи данных / Д.В. Мишин, М.М.

Монахова // Материалы IX международной НТК «Перспективные технологии в средствах передачи информации». - Владимир: ВлГУ, - 2011. - С. 76-79.

54. Монахова, М.М. О проблеме оптимизации администрирования корпоративных сетей передачи данных / Д.В. Мишин, М.М. Монахова // Сборник материалов II Международной молодежной научно-практической школы «Информационный менеджмент социально-экономических и технических систем». 2011. – Владимир : Транзит-ИКС, 2011. – С.209-212.

Монахова, М.М. Имитационное исследование алгоритмов оптимизации административных ресурсов КСПД / Д.В. Мишин, М.М. Монахова // Тезиси XI мiжнародноi науково-технiчноi конференцii «Проблеми iнформатики i моделювання». - Харкiв-Ялта. - НТУ ХПI, 2011. - С. 84.

Монахова, М.М. Система администрирования корпоративной сети передачи данных АСУП / Д.В. Мишин, М.М. Монахова, А.А. Петров // Известия высших учебных заведений. Приборостроение. - 2012. - №8. - С.50-52.

57. Монахова, М.М. Решение задачи эффективной загрузки персонала технической поддержки при обслуживании телекоммуникационных систем / Д.В.

Мишин, М.М. Монахова, И.И. Семенова, С.Д. Лучинкин Труды VI Международной научно-практической конференции «Инженерные системы - 2013». М.: Изд-во РУДН, 2013. - С.274-280.

58. Мишин, Д.В. Модели и алгоритмы административного управления корпоративной распределенной информационно-вычислительной средой АСУ: диссертация кандидата технических наук: 05.13.06 / Д.В. Мишин [Место защиты:

Владимир. гос. ун-т] Владимир, 2013. - 218 c.

59. Мишин, Д.В. Новый подход к системе инвентаризации программноаппаратных ресурсов распределенной информационной системы / Д.В. Мишин;

Материалы межвуз. науч.-практ. конф. «Современные проблемы экономического и социального развития России глазами молодежи». - Филиал ВЗФЭИ в г. Владимире. – Владимир, 2009. - C.204-206.

60. Монахова, М.М. Экспериментальное исследование по обнаружению инцидентов информационной безопасности в корпоративных вычислительных сетях на основе исследования характеристик протокола маршрутизации OSPFv2 / М.М.

Монахова, Г.В. Путинцев сборник статей по материалам IV международной научно-практической конференции «Современные технологии и технический прогресс: г. Воронеж), 2015.

61. Монахова, М.М. Алгоритм выбора администраторов корпоративной сети передачи данных / Д.В. Мишин, М.М. Монахова // Материалы XVII международной НТК «Информационные системы и технологии». - Н. Новгород. - С. 147-148.

Монахова, М.М. Математическая модель приоритетов функциональных элементов корпоративных сетей передачи данных / Д.В. Мишин, М.М. Монахова // Тезиси доповiдей XIX мiжнародноi науково-практичноi конференцii «Iнформацiйнi технологii: наука, технiка, технологiя, освiта, здоров'я». 2011, НТУ ХПI. - С.56-57.

63. Монахова, М.М. Модель администратора корпоративной сети передачи данных / Д.В. Мишин, М.М. Монахова // Труды XII Международной конференции «Региональная информатика». - 2010. - СПб. - СПОИСУ. - С. 55-56.

64. Монахова, М.М. О модели администратора автоматизированной системы администрирования корпоративной сети передачи данных / Д.В. Мишин, М.М.

Монахова // Материалы IX международной НТК «Перспективные технологии в средствах передачи информации». - Владимир: ВлГУ, - 2011. - С. 76-79.

65. Монахова, М.М. Объектно-ориентированная модель информационной системы администрирования корпоративной сети передачи данных / Д.В. Мишин, М.М. Монахова // Труды XXIII Международной НТК «Математические методы в технике и технологиях». - Смоленск. - 2010. - С. 8-10.

66. Монахова, М.М. Алгоритм ранжирования ресурсов информационной инфраструктуры АСУП при планировании восстановительных работ / М.Ю. Монахов, Д.В. Мишин, М.М. Монахова //Труды Х российской НТК «Новые информационные технологии в системах связи и управления». Калуга, «Ноосфера», 2011. - С.585-588.

67. Монахов, М.Ю. Безопасное управление ресурсами в распределенных информационных и телекоммуникационных системах: монография / М.Ю. Монахов Ю.А. Илларионов. - Владимирский гос. ун-т. - Владимир, 2004. - 212 с.

68. Монахов, Ю.М. Модели обнаружения аномального функционирования информационно-вычислительной среды интегрированных АСУ: дис. … канд. технич. наук: 05.13.06: защищена 2009 г. / Монахов Юрий Михайлович. – Владимир, 2009.

69. Монахов, Ю.М. Уязвимости протокола транспортного уровня TCP / Ю.М. Монахов; Алгоритмы, методы и системы обработки данных. Сборник научных статей. - М.: Горячая линия-Телеком, 2006. - с. 203-210.

70. Монахов, Ю.М. Вредоносные программы в компьютерных сетях: учеб.

пособие / Ю.М. Монахов, Л.М. Груздева М.Ю. Монахов. - Владим. гос.ун-т. – Владимир: Изд-во Владим. гос. ун-та, 2010. – 76 с.

71. Монахова, М.М. Модель администратора корпоративной сети передачи данных / М.М. Монахова. - Материалы XV Всероссийской НТК студентов, молодых ученых и специалистов «Новые информационные технологии в научных исследованиях и образовании». - Рязанский государственный радиотехнический университет. 2010. - С. 356 - 357.

72. Мур, М. Телекоммуникации / Мур М., Притск Т., Риггс К., Сауфвик П. - СПб.: БХВ - Петербург, 2005. - 624 с.

73. Монахова, М.М. О формировании профиля телекоммуникационной сети / М.М. Монахова, Никитин О.Р. // Сборник трудов XXХIII всероссийской НТК «Проблемы эффективности и безопасности функционирования сложных технических и информационных систем». – Серпухов: Филиал ВА РВСН, 2014. - С. 190Орлов, А.И. Организационно-экономическое моделирование: учебник в 3ч. / А.И. Орлов. – М.: Изд-во МГТУ им. Н.Э. Баумана. – 2009. Ч. 2 : Экспертные оценки. – 2011. – 486 с.

75. Официальная документация по Ubuntu 12.04 LTS. [Электронный ресурс]. – Режим доступа: http://help.ubuntu.ru/doc/12.04/ (дата обращения:

25.01.2016).

76. Официальный сайт DallasLock. [Электронный ресурс]. – Режим доступа: http://www.dallaslock.ru/ (дата обращения: 25.01.2016).

77. Официальный сайт антивируса AvastPro. [Электронный ресурс]. – Режим доступа: https://www.avast.com/pro-antivirus (дата обращения: 25.01.2016).

78. Официальный сайт антивируса NOD32. [Электронный ресурс]. – Режим доступа: https://www.esetnod32.ru/ (дата обращения: 25.01.2016).

79. Пескова, С.А. Сети и телекоммуникации / Пескова С.А., Кузин А.В., Волков А.Н.. М.: Академия, 2008. - 576 с.

80. Пол Мак-Федрис Microsoft Windows 7. Полное руководство = Microsoft Windows 7 Unleashed. — М.: Вильямс, 2012. — 800 с.

81. Политика информационной безопасности АО «Фонд развития предпринимательства «Даму». [Электронный ресурс]. – Режим доступа:

www.damu.kz/content/files/PolitikaInformatsionnoyBezopasnosti.pdf (дата обращения: 25.01.2016).

82. Политика информационной безопасности АО НК „КазМунайГаз“ [Электронный ресурс]. – Режим доступа: www.kmg.kz/upload/company/ Politika_informacionnoi_bezopasnosti.pdf (дата обращения: 25.01.2016).

83. Политика информационной безопасности ЗАО «СМАРТБАНК». [Электронный ресурс]. – Режим доступа: http://smartbank.ru/sites/

default/files/documents/politika_informacionnoj_bezopasnosti.pdf (дата обращения:

25.01.2016).

84. Политика информационной безопасности ОАО «Газпромбанк» [Электронный ресурс]. – Режим доступа: www.gazprombank.ru/upload/ iblock/ee7/infibez.pdf (дата обращения: 25.01.2016).

85. Политика информационной безопасности ОАО «Радиотехнический институт имени академика А. Л. Минца». [Электронный ресурс]. – Режим доступа:

www.rti-mints.ru/uploads/files/static/8/ politika_informacionnoy_ bezopasnosti_rti.pdf (дата обращения: 25.01.2016).

86. Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных: Учеб. пособие для вузов / П.Ю. Белкин, О.О. Михальский, А.С. Першаков и др. – М.: Радио и связь, 1999. – 168 с.

87. Руководящие документы по информационной безопасности: [Электронный ресурс]. – Режим доступа: http://securitypolicy.ru/index.php/ (дата обращения: 25.01.2016).

88. Свидетельство о государственной регистрации базы данных №2014620496 от 27 марта 2014г. «База данных автоматизированной системы анализа защищенности объекта информатизации SaNaS 1.0».

89. Свидетельство о государственной регистрации программы для ЭВМ №2012612368 от 5 марта 2012г. «Программный комплекс для расчета значимости элементов корпоративной сети передачи данных».

90. Свидетельство о государственной регистрации программы для ЭВМ №2012660376 от 9 октября 2012г. «Программный комплекс администрирования корпоративной сети передачи данных DTNAM v1.0».

91. Свидетельство о государственной регистрации программы для ЭВМ №2012660377 от 9 октября 2012г. «Автоматизированная система расчета статических характеристик инцидентов информационной безопасности КСПД АСУП».

92. Свидетельство о государственной регистрации программы для ЭВМ №2013613705 от 15 апреля 2013г. «Программный модуль СППР административного управления корпоративной АСУ для формирования оптимальной очереди задач администрирования».

93. Свидетельство о государственной регистрации программы для ЭВМ №2013613706 от 15 апреля 2013г. «Программный модуль СППР административного управления корпоративной АСУ расчета показателей значимости ресурсов программно-технической инфраструктуры».

94. Свидетельство о государственной регистрации программы для ЭВМ №2016313761 от 6 апреля 2013г. «Программный модуль имитационного моделирования процессов администрирования СППР административного управления корпоративной АСУ».

95. Свидетельство о государственной регистрации программы для ЭВМ №2014610966 от 21 января 2014г. «Автоматизированная система анализа защищенности объекта информатизации SaNaS 1.0».

96. Сергей Петренко, Владимир Курбатов Разработка политики информационной безопасности предприятия. [Электронный ресурс]. – Режим доступа:

http://www.nestor.minsk.by/sr/2005/08/sr50803.html (дата обращения: 25.01.2016).

97. Сетевые сканеры, шпионы, снифферы (ИНТЕРНЕТ для Windows):

[Электронный ресурс]. – Режим доступа: http://freesoft.ru/?sec=iscan1 (дата обращения: 25.01.2016).

98. Система сетевого управления RADview: [Электронный ресурс]. – Режим доступа:http://www.rad.ru/3-11827/RADview/.

99. Средства анализа и управления сетями / [Электронный ресурс]. URL:

http://kafvt.narod.ru/Osia/Glava7.htm (дата обращения: 25.01.2016).

100. Средства шифрования Symantec. [Электронный ресурс]. – Режим доступа: http://www.symantec.com/ru/ru/encryption/ (дата обращения: 25.01.2016).

101. Таненбаум, Э. Компьютерные сети / Э. Таненбаум. - СПб: "Питер". с.

102. Теория и практика обеспечения информационной безопасности / Под ред. П. Д. Зегжды. - М.: «Яхтсмен». -- 1996. - 192 с.

103. Хоффман, Л.Дж. Современные методы защиты информации / Пер. с англ.; Под ред. В.А. Герасименко. - М.: Советское радио, 1980. - 363 с.

104. Шнайер, Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си / Б. Шнайер. - М.: Триумф, 2002. - 816 с.

105. Электронные ключи для аутентификации RSA SecurID. [Электронный ресурс]. – Режим доступа: http://www.infobezpeka.com/products/ keyforauntification/?view=409 (дата обращения: 25.01.2016).

106. Berk, V. H., Gray, R.S., Bakos, G. Using sensor networks and data fusion for early detection of active worms / V.H. Berk and others; SPIE-The International Society for Optical Engineering, 2003. - Volume 5071. - p. 92-104.

107. Blazek, R.B., Novel, A Approach to Detection of «Denial-of-Service» Attacks via Adaptive Sequential and Batch-Sequential Change-Point Detection Methods / R.B. Blazek and others; - IEEE CS Press, 2001, p. 220–226.

108. Carl, G., Kesidis, G., Brooks, R. R., Rai, S. [Text] / G. Carl and others; Denial-of-Service Attack-Detection Techniques. IEEE Internet Computing, 2006. - vol. 10, № 1. - p. 82-89.

109. Cisco ASA 5505 Adaptive Security Appliance. [Электронный ресурс]. – Режим доступа: http://www.cisco.com/c/en/us/support/security/asa-5505-adaptivesecurity-appliance/model.html (дата обращения: 25.01.2016).

110. Cisco ASA 5510 Adaptive Security Appliance. [Электронный ресурс]. – Режим доступа: http://www.cisco.com/c/en/us/support/security/asa-5510-adaptivesecurity-appliance/model.html (дата обращения: 25.01.2016).

111. Cisco Systems, Inc. Программа сетевой академии Cisco CCNA 3 и 4.

Вспомогательное руководство = Cisco Networking Academy Program CCNA 3 and 4 Companion Guide. - М.: «Вильямс», 2006. - С. 944.

112. Cisco's Product Documentation Website for Catalyst Switches. [Электронный ресурс]. – Режим доступа: http://www.cisco.com/c/en/us/tech/lanswitching/multi-layer-switching-mls/index.html (дата обращения: 25.01.2016).

113. CMU/SEI-2004-TR-015 Defining incident management processes for CISRT.

114. Cyber Safe Enterprise. [Электронный ресурс]. – Режим доступа:

http://cybersafesoft.com/rus/products/enterprise/ (дата обращения: 25.01.2016).

115. D.V. Mishin, M.M. Monakhova About the optimization of the administration corporate area networks of the data transmission under scarce administrative resources // Herald of the National Technical University "KhPI". Subject issue: Information Science and Modelling. - Kharkov: NTU "KhPI". - 2011. - №17. - P. 101 - 108.

116. Enisa Annual Incident Report. - [Электронный ресурс]. – Режим доступа:

https://www.enisa.europa.eu/activities/Resilience-and-CIIP/Incidents-reporting/annualreports/annual-incident-reports-2013 (дата обращения: 25.01.2016).



Pages:   || 2 |

Похожие работы:

«ОТЧЁТ главы управы района Соколиная гора города Москвы АКСЕНОВА Александра Петровича "О РЕЗУЛЬТАТАХ ДЕЯТЕЛЬНОСТИ УПРАВЫ РАЙОНА СОКОЛИНАЯ ГОРА ГОРОДА МОСКВЫ В 2015 ГОДУ" на заседании Совета депутатов муниципального округа Соколиная гора 22 марта 2016 года 17.00 Уважаемые депутаты, приглашенные руков...»

«Шрила Бхакти Ракшак Шридхар Дев-Госвами Махарадж 1982.01.25.A1 Почему Шри Чайтанья отверг учение Будды и Шанкары?.Неотъемлемо связано: относительное, абсолютное, как вы можете избавиться от этого? Тезис-антитезис-синтез. Однажды я был в Бадринараяне. И там один гуджаратский адвокат говорил о том, что Махапрабху расходится во взглядах с Ш...»

«Федерико Гарсиа Лорка Стихотворения. Проза. Театр (сборник) http://www.litres.ru/pages/biblio_book/?art=6738602 Федерико Гарсиа Лорка. Стихотворения. Проза. Театр: Эксмо; Москва; 2014 ISBN 978-5-699-67765-8 Аннотация Поэ...»

«2016 XXIII Санкт-Петербургская астрономическая олимпиада 14 февраля теоретический тур, решения 7–8 классы 1. Через каждые шесть лет некоторый астероид с круговой орбитой наблюдается в противостоянии в созвездии Козерога. Через какое время после проти...»

«Тематический анализ интервью со студентами с инвалидностью и ОВЗ В исследовании приняли участие 16 студентов из кампусов НИУ ВШЭ в Москве и Санкт-Петербурге. Длительность интервью составила от 20 минут до 2-х часов. Общи...»

«О.В. Архангельская ПРОИЗВЕДЕНИЯ А.П. ШВАБЕ, ПОСВЯЩЕННЫЕ ОТЕЧЕСТВЕННОЙ ВОЙНЕ 1812 ГОДА События Отечественной войны 1812 года оказали значительное влияние на изобразительное искусство в России. Необыкновенный па триотический подъем, связанный с военными со...»

«УТВЕРЖДЕНО приказом Генерального директора ЗАО "Страховая группа "УралСиб" от 04.06.2010 № 91 Регистрационный номер: 132 ПРАВИЛА добровольного страхования объектов общего имущества в многоквартирных домах в г. Москве Москва, 2010 г. СОДЕРЖАНИЕ 1. Общие положения... 3 2. Договор страхования: определение и порядок заключения.. 3 3. Объ...»

«Стадник Виталий Михайлович МЕЖДУНАРОДНЫЙ ОПЫТ ОРГАНИЗАЦИИ ГОСУДАРСТВЕННОГО КОНТРОЛЯ ЗА АВТОНОМНЫМИ ОБРАЗОВАНИЯМИ Рассматривается опыт осуществления государственного контроля на примере автономий Аландских островов в составе Финляндии, Гренландии и Фарерских ост...»

«КОНЦЕПТ "БХИЛЛЕК" В ОРИГИНАЛЬНОМ ТЕКСТЕ И ПЕРЕВОДЕ Э. Ф. Нагуманова Казанский (Приволжский) федеральный университет, г. Казань, Россия Summary. The paper analyzes semantic, functional and associative peculiarities of nationally specific conce...»

«ПРЕОБРАЗОВАТЕЛЬ ДАВЛЕНИЯ ИЗМЕРИТЕЛЬНЫЙ МТМ701.6 Руководство по эксплуатации ААЛУ.421111.002 РЭ Содержание 1 Описание и работа 2 Использование по назначению 3 Указание мер безопасности 4 Обеспечение искробезопасности преобразователей 5 Обеспечение искробезопасности преобразователей при монтаже и эксплуатации 6 Техническо...»

«Оглавление Предисловие Глава 1. Попрощайся с прошлым Глава 2. Понимание — это свобода Глава 3. Вы рождены быть храбрыми Глава 4. Твори свой путь, идя по нему Глава 5. Когда все голоса молчат...»

«Переходи на Ноль 122014 Тарифный план действует для абонентов (физических лиц), заключивших договор об оказании услуг связи до 10.09.2014г. на территории Кабардино-Балкарской Республики Тарифный план действует на территории Кабардино-Балкарской Республики и зоны Единый Кавказ* Авансовая система расчетов Тариф закрыт дл...»

«НауЛинукс 6 Краткое руководство по установке и использованию Copyright c 2012–2013 ОАО ЛИНУКС ИНК. Данное руководство может свободно использоваться и распространяться на условиях, оговоренных в GNU Free Documentation License...»

«Муниципальное бюджетное общеобразовательное учреждение "Варгатрская основная общеобразовательная школа" ПРОФОРИЕНТАЦИОННОЕ МЕРОПРИЯТИЕ "Город мастеров"Автор/составитель: Вольхина Надежда Васильевна nadya.volkhina@mail.ru Том...»

«AVIOTEC IP starlight 8000 FCS-8000-VFD-B ru ввод в эксплуатацию AVIOTEC IP starlight 8000 Содержание | ru 3 Содержание 1 Безопасность 4 1.1 Расшифровка сообщений безопасности 4 1.2 Правила техники безопасности 4 2 Введение 6 3 Необходимое оборудование для испытаний 7 3.1 Оборудование для исп...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ УТВЕРЖДАЮ Заместитель Министра образования и науки Российской Федерации А.Г.Свинаренко "31" января 2005 г. Номер государственной регистрации № 674 пед/сп (новый) ГОСУДАРСТВЕННЫЙ ОБРАЗОВАТЕЛЬНЫЙ СТАНДАРТ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ Специальность 031100.00 Педагог...»

«Данные о безопасности материала 1. Название продукта/производителя Название Indium CW-802, Indium CW-807, Indium CW-207 продукта Трубчатые припои. Продукт предназначен для производства электроники. Производитель США: The Indium Corporation of America 1676 Lincoln Ave....»

«ИНСТРУКЦИЯ ПО ЭКСПЛУАТАЦИИ Мультиварка-скороварка GALAXY GL-2651 (скачано с www.Magazinpnz.ru) Описание 1. Крышка 2. Ручка крышки 3. Клапан для выхода пара 4. Корпус 5. Светодиодный дисплей 6. Индикатор программ 7. Кнопки управления 8. Контейнер для сбора конденсата 9. Внешний конт...»

«SeaTools for Windows Руководство пользователя Авторские права © 2015, Seagate Technology, LLC. Все права сохранены. Редакция от 08 Oct 2015г., v1.4.0.4 Знакомство с программным обеспечением SeaTools for Windows от Seagate Служебная программ...»

«Сообщение о существенном факте об отдельных решениях, принятых советом директоров (наблюдательным советом) эмитента Сообщение об инсайдерской информации 1. Общие сведения 1.1. Полное...»

«ЭЛЕКТРОННАЯ ТЕНДЕРНАЯ ДОКУМЕНТАЦИЯ по закупке 304219 Запасные части к выключателям для филиалов АО "KEGOC" способом открытого тендера на понижение (далее – Тендерная документация) Заказчик Казахстанская компания по управлению электрическими сетями Организатор закупок Казахстанска...»

«Настоящей заметкой открывается новая рубрика "КРЕСТОВЫЙ ПОХОД ПРОТИВ СОБАК" Призываем выступить всех желающих! Материалы публикуются без купюр и цензуры. "MARITURI TE SALUTANT1" "O tempora o mores!" "О времена, о нравы!" Цицерон....»

«"Ход-тест" версия 1.0 руководство пользователя.1. Рекомендованные системные требования: Процессор Intel i3, 4 Gb RAM, Windows 7 32/64bit, Windows 8/8.1/10. Внимание! Microsoft Windows ХР не поддерживается!2. Установка: Подключите интерфейсный шнур ТС6 из комплекта поставки в USB-порт, запустите файл setup.exe, сле...»

«ООО Научно-внедренческая фирма “ВЕНБЕСТ-Лтд” ПРИЛАДИ ПРИЙМАЛЬНО-КОНТРОЛЬНІ ОХОРОННО-ПОЖЕЖНІ "ДУНАЙ-4" ПРИБОРЫ ПРИЕМНО-КОНТРОЛЬНЫЕ ОХРАННО-ПОЖАРНЫЕ "ДУНАЙ-4" Руководство по эксплуатации ААДЮ.425513.004РЭ Редакция 3.2 02099 г. Киев, ул. Оросительная...»

«Анализ Развивающей предметно — пространственной среды в старшей группе "РОДНИЧОК" МБДОУ № 330 г. Красноярска в соответствии с учетом ФГОС ДО (воспитатель Курова О.В.) Созданная развивающей предметно-пространственной сре...»

«1 Пояснительная записка Распоряжением Правительства РФ от 4 сентября 2014 года №1726-р. утверждена Концепция развития дополнительного образования детей. Базовый элемент системы дополнительного образования – образовательная программа. Общеразвивающая программа творческого объединения "Кокетка" разработана на основании данной...»










 
2017 www.book.lib-i.ru - «Бесплатная электронная библиотека - электронные ресурсы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.