На правах рукописи Лысов Александр Сергеевич ПОВЫШЕНИЕ ЭФФЕКТИВНОСТИ ДЕЯТЕЛЬНОСТИ ПОДРАЗДЕЛЕНИЙ ПО ЗАЩИТЕ ИНФОРМАЦИИ ОРГАНОВ ГОСУДАРСТВЕННОГО УПРАВЛЕНИЯ НА ОСНОВЕ АНАЛИЗА ИНФОРМАЦИОННЫХ РИСКОВ 05.13.19 – Методы и системы защиты информации, информационная безопасность АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук Тюмень – 2007 Работа выполнена в Тюменском государственном университете Научный руководитель: доктор технических наук, профессор Захаров Александр Анатольевич Официальные оппоненты: Ведущая организация: 2 ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ Реализация прогрессивного потенциала информатизации в политической, экономической, социальной и культурной сферах невозможна без внедрения новых информационных технологий в государственный сектор, имеющий решающее значение для устойчивого развития страны. Одним из сдерживающих факторов в процессе совершенствования государственного управления на основе информационно-технологических инноваций является масштабное возникновение угроз информационной безопасности. Для решения задач защиты информации в органах государственного управления формируются специальные подразделения, деятельность которых направлена на минимизацию рисков нарушения конфиденциальности, целостности и доступности информации. Деятельность этих подразделений осуществляется на основе нормативных правовых документов (федеральные законы, указы Президента РФ, государственные стандарты и специализированные документы инструктивного характера). Основные организационные и технические требования к обеспечению информационной безопасности заложены в Федеральном законе «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ, ГОСТе Р ИСО/МЭК 15408-2002 и руководящих документах ФСТЭК России. В них определены механизмы учета защищаемых информационных ресурсов, порядок аттестации объектов информатизации, процедуры сертификации средств защиты и др. Нормативные правовые документы, регулируют ключевые аспекты деятельности по обеспечению информационной безопасности, акцентируя внимание на необходимости проведения отдельных мероприятий. Однако это не решает всего комплекса практических задач, связанных с защитой информации в конкретных ситуациях с учетом специфики деятельности органов государственного управления. В работах отечественных исследователей проблематики информационной безопасности А.А. Грушо, П.Д. Зегжда, А.А. Малюк, А.А. Стрельцов, А.А. Шелупанов отмечается необходимость и актуальность системного подхода к защите информации, обеспечивающего обоснованность, целостность и последовательность 3 реализуемых мер, их максимальную эффективность. Такой подход позволяет систематизировать нормативно-правовые требования к информационной безопасности и разработать на их основе научные практико-ориентированные методики, технологии и программы оптимизации деятельности по защите информации. Ключевым аспектом создания эффективной системы деятельности по защите информации является определение информационных активов и инфраструктуры, и выбор необходимых мер по обеспечению информационной безопасности. Это возможно на основе анализа информационных рисков. Другим аспектом оптимизации деятельности по защите информации является определение информационных потоков и алгоритмов, построение модели деятельности по обеспечению информационной безопасности. Таким образом, создаются условия для автоматизации ряда функциональных элементов деятельности по защите информации, т.е. реализации требований к информационной безопасности в виде программного комплекса, позволяющего специалистам подразделений по защите информации эффективно управлять задачами поддержания режима конфиденциальности (секретности), вести мониторинг состояния информационных ресурсов, их целостности и доступности, а также осуществлять контрольные мероприятия. В условиях динамичного развития информационных технологий, их усложнения и возникновения новых угроз информационной безопасности, решающим фактором обеспечения информационной безопасности становиться эффективная деятельность подразделений по защите информации. В настоящее время ощущается острый дефицит научно обоснованных методик и систем показателей для оценки эффективности этой деятельности, позволяющих показать экономическую целесообразность инвестиций в информационную безопасность. Учитывая ключевое значение деятельности по защите информации в органах государственного управления, задачи повышения ее эффективности прямо связаны с построением надежных и защищенных систем информационной безопасности национальных информационных ресурсов. 4 Объект исследования – деятельность подразделений по защите информации органов государственного управления. Предмет исследования – методики и программные средства повышения эффективности деятельности подразделений по защите информации органов государственного управления. Гипотеза исследования. Повысить эффективность деятельности подразделений по защите информации в органах государственного управления возможно, если: 1) на основе анализа информационных рисков произвести уточнение требований к защите информации; 2) разработать и внедрить специализированный программный комплекс, позволяющий автоматизировать деятельность подразделений по защите информации. Цель диссертационного исследования заключается в разработке научно обоснованной методики и программного обеспечения повышения эффективности деятельности подразделений по защите информации органов государственного управления. Задачи исследования. Достижение цели диссертационного исследования потребовало решения следующих задач: 1. Проанализировать и теоретически обосновать информационные риски в органах государственного управления; 2. Разработать и апробировать программный комплекс автоматизации деятельности подразделений по защите информации органов государственного управления; 3. Разработать систему показателей и произвести оценку эффективности деятельности подразделений по защите информации органов государственного управления. Методы исследования. Для решения поставленных задач использовались методы системного анализа, теории вероятностей и теории множеств. При разработке программного комплекса использовались методы объектно-ориентированного программирования. 5 Основные положения, выносимые на защиту: 1. Методика анализа информационных рисков; 2. Программный комплекс автоматизации деятельности подразделений по защите информации органов государственного управления; 3. Система показателей оценки эффективности деятельности подразделений по защите информации в органах государственного управления. Научная новизна работы заключается в следующем: разработанная методика анализа информационных рисков отличается от аналогов тем что, позволяет выполнять проверку согласованности результатов оценки рисков на основе метода анализа иерархий; разработанный способ получения экспертных оценок отличается тем, что позволяет добиваться более точных результатов при использовании экспертами разной квалификации, за счет применения метода парных сравнений; предложенная система показателей оценки эффективности деятельности подразделений по защите информации в органах государственного управления, позволяет обосновать необходимость инвестиций в информационную безопасность. Практическая значимость работы. Разработанный программный комплекс автоматизации деятельности подразделений по защите информации, основывающийся на методике анализа информационных рисков, