КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
VI-ой рубеж. Данные
Наиболее эффективной защитой конфиденциальности данных является их шифрование. Информация, которая может быть прочитана, осмыслена и понята без каких-либо специальных мер, называется открытым текстом (plaintext, clear text). Метод искажения открытого текста таким образом, чтобы скрыть его суть, называется зашифрованием (encryption или enciphering). Зашифрование открытого текста приводит к его превращению в непонятную абракадабру, именуемую шифртекстом (ciphertext). Шифрование позволяет скрыть информацию от тех, для кого она не предназначается, несмотря на то, что они могут видеть сам шифртекст. Противоположный процесс по обращению шифртекста в его исходный вид называется расшифрованием (decryption или deciphering) [16]. Рисунок иллюстрирует это (Рис. 3.9). Рис. 3.9. Схема процесса шифрования Криптография – это наука об использовании математики для зашифрования и расшифрования данных. Криптография позволяет хранить важную информацию или передавать её по ненадёжным каналам связи (таким как Интернет) так, что она не может быть прочитана никем, кроме легитимного получателя. В то время как криптография – это наука о защите данных, криптоанализ – это наука об анализировании и взломе криптографированных коммуникаций. Классический криптоанализ представляет собой смесь аналитики, математических и статистических расчётов, а также спокойствия, решительности и удачи. Криптоаналитиков также называют взломщиками. Криптология объединяет криптографию и криптоанализ. Стеганография является смежной дисциплиной. Вместо того, чтобы делать сообщения нечитаемыми, она использует техники сокрытия самих сообщений. Стеганография – это не криптография, это лишь частный случай кодирования, чья надёжность опирается на секретность механизма сокрытия сообщений. Скажем, если вы решите спрятать сообщение. А, используя для этого первые буквы первых слов в каждом предложении сообщения Б, это будет секретом, пока кто-то не обнаружит, где искать А, и тогда механизм более не будет предоставлять никакой защиты. Криптография может быть стойкой, а может быть слабой. Криптографическая стойкость измеряется тем, сколько понадобится времени и ресурсов, чтобы из шифртекста восстановить исходный открытый текст. Результатом стойкой криптографии является шифртекст, который исключительно сложно взломать без обладания определёнными инструментами по дешифрованию. Но насколько сложно? Используя весь вычислительный потенциал современной цивилизации – даже миллиард компьютеров, выполняющих миллиард операций в секунду – невозможно дешифровать результат стойкой криптографии до конца существования Вселенной. Кто-то может решить, что стойкая криптография сможет устоять даже против самого серьёзного криптоаналитика. Но кто об этом говорит? Никем не доказано, что лучшее шифрование, доступное сегодня, сможет выстоять против вычислительных возможностей компьютеров, доступных завтра. Тем не менее, стойкая криптография, задействованная в PGP, – лучшая на сегодняшний день. Бдительность и консерватизм сберегут вас лучше заявлений о совершенной защите. Криптографический алгоритм, или шифр, – это математическая формула, описывающая процессы зашифрования и расшифрования. Чтобы зашифровать открытый текст, криптоалгоритм работает в сочетании с ключом – словом, числом или фразой. Одно и то же сообщение одним алгоритмом, но разными ключами будет преобразовываться в разный шифртекст. Защищённость шифртекста целиком зависит от двух вещей: стойкости криптоалгоритма и секретности ключа. Криптоалгоритм плюс всевозможные ключи и протоколы, приводящие их в действие, составляют криптосистему. В традиционной криптографии, также называемой шифрованием тайным, или симметричным, ключом, один и тот же ключ используется как для зашифрования, так и для расшифрования данных. Data Encryption Standart (DES) – пример симметричного алгоритма, широко применявшегося на Западе с 70-х годов в банковской и коммерческой сферах. В настоящее время его сменяет Advanced Encryption Standard (AES). Рисунок иллюстрирует процесс симметричного шифрования (Рис. 3.10). Рис. 3.10. Схема симметричного шифрования Симметричное шифрование имеет ряд преимуществ. Первое – скорость криптографических операций. Оно особенно полезно для шифрования данных, которые остаются у вас. Однако, симметричное шифрование, применяемое само по себе как средство защиты пересылаемых ценных данных, может оказаться весьма затратным просто из-за сложности передачи тайного ключа. Вспомните персонажа из вашего любимого шпионского фильма: человек с запечатанным кейсом, пристёгнутым наручником к руке. Как вы считаете, что в этом кейсе? Едва ли в нём коды запуска ракет / формула химического оружия / планы вторжения, как таковые. Вероятнее, там – ключ, который расшифрует секретную информацию. Для установления криптографированной связи с помощью симметричного алгоритма, отправителю и получателю нужно предварительно согласовать ключ и держать его в тайне. Если они находятся в географически удалённых местах, то должны прибегнуть к помощи доверенного посредника, например, надёжного курьера, чтобы избежать компрометации ключа в ходе транспортировки. Злоумышленник, перехвативший ключ в пути, сможет позднее читать, изменять и подделывать любую информацию, зашифрованную или заверенную этим ключом. Глобальная проблема симметричных шифров состоит в сложности управления ключами: как вы доставите ключ получателю без риска, что его перехватят? Проблема управления ключами была решена криптографией с открытым, или асимметричным, ключом, концепция которой была предложена Уитфилдом Диффи и Мартином Хеллманом в 1975 году. Криптография с открытым ключом – это асимметричная схема, в которой применяются пары ключей: открытый (public key), который зашифровывает данные, и соответствующий ему закрытый (private key), который их расшифровывает. Вы распространяете свой открытый ключ по всему свету, в то время как закрытый держите в тайне. Любой человек с копией вашего открытого ключа может зашифровать информацию, которую только вы сможете прочитать. Кто угодно. Даже люди, с которыми вы прежде никогда не встречались. Хотя ключевая пара математически связана, вычисление закрытого ключа из открытого в практическом плане невыполнимо. Каждый, у кого есть ваш открытый ключ, сможет зашифровать данные, но не сможет их расшифровать. Только человек, обладающим соответствующим закрытым ключом может расшифровать информацию (Рис. 3.11). Рис. 3.11. Схема асимметричного шифрования (с открытым ключом) Главное достижение асимметричного шифрования в том, что оно позволяет людям, не имеющим существующей договорённости о безопасности, обмениваться секретными сообщениями. Необходимость отправителю и получателю согласовывать тайный ключ по специальному защищённому каналу полностью отпала. Все коммуникации затрагивают только открытые ключи, тогда как закрытые хранятся в безопасности. Примерами криптосистем с открытым ключом являются Elgamal (названная в честь автора, Тахира Эльгамаля), RSA (названная в честь изобретателей: Рона Ривеста, Ади Шамира и Леонарда Адлмана), Diffie-Hellman (названная, правильно, в честь её создателей) и DSA, Digital Signature Algorithm (изобретённый Дэвидом Кравицом). Поскольку симметричная криптография была некогда единственным способом пересылки секретной информации, цена надёжных каналов для обмена ключами ограничивала её применение только узким кругом организаций, которые могли её себе позволить, в частности, правительствами и крупными банковскими учреждениями (или маленькими детьми с Секретными кольцами-декодерами). Появление шифрования с открытым ключом стало технологической революцией, предоставившей стойкую криптографию массам. Дополнительное преимущество от использования криптосистем с открытым ключом состоит в том, что они предоставляют возможность создания электронных цифровых подписей (ЭЦП). Цифровая подпись позволяет получателю сообщения убедиться в аутентичности источника информации (иными словами, в том, кто является автором информации), а также проверить, была ли информация изменена (искажена), пока находилась в пути. Таким образом, цифровая подпись является средством авторизации и контроля целостности данных. Кроме того, ЭЦП несёт принцип неотречения, который означает, что отправитель не может отказаться от факта своего авторства подписанной им информации. Эти возможности столь же важны для криптографии, как и секретность. Рассмотрим на простом примере, как устроена исполнительная процедура электронной цифровой подписи. Предположим, есть два пользователя i и j, и один из них (пусть это будет пользователь i) решил послать другому важные данные, используя ЭЦП. Для этого пользователи должны выполнить следующие действия (Рис. 3.12), состоящие, по сути, из двух этапов: подготовительного и исполнения передачи. Рис. 3.12. Схема использования ЭЦП На подготовительном этапе пользователь i создает пару своих личных ключей ЭЦП: секретный ключ Ksi и открытый ключ Kpi. Открытый ключ Kpi вычисляется из соответствующего ему секретного ключа; обратное же вычисление невозможно (аналогично тому, как это происходит с алгоритмами асимметричного шифрования). После этого пользователь i передает открытый ключ Kpi пользователю j. На этапе исполнения процедуры пользователь i перед отправкой сообщения подписывает его с помощью своего секретного ключа Ksi. Заметим, что пользователь j может проверить подпись пользователя i в сообщении с помощью Kpi - открытого ключа абонента i. Если же пользователь j тоже захочет ответить пользователю i подписанным сообщением, то он должен создать собственные ключи и передать пользователю i свой открытый ключ для проверки ЭЦП. С теоретической точки зрения электронная подпись представляет собой последовательность фиксированной длины (длина эта зависит от конкретного алгоритма ЭЦП), которая вычисляется определенным образом с помощью содержимого подписываемой информации и секретного ключа. Секретный ключ ЭЦП также есть не что иное, как последовательность определенной длины. Это тот самый уникальный элемент, без знания которого невозможно подделать ЭЦП его владельца. Соответственно пользователь должен хранить свой секретный ключ таким образом, чтобы никто другой не смог "выведать" его значение. Если же у владельца ключа есть основания полагать, что ключ известен кому-либо еще, то такой секретный ключ ЭЦП считается скомпрометированным, и "потерпевший", допустивший компрометацию своего ключа, должен оповестить всех остальных корреспондентов, что его открытый ключ следует считать недействительным. После оповещения легко создать новую пару ключей ЭЦП, гарантирующую авторство писем. Механизмы такого оповещения определены, например, международным стандартом X.509. Если же этого не сделать, подпись "потерпевшего", утерявшего свой ключ, может появиться под любым электронным документом. И тогда, по аналогии с обычной подделкой документов, можно сказать, что злоумышленник, завладевший чужим ключом, научился удачно подделывать подпись его владельца, да вдобавок еще и получил возможность ставить его печать. Открытый ключ, наоборот, должен быть доступен всем, с кем данный корреспондент намерен обмениваться информацией, заверенной личной подписью. Например, он может храниться на каком-нибудь разделяемом ресурсе. Естественно, количество пользователей такой системы может быть сколь угодно большим; каждый из них (Рис. 3.13) должен, во-первых, иметь и надежно хранить собственный секретный ключ, а во-вторых - получить доступ к открытым ключам остальных корреспондентов. Рис. 3.13. Распределение ключей ЭЦП. Физическое представление ключей ЭЦП зависит от конкретной системы, поддерживающей использование ЭЦП. Чаще всего ключ записывается в файл, который, в дополнение к самому ключу, может содержать, например, информацию о пользователе - владельце ключа, о сроке действия ключа, а также некий набор данных, необходимых для работы конкретной системы. Данные о владельце ключа позволяют реализовать "побочную", но важную функцию ЭЦП - установление авторства, поскольку при проверке подписи сразу же становится ясно, кто подписал то или иное сообщение. Обычно программы, осуществляющие проверку ЭЦП, настраиваются так, чтобы результат исполнения появлялся на экране в удобном для восприятия виде и с указанием поставившего ЭЦП пользователя, например, так: "Подпись файла message.doc верна (Автор: Иванов Иван Иванович)" Для формирования ЭЦП в качестве исходного значения берется не само сообщение, а его хэш (результат обработки сообщения хэш-функцией). Дело в том, что заверяемый подписью текст может быть абсолютно произвольного размера: от пустого сообщения до многомегабайтного файла, содержащего, например, графическую информацию. Но практически все применяемые алгоритмы вычисления ЭЦП используют для расчета сообщения заранее заданной стандартной длины (например, в отечественном алгоритме ЭЦП ГОСТ Р 34.10-94 этот размер определен равным 32 байтам). Задача хэш-функции - из сообщения произвольной длины вычислить цифровую последовательность нужного размера (скажем, 32 байта). И хотя задача такой хэш-функции вполне тривиальна, сама функция должна удовлетворять определенным требованиям. Прежде всего необходимо, чтобы результат (хэш сообщения) однозначно соответствовал исходному сообщению и изменялся при любой модификации последнего, даже самой незначительной. Кроме того, хэш сообщения должен вычисляться таким образом, чтобы для любого сообщения M было бы невозможно подобрать такое сообщение M', для которого h(M) = h(M'). Другими словами, трудоемкость успешного вычисления сообщения M' по известному сообщению M и его хэшу h(M), удовлетворяющего условию h(M') = h(M), должна быть эквивалентна трудоемкости прямого перебора сообщений. Невыполнение этого условия создало бы возможность для злоумышленника подменять сообщения, оставляя их подпись верной. С другой стороны, очевидно, что хэш будет одинаков для многих сообщений, поскольку множество возможных сообщений существенно больше множества возможных хэш-значений (действительно, количество сообщений безгранично, а количество хэш-значений ограничено числом 2N, где N - длина хэш-значения в битах). К числу наиболее известных функций хэширования принадлежат следующие. · Отечественный стандарт ГОСТ Р 34.11-94. Вычисляет хэш-значение размером 32 байта. · MDx (Message Digest) - семейство алгоритмов хэширования, которые наиболее распространены за рубежом. Например, алгоритм MD5 применяется в последних версиях Microsoft Windows для преобразования пароля пользователя в 16-байтное число. · SHA-1 (Secure Hash Algorithm) - алгоритм вычисления 20-байтного хэш-значения входных данных. Он также очень широко распространен в мире, преимущественно в сетевых протоколах защиты информации. Помимо средства для создания ЭЦП, хэш-функции успешно используются для аутентификации пользователей. Существует немало криптографических протоколов аутентификации, основанных на применении хэш-функций. В данной лекции приведен основной, однако далеко не полный перечень инженерно-технических, криптографических, аппаратных, программных и программно-аппаратных средств, используемых для защиты информации в информационных системах. Развитие информационных систем предполагает все более активное использование на предприятиях беспроводных сетей, центров обработки данных и т.п. Вместе с развитием информационных систем приходят и новые проблемы, связанные с обеспечением их информационной безопасности. Как решать эти проблемы мы покажем в следующих изданиях данного учебника. Вопросы для самоконтроля к теме 3 1. Понятие «информационная безопасность». Аспекты информационной безопасности. 2. Основные термины и определения в области защиты информации 3. Необходимость обеспечения информационной безопасности инновационной деятельности 4. Специфика защищаемой информации в инновационной деятельности 5. Инвентаризация элементов информационной системы и ее значение в процессе защиты информации. 6. Категорирование объектов, субъектов и средств работы с информацией в информационной системе. 7. Классификация и ранжирование угроз и уязвимостей информационной системы. 8. Понятие «комплексная система защиты информации» (КСЗИ). Необходимость создания КСЗИ на инновационном предприятии. 9. Организационная защита информации. 10. Правовая защита информации. 11. Криптографическая защита информации. 12. Инженерно-техническая защита информации 13. Программно-аппаратная защита информации. 14. Система управления информационной безопасностью. 15. Управление рисками информационной безопасности.
Библиография Библиография к теме 1: 1. Информационные системы: Учебное пособие/ под ред. В.Н. Волковой, Б.И. Кузина. – СПб: Издат-во СПбГПУ, 2005. – 224 с. 2. Калачанов В.Д., Кобко Л.И. Экономическая эффективность внедрения информационных технологий: Учебное пособие. – М.: МАИ, 2006. – 180с. 3. Информационные технологии управления: Учебное пособие для вузов/Под ред. проф. Г.А. Титоренко. – М.: ЮНИТИ-ДАНА, 2003. – 439с. 4. Стратегия Microsoft в области создания хранилищ данных: платформа для совершенствования процессов принятия решений за счет облегчения доступа и анализа данных. – http://www.microsoft.ru/msdn/Experts/ 5. Романов В.П. интеллектуальные информационные системы в экономике. – М.: Экзамен, 2003. – 496с. 6. Аналитическая обработка данных, прогнозирование и моделирование при помощи OLAP-технологии(ПАРУС OLAP) – www.parus.vrn.ru/products/book/page28/ 7. Олейник А.И. Управление ИТ-инфраструктурой предприятия/Учебно-методический комплекс. –М.:ВШЭ, 2006. – 315 с. 8. Данилин А.В., Слюсаренко А.И. Архитектура предприятия. – http://www.intuit.ru/ Библиография к теме 2 9. Балахонова И.В., Волчков С.А., Капитуров В.А., Обухов И.А., Румянцев С.В. Лекции по ERP (электронная версия) 10. Голенищев Э. П., Клименко И. В. Информационное обеспечение систем управления. Серия «Учебники и учебные пособия». Ростов н/Д: «Феникс», 2003. – 352 с. 11. ГОСТ 34.003-90. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Термины и определения. 12. Зиндер Е.З. Революционные изменения базовых стандартов в области системного проектирования. Сб. трудов Всероссийской практической конференции «Стандарты в проектах современных информационных систем (Москва, 17—18 марта 2001 года)». — М.: Открытые системы, 2001, с. 12—20. 13. Зиндер Е.З. Что такое информационная система //Директор информационной службы. — 2002. — № 6. 14. Ильин В. В. Моделирование бизнес-процессов. Практическое использование ARIS. 15. Информационные системы в экономике: Учебник / Под ред. проф. В.В.Дика. — М.: Финансы и статистика, 1996. 16. Информационные технологии бухгалтерского учета / О. П. Ильина. — СПб: Питер, 2001. —688 с: ил. 17. Информационные технологии управления: Учебное пособие / Под ред. Ю.М. Черкасова. - М.: ИНФРА-М, 2001. - 216 с. - (Серия «Высшее образование»). 18. Каменнова М., Громов А., Ферапонтов М., Шматалюк А.. Моделирование бизнеса. Методология ARIS. Практическое руководство. 19. Когаловский В.М. Происхождение ERP//Директор информационной службы. - 2000. - № 10. 20. Когаловский М. Р. Перспективиые технологии информационных систем ДМК Пресс; М.; Компания АйТи, 2003.- 288 с. «ИТ-Экономика» 21. Корнеев И.К., Машурцев В.А. Информационные технологии в управлении. — М.: ИНФРА-М, 2001. — 158 с. — (Серия «Вопрос — ответ») 22. Ларичев О. И., Петровский А. В. Системы поддержки принятия решений. Современное состояние и перспективы их развития. // Итоги науки и техники. Сер. Техническая кибернетика. — Т.21. М.: ВИНИТИ, 1987, с.131-164 23. Редько С.Г. Информационные технологии: Учеб. пособие. СПб.: Изд-во Политехн. ун-та, 2007. 104 с. 24. Репин В. В., Елиферов В. Г. Процессный подход к управлению. Моделирование бизнес-процессов. 25. Робсон М., Уллах Ф. Практическое руководство по реинжинирингу бизнес-процессов/Пер. с англ. под ред. НД.Эриашвили. — М.: Аудит, ЮНИТИ, 1997. - 224 с. 26. Руководство пользователя Audit Expert. 27. Руководство пользователя Project Expert. 28. Сараев А. Д., Щербина О. А. Системный анализ и современные информационные технологии //Труды Крымской Академии наук. — Симферополь: СОНАТ, 2006. — С. 47-59 29. Система бизнес-моделирования Business Studio Версия 2.0 Руководство пользователя. Группа компаний «Современные технологии управления», 2004-2007. 30. Третьяков В.Н. Банк научных идей статья в № 6 (1985) научно-популярного журнала АН СССР «Химия и жизнь» http://tvinteltech.narod.ru/bni.html 31. Учебно методический комплекс «Управление инновационными проектами». Санкт–Петербургский Государственный Технический Университет. Институт Инноватики. Под редакцией профессора И.Л. Туккеля. Санкт-Петербуррг, 801с. 2007г. www.ii.spb.ru 32. Черноруцкий И.Г. Методы принятия решений. — СПб.: БХВ-Петербург, 2005. —416 с 33. Шеер А.-В. «Основать-то компанию просто». Пер. с нем. «Весть-МетаТехнология», 2001.-282с. 34. Шеер А.-В. Бизнес-процессы. Основные понятия. Теория. Методы. Библиография к теме 3 Законодательные материалы 1. Доктрина информационной безопасности Российской Федерации [Текст]. – М.: Приор, [2001?]. – 12, [1] с. 2. Российская Федерация. Законы. Гражданский кодекс Российской Федерации. Часть четвертая. [Текст]: [федер. закон: Принят Гос. Думой 24 ноября 2006 г.: одобр. Советом Федерации 8 декабря 2006 г.]. – Российская газ. – 2006. – 22 декабря 3. Российская Федерация. Законы. Об информации, информационных технологиях и защите информации [Текст]: федер. закон: [Принят Гос. Думой 8 июля 2006 г.:одобр. Советом Федерации 14 июля 2006 г.]. – Российская газ. – 2006. – 29 июля Стандарты 4. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. [Текст]. – Введ. 2007–01–01. – М.: Изд-во стандартов, 2007. – 34 с. 5. ГОСТ Р 50922—96. Защита информации. Основные термины и определения. [Текст]. – Введ. 1997–07–01. – М.: Изд-во стандартов, 1997. – 7 с Книги 6. Абрамешин А.Е. и др. Инновационный менеджмент: Учебник для вузов. / Под ред. д-ра экон. наук, проф. О.П. Молчановой. - Москва Издательство «Вита-Пресс», 2001. – 139 с. 7. Герасименко, В.А., Малюк, А.А. Основы защиты информации.– М.: МИФИ, 1997. – 537 с.: ил. 8. Казакевич, О.Ю., Конев, Н.В, Максименко, В.Г. и др. Предприниматель в опасности: способы защиты. Практическое руководство для предпринимателей и бизнесменов. [Текст] – М.: Юрфак МГУ, 1992. – 119с. 9. Конеев, И.Р., Беляев, А.В. Информационная безопасность предприятия. – СПб.: БХВ-Петербург, 2003. – 752 с.: ил. 10. Макарова, Н. В. Информатика. [Текст]: Изд. 3-е, перераб. и доп. – М.:ФиС, 2007. – 768 с.; 11. Маркс, К. Капитал. Вторая книга. Процесс обращения капитала. [Текст] //Соч. т. 49, с. 190. 12. Торокин, А. А. Инженерно-техническая защита информации. М.: Гелиос АРВ, 2005. – 960 с. 13. Хорев, П.