Садердинов А.А. Информационная безопасность предприятия
Подождите немного. Документ загружается.
16. Гуманитарные исследования в Интернет. По д ред. А.Е. Во й-
скун-ского. М.: Можайск-Терра, 2001.
17. Дорот В. Л., Новиков Ф.А. Толковый словарь современной
компьютерной лексики. 1999.
18. Зегжда Д.П., ИвашкоА.М. Как построить защищенную инфор-
мационную систему / Под научн. ред. Д.П. Зегжды и В.В. Платоно-
ва СПб.: Мир и семья-95, 1997.
19. Зегжда Д.П., Ивашко A.M. Основы безопасности информаци-
онных сис тем. -М.: Горячая линия — Телеком, 2000.
20. Зегжда /Т.Д. и др. Теория и практика обеспечения информаци-
онной безопасности / Под ред. П.Д. Зегжды. М.: Изд. Агенства
«Яхтс мен», 1996.
21. Информационная безопасность России в условиях глобального
информационного общества. // Сб. материалов Всероссийской кон-
ференции / Под ред. А.В. Жукова. М.: Редакция журнала «Биз-
нес+безопасность», 2001.
22. Информационные вызовы национальной и международной бе -
зопасности / Под общ. ред. А.В. Федорова и В.Н. Цыгичко. М.,
2001.
23. Карпов Г. «Атака на ДНС» li№k
24. Клещѐв Н. Т., Федулов АЛ., Симонов В.М. и др. Телекоммуни-
кации. Мир и Россия. Состояние и тенденции развития. М.: Радио и
связь, 1999.
25. Кобзарь М.Т, Калайда И.А. Общие критерии оценки безопасно-
сти информационных технологий и перспективы их использования
// Jet Info. 1998. № 1.
26. Кобзарь М.Т., ТрубачевА.П. Концептуальные основы совер-
шенствования нормативной базы оценки безопасности информаци-
онных технологий в России // Безопасность информационных те х-
нологий, 2000. № 4.
27. Колищак А. «Атаки на переполнение буфера» link
28. Колищак А. «Уязвимость форматной строки» link
29. Кошелев А. «Защита сетей и firewall» // КомпьютерПресс. 2000.
№ 7. С. 44-48.
30. Крылов В.В. Информационные компьютерные преступления.
М.: ИНФРА -М-НОРМА, 1997..
31. Курушин В.Д., Минаев В.А. Компьютерные преступления и ин -
формационная безопасность. М: Новый юрист, 1999.
32. Липаев В.В. Стандарты на страже безопасности информ ацион-
ных систем // PC WEEC/RE, 2000. № 30.
33. Ловцев Д.А., Сергеев Н.А. Управление безопасностью. М.: 2001.
34. Лукацкий А.В.. Обнаружение атак. СПб.: БХВ-Петербург, 2001.
35. Мамаев М., Петренко С. Техноло гии защиты информации в
Интернете. СПб.: Питер, 2002.
36. Мамаев М., Петренко С. World Wild Web, или Дикая пау тина
— CHIP, 2002(9). С.144-150.
37. Мамаев М.
у
Петренко С. Особенности «сторожевых собак» —
CHIP, IV 2001(7). С.68-74.
38. Материалы семинара Университе та МВД РФ. СПб.: Универси-
те та МВД РФ, 1997.
39. Мещеряков В А. Криминалистическая классификация преступ-
лений. в сфере компьютерной информации. СПб.: Конфидент. 1999.
№ 4—5.
40. Минаев В.А., Горошко И.В., Дубинин М.П. и др.: Информацион-
ные технологии управления в органах внутренних дел / Под ред.
профессора Минаева В.А. — М.: Академия управления МВД Рос-
сии, 1997.-704 с.
41. Немет Э., Снайдер Г., Сибасс С. и др. «Unix: руководство сис-
темного администратора». Киев: BHV-Киев, 2000.
42. Общие критерии оценки безопасности информационных техно-
логий: Учебное пособие. Пер. с англ. яз. Е.А. Сидак / Под ред. М.Т.
Кобзаря, А.А. Сида ка. М.: МГУЛ, 2001. 84 с.
43. Олифер В.Г., Олифер НА. Новые технологии и оборудование
IP-сетей. СПб.: BHV-Санкт-Петербург, 2000.
44. ПанибратовА.П. и др. Вычислительные системы, сети и теле-
коммуникации / Учебник под ред. А.П. Панибратова. М.: Финансы
и статистика, 1998.
45. Петренко С А. Безопасное подключение к Интернету // Конфи-
дент.Защита Информации. 2000. № 4-5. С. 34—41.
46. Петров А. А. Компьютерная безопасность: криптографические
методы защиты М.: ДМ К, 2000.
47. Почепцов Г.Г. Информационно-психологическая война. М.:
2000.
48. Приходько А.Я. Информационная безопасность в событиях и
фактах. М.: 2001.
49. Прокушева А.П. и др. информационные технологии в коммер-
ческой деятельности. М.: 2001.
50. Приходько А.Я. Словарь-справочник по информационной безо-
пасности. М .: СИНТЕГ, 2001.
51. Проблема обеспечения прав граждан на доступ к информации.
М.: Гос. Дума, 1999.
52. Прокофьев В.Ф. Тайное оружие информационной войны. М.:
1999.
53. Романец Ю.В., Тимофеев ПА., Шаньгин В.Ф. Защита информа-
ции в компьютерных системах и сетях. М.: Радио и Связь, 1999.
54. СадердиновАА., Трайнѐв В А. Построение комплексны х про-
граммно-технических проектов интегрированных систем организа-
ционного управления(Обобщение теории и практики).М.: Марке-
тинг, 2001.
55. Сардак И.Г. Борьба с экономическими преступлениями выхо-
дит на новый уровень. М.: Гротек, Системы безопасности связи и
телекоммуникаций. 1998. № 3.
56. Сидак А А. Формирование требований безопасности современ-
ных сетевых информационных техно логий. М.: МГУЛ. 2001.
57. Симонов С. Анализ рисков, управление рисками // Jet Info on-
line. 1999. № 1(68).
58. Симонов С. Аудит безопасности информационных систем // Jet
Info online. 1999. № 1(76).
59. Симонов СВ. Анализ рисков в информационных системах.
Практические аспекты // Конфидент. 2001. № 2. С. 48—53.
60. Симонов СВ. Методология анализа рисков в информационных
системах. Конфидент// 2001. № 1. С. 72-76.
61. Система сертификации средств криптографической защиты ин -
формации (Система сертификации СКзИ)? 1993
62. Стрельцов А.А. Обеспечение информационной безопасности
России. Теоретические и мето дологические основы / Под ред. В.А.
Садовничего и В.Н. Шерс тюка. М., 2002.
63. Судоплатов А.П., Пекарев СВ. Безопасность предприниматель-
ской деятельности: Практическое пособие. М.: 2001.
64. Сырков Б. Компьютерная преступность в России. Современное
состояние. — М.: Гротек, Системы безопасности связи и телеком-
муникаций. 1998. № 4.
65. Теоретические основы информатики и информационная безо -
пасность / Под ред. В.А. Минаева, В.Н. Саблина. М: Радио и связь,
2000.
66. Типовое положение об органе по аттестации объектов инфо р-
матизации по требованиям безопасности информации. Гостехко-
миссия России,1994
67. Трайнев В.А., Матвеев Т.Н. Интегрированные информацион-
ные коммуникационные технологии и системы в управленческой
деятельности. М.: 2001.
68. ТрубачевА.П., Долинин М.Ю., Кобзарь М.Т.,и др. Оценка безо-
пасности информационных технологий / Под общ. ред. В.А. Гала-
тенко. М.: СИП РИА, 2001.
69. Турская Е. VPN как средство неотложной помощи // Сетевой
журнал Data Communications. 2000. № 11. С. 31-33.
70. Турский А., Панов С. Защита информации при взаимодействии
корпоративных сетей в Internet // Защита информации. 1998. № 5.
С. 38-43.
71. Устинов Т.Н. Основы информационной безопасности систем и
сетей пере дачи данных. М.: 2000.
72. Фридланд А.Я., Ханамирова Л.С., Фридланд И.А. Информатика.
Толковый словарь современной компьютерной лексики. Пб., 1999.
73. Цыганков В.Д., Лопатин В.Н. Психотронное оружие и безопас-
ность России. М.: 1999
74. Шумаков П.В., Фараонов В. В., Дельфи 4. Руководство разра-
ботчика баз данных. М: НОЛИДЖ, 1999.
75. Шурухнов Н.Г. Расследование неправомерного доступа к ком -
пьютерной информации. М., 1999
76 Щербаков А.Ю. Введение в теорию и практику компьютерной
безопасности. М.: Изд-во СВ. Молгачева, 2001.
77 Ярочкин В.И. Безопасность информационных систем. М.: Ось-
80, 1996.
78 Albitz P., Liu С. «DNS and BIND» - O'Reilly and Associates, 2001,
4th Edition.
79 Aleph Оле.«Smashing The Stack For Fun And Profit // Phrack. Vol.
7. Issue 49. File 14 of 16. November 1996. link.
80 Are you ready for a BS7799 audit? DISC PD 3003, 2001.
81 Automated Information Systems Security Policy Manual, nIST, CIS
HB 1400-14.
82 Bellovin S.M. Security Problems in the TCP/IP Protocol Suite //
Computer Communications Review. April 1989. \Ы. 19. No. 2. p. 32—
48, link.
83 Boran S. «Hardening the BIND DNS Se rver» link.
84 Bundesamt fur Sicherheit in der Informationstechnik. IT Baseline
Protection Manual, 2001. link.
85 CobiT: Control Objectives. ISACA, 3nd Edition, 2000.
86 CobiT: Executive Summary. ISACA, 3nd Edition, 2000.
87 CobiT: Framework. ISACA, 3nd Edition, 2000.
88 Code of practice for Information security management. British
Standard BS7799, 2001.
89 Code of practice for IT management. DISC PD 3005, 2001.
90 Code of Professional Ethics for Information Systems Control Pro-
fessionals. ISACA Guidelines, 2000.
91 Costales В., Allman E. «Sendmail» - O'Reilly and Associates, 1997,
2nd Edition.
92 Cowan С et al. « Buffer Overflows: Attacks and Defenses for the
Vu lnerability of the Decade», Information Survivability Conference and
Expo (DISCEX), Hilton Head Island SC, January. 2000.
93 Garfinkel S., Spqfford G. «Practical Unix and Internet» - O'Reilly
and Associates, 1996, 2nd Edition.
94 Guide for developing security plans for information technology sys-
tems. - MIST Special Publication, 800-18, 2000.
95 Guide to BS 7799 auditing. DISC PD 3004, 2001.
96 Guide to BS 7799 risk assessment and risk management. DISC PD
3002, 2001.
97 Information security management. Part 2. Specification for informa-
tion security management systems. British Standard BS7799, Part 2,
2000.
98 Information security management: an introduction. DISC PD 3000,
2001.
99 Information security. Handbook n.Y.? 1999.
100 Information technology — Code of practice for Information security
management. International Standard ISO/IEC 17799:2000(E).
101. IS Auditing Guideline: Corporate Governance of Information Sys-
tems. - ISACA Guidelines, 2000.
102. IS Auditing Guideline: Planning the IS Audit. - ISACA Guidelines,
2000.
103. IS Auditing Guideline: Using the Work of Other Auditors and Ex-
perts. - ISACA Guidelines, 2000.
104. ISO/IEC 15408—1. Information technology - Security techniques
— Evaluation criteria for IT security — Part 1: Introduction and general
model. 1999.
105. ISO/IEC 15408-2: Information technology - Security techniques -
Evaluation criteria for IT security — Part 2: Security functional require-
ments. 1999.
106. ISO/IEC 15408-3: Information technology - Security techniques -
Evaluation criteria for IT security — Part 3: Security assurance require-
ments. 1999.
107. Joncheray L. «A Simp le Active Attack Against TCP» // Proceed-
ings of 5th USEnIX UnIX Security Symposium, June 1995. link.
108. Model Curricula for Information Systems Auditing at the Under-
graduate and Graduate Level. ISACA, 2000.
109. Moore D., VoelkerG.M., Savage S. Inferring Internet Denial-of-
Service Activity // To appear in the 2001 USENIX Security Symposium
link.
110. Preparing for BS 7799 certification. DISC PD 3001, 2001.
111. SAP library(R/3 Library) Generic Security Service, SAP AG,
Walldorf, 2002.
112. SAP library(R/3 Library) Secure network Communications, SAP
AG, Walldorf, Vol. 1,2,3, 1999.
113. SAP Security Guide, SAP AG, Walldorf, Vol.1,2,3, 1999.
114. Savage £, Cardwell N.
9
Wetherall D. et al. «TCP Congestion Con-
trol with a M isbehaving Receiver» // ACM Co mputer Commun ications
Review. October 1999. Vol. 29. No. 5. p. 71-78.
115. SchneierB. «Applied Cryptography» - John Wiley & Sons, Inc.,
1996.
116. Sedayao /. «Cisco IOS Access Lists» — O'Reilly and Associates,
2001.
117. Spafford G. «Wfeb Security & Co mmerce» — O'Reilly and Asso-
ciates, 1997, 1st Edition.
118. Standards for Information Systems Auditing. ISACA Standards,
2000
119. Standards for Information Systems Control Professionals. ISACA
Standards, 2000.
120. Stein I., MacEachern D. «Writing Apache modules with Perl and
C» -O'Reilly and Associates, 1999, 1st Edition.
121.Ya_mun Теория и практика атак format string» // Team Void, 27
февраля 2001. link.
Оглавление
Введение
Принятые сокращения
1. Основные принципы и предпосылки обеспечения инфор-
мационной безопаснос ти предприятия
1.1. Основные принципы обеспечения информационной безопасно-
сти предприятия
1.2. Предпосылки и цели обеспечения информационной безопасн о-
сти предприятия
2. Политика информационной безопасности
2.1. Политика информационной безопасности России
2.2. Описание трехуровневой политики информационной безопа с-
ности
3. Характеристика угроз информационной безопасности
3.1. Классификация у гроз
3.2. Примеры составов преступлений, в области информационного
обеспечения предприятий, определяемые УК РФ
3.3. Источники угроз
3.4. Наиболее распространенные угрозы в интегрированной инфор-
мационной системе управления предприятием
3.5. Угрозы при взаимодействии интегрированной инфор мационной
системы управления предприятием с Internet
4. Анализ уязвимос ти информационных сис тем и оценка рис-
ков
4.1. Уязвимость информационных систем
4.2. Классификация сетевых атак
4.3. Проблемы безопасности локальных вычислительных сетей и
интегрированных информационных систем управления предпри-
ятием
4.4. Распределенное хранение файлов
4.5. Удаленные вычисления
4.6. Топологии и протоколы
4.7. Службы обмена сообщениями
4.8. Оценка рисков
5. Требования по обеспечению комплексной системы
информационной бе зопасности
5.1. Требования по обеспечению информационной безопасности
корпоративной информационной системы предприятия
5.2. Требования к программно-аппаратным средствам
5.3. Требования к подсистеме идентификации
и аутентификации:
5.4. Требования к подсистеме управления доступом
5.5. Требования к по дсистеме протоколирования ау дита
5.6. Требования к подсистеме защиты повторного использования
объектов
5.7. Требования к защите критичной информации
5.8. Требования к средствам обеспечения
целостности:
5.9. Требования к средствам управления ИБ
5.10.Требования к Межсетевому Экрану
6. Принципы построения систем информационной безопасно-
сти
6.1. Принципы и правила построения информационной системы
предприятия
6.2. Принципы построения системы санкционированного доступа к
ресурсам
6.3. Принципы построения подсистемы защиты интег рированной
комплексной информационной системы управления предприятием
от угроз, исходящих из Internet
6.4. Службы и механизмы защиты
6.5. Идентификация и аутентификация
6.6. Управление доступом
6.7. Конфиденциальность данных и сообщений
6.8. Целостность данных и сообщений
6.9. Контроль участников взаимодействия
6.10. Регистрация и наблюдение
7. Структура защиты информации в интегрированной инфор-
мационной системе управления предприятием
7.1. Структурная схема системы защиты информации интегрир о-
ванной информационной системы управления предприятием
7.2. Основные функции уровней защиты информации интегр иро-
ванной информационной системы управления предприятием
8. Отечественные и зарубеж ные программно-технические с ред-
ства защиты информации в интегрированных инфор-
мационных системах управления пред приятием
8.1. Системы разграничения доступа (полномочий)
8.2. Электронный замок «Соболь»
8.3. Идентификация и аутентификация пользователей
8.4. Регистрация попыток доступа к ПЭВМ
8.5. Контроль целостности программной среды и запрет загрузки со
съемных носителей
8.6. Возможности по администрированию
8.7. Криптографическое устройство eToken электронный
замок eToken
8.8. Системы биометрической аутентификации
8.9. Решения по обеспечению безопасности корпоративной сети
8.10. Применение средств антивирусной защиты
8.11. Применение средств межсетевого экранирования
8.12. Защита на основе маршрутизатора с листами доступа
8.13. Защита внутренних информационных ресурсов корпоративной
сети
8.14. Межсетевой экран PIX Firewall
8.15. WatchGuard Firebox System
8.16. Централизованное управление защитой
8.17. Схема децентрализованной защиты корпоративных серверов
8.18. Применение средств контроля электронной почты
8.19.Средство контроля и разграничения доступа к web
8.20. Сканирование электронной почты с помощью MIMEsweeper
for Domino
8.21. Применение средств контроля и регистрации событий безо-
пасности
8.22. Создание виртуальных частных сетей (VPN)
8.23.Система централизированного управления RealSecure Site Pro-
tector
8.24. Оснащение объекта техническими средствами защиты и кон-
троля информации
9. Система защиты информации в SAP R/3
9.1. Служба безопасности SAP R/3
9.2. Подключение ядра шифрования фирмы CryptoPro к компонен-
там mySAP.com через модифицированный MSNC-адаптер
9.3. Создание центра сертификации Windows 2000 на базе крипто-
графического ядра фирмы CryptoPro
9.4. Настройка служб безопасности R/3
9.5. Задачи администрирования системы R/3
10. Се ртификация информационных с истем
10.1. Основные характеристики технических средств защиты от
несанкционированного доступа
10.2. Требования по защите информации от несанкционированного
доступа для автоматизированных систем
10.3. Требования к автоматизированным системам защиты третьей
группы
10.4. Требования к автоматизированным системам защиты второй
группы
10.5. Требования к автоматизированным системам защиты первой
группы
10.6. Требования по защите информации от несанкционированного
доступа для средств вычислительной техники
10.7. Требования к межсетевым экранам. Показатели защищенности
межсетевых экранов
11. Направления работ по созд анию сис тем комплексной защи-
ты информационной системы предприятия
11.1. Организация работ по защите от несанкциониро ванного дос-
тупа ИИСУП
11.2. Классификация интегрированных информационных систем
управления предприятием
11.3. Система компьютерной безопасности
11.4. Оснащение объекта техническими средствами противо дейс т-
вия экономическому шпионажу и защи ты речевой информации
11.5. Этапы проведения работ по обеспечению информационной
безопасности предприятия
Приложение 1 Терминологический словарь
Приложение 2 Нормативные документы
Литература