Б. Методы и средства защиты информации в компьютерных системах: Учеб. пособие для студ. высш. учеб. заведений / Павел Борисович Хорев. - М.: Издательский центр «Академия», 2005. – 256 с. 14. Шумский, А. А. Системный анализ в защите информации: Учеб. пособие для вузов по специальностям в обл. информ. безопасности / А. А. Шумский, А. А. Шелупанов. - М.: Гелиос АРВ, 2005. – 220 с.: табл. 15. Tipton, Harold F. Information security management handbook / Harold F. Tipton, Micki Krause. -- 6th ed., Vol.2 - CRC Press LLC, 2008. - 458 p. Электронные ресурсы 16. Введение в криптографию. [Электронный ресурс] Режим доступа http://www.pgpru.com/biblioteka/osnovy/vvedenievkripto/. — Загл. с экрана. 17. Вихорев Сергей Викторович. Директор департамента ОАО "Элвис Плюс". Классификация угроз информационной безопасности. [Электронный ресурс] /CNews. Интернет-издание о высоких технологиях. Режим доступа: http://www.cnews.ru/reviews/free/oldcom/security/elvis_class.shtml. — Загл. с экрана. 18. В.Путин подчеркнул важность обеспечения правовой защиты интеллектуальной собственности. [Электронный ресурс] Режим доступа: http://www.quote.ru/stocks/fond/2006/03/17/9687170.shtml. — Загл. с экрана. 19. Враг внутри себя. Игорь Чумарин, директор Агентства исследования и предотвращения потерь (Санкт-Петербург). [Электронный ресурс] Режим доступа: http://www.sigmus.ru/articles/vv6.html. — Загл. с экрана. 20. Гостехкомиссия России. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий, 2002 г. Часть 1. – Введ. 2002-06-19. [Электронный ресурс] Режим доступа: http://holg.ginf.ru/fstec/_docs/.ch_1.doc. — Загл. с экрана. 21. Интеллектуальныйкапитал [Электронный ресурс] /Материал из Википедии — свободной энциклопедии. Режим доступа: http://ru.wikipedia.org/wiki/Интеллектуальный_капитал. — Загл. с экрана. 22. Найти "голову", или Охота, приятная жертве. Оксана Никитина. [Электронный ресурс] Режим доступа: http://www.nrn.ru/article2.shtml?aid=55. — Загл. с экрана. 23. А.И. Орлов. Менеджмент: учебник. - М.: Знание, 1999. [Электронный ресурс] Режим доступа:http://www.aup.ru/books/m31/4.htm. — Загл. с экрана. 24. Промышленный шпионаж [Электронный ресурс] /Материал из Википедии — свободной энциклопедии. Режим доступа: http://ru.wikipedia.org/wiki/Промышленный_шпионаж. — Загл. с экрана. 25. Разработка структуры службы безопасности предприятия [Электронный ресурс]. Режим доступа: http://www.cprspb.ru/bibl/opv/balashov.doc. — Загл. с экрана. 26. Технические основы охраны фирмы.[Электронный ресурс] Режим доступа: http://stories.net.ru/6/Bezopasnost-3.html. — Загл. с экрана. 27. Убытки российской экономики от контрафактной продукции – 13 млрд. долларов ежегодно [Электронный ресурс]/ Официальный сервер Сергея Глазьева. Режим доступа: http://old.glazev.ru/print.php?article=1235 — Загл. с экрана. 28. Эра биометрики. Александр Петруненков. [Электронный ресурс]. Режим доступа: http://win2000mag.ru/cio/2003/12/173069/ — Загл. с экрана. 29. Этери Хетеева: Российские инновации уже достигли мирового класса [Электронный ресурс] /CNews. Интернет-издание о высоких технологиях Режим доступа: http://www.cnews.ru/reviews/articles/index.shtml?2006/11/27/218848. — Загл. с экрана. 30. Актуальность в процентах. О.Генне. [Электронный ресурс] Режим доступа: http://www.bre.ru/security/6783.html. — Загл. с экрана.
[1] Информационные системы: Учебное пособие/ под ред. В.Н. Волковой, Б.И. Кузина. – СПб: Издат-во СПбГПУ, 2005. – 224 с. [2] Калачанов В.Д., Кобко Л.И. Экономическая эффективность внедрения информационных технологий: Учебное пособие. – М.: МАИ, 2006. – 180 с. [3] Информационные технологии управления: Учебное пособие для вузов/Под ред. проф. Г.А. Титоренко. – М.: ЮНИТИ-ДАНА, 2003. – 439 с. [4] Стратегия Microsoft в области создания хранилищ данных: платформа для совершенствования процессов принятия решений за счет облегчения доступа и анализа данных. – http://www.microsoft.ru/msdn/Experts/ [5] Романов В.П. интеллектуальные информационные системы в экономике. – М.: Экзамен, 2003. – 496 с. [6] Аналитическая обработка данных, прогнозирование и моделирование при помощи OLAPтехнологии(ПАРУС OLAP) – www.parus.vrn.ru/products/book/page28 [7] Олейник А.И. Управление ИТ-инфраструктурой предприятия/Учебно-методический комплекс. –М.:ВШЭ, 2006. – 315 с. [8] Данилин А.В., Слюсаренко А.И. Архитектура предприятия. – www.intuit.ru [9] По материалам Института инноватики С.-Петербург [10] Автор техники ментальных карт - Тони Бьюзен (Tony Buzan) [11] MSA - Mail submission agent [12] MDA - Mail Delivery Agent (англ. Агент доставки электронной почты) [13] MRA - Mail Retrieval Agent [14] Netscape Communications, Mozilla Foundation (с 2000), [15] Internet Explorer — единственный браузер, в который встроена поддержка Microsoft Component Object Model (также известной как ActiveX). Помимо расширенной функциональности, внедрение ActiveX в Internet Explorer привело также к усиленной уязвимости от вирусов, троянов и шпионских модулей [16] Работает в Windows и GNU/Linux. Требуется установка GNU Aspell [17] Internet Explorer 6 для Windows поддерживает PNG, однако не корректно отображает изображения с альфа-прозрачностью — частично-прозрачные области отображаются полностью непрозрачными. [18] Интервью в журнале «Директор-Инфо» (№ 19, июнь 2005 г.) [19] Т.Т. Пономарева, эксперт журнала "Российский налоговый курьер" Источник: Консультант.ру http://www.tls-cons.ru/materials/konsultant_garant.html [20] Респонденту задавался вопрос, какие СПС использовала компания в течение прошедшего 2004 года. По результатам ответов оценивались доли рынка в 2004 году по всей России по данным РОМИР-мониторинг [21] Бизнес-процессы верхнего уровня – это бизнес-процессы, получающиеся на начальных этапах процессной декомпозиции деятельности компании. К данной группе бизнес-процессов, как правило, относят следующие виды деятельности: «Продажа», «Производство», «Закупка», «Управление финансами» и т.д. [22] Бизнес-процессы нижнего уровня – это бизнес-процессы, получающиеся на последующих этапах процессной декомпозиции деятельности компании и являющиеся составной частью процессов верхнего уровня. К данной группе бизнес-процессов можно отнести следующие виды деятельности: «Выставление счета», «Подготовка договора», «Изготовление детали» и т.д. [23] EPC диаграмма - описание бизнес-процесса как последовательности чередующихся событий и функций. Основные графические элементы диаграммы EPC: · функции, · события, · организационные единицы, ответственные за исполнение функций, · информационные или материальные объекты, которые используются при выполнении функций, · коннекторы (AND, OR, XOR). В отличие от нотации IDEF0 нотация EPC используется для моделирования бизнес-процессов нижнего уровня. С помощью коннекторов можно обозначить некоторые функции процесса, выполняемые параллельно, а некоторые только при наступлении определенных условий [24] Метод расчета ПЧР: 2) Определить потенциальные причины/механизмы несоответствий с установлением балла вероятности их возникновения О (10-балльная шкала). 3) Определить имеющиеся меры управления процессом по обнаружению потенциальных несоответствий с установлением балла по вероятности их обнаружения D (10-бальная шкала). 4) Перемножая баллы S x O x D, вычислить приоритетное число риска ПЧР - количественную оценку комплексного риска несоответствия (от 1 до 1000). [25] Г.В. Никифоров, представитель руководства по качеству Компании "АИСТ". Напечатано в журнале "Методы менеджмента качества", №1-2006 [26] http://curs.ru/library/mis.shtml#plan1
Дата добавления: 2014-01-06; Просмотров: 507; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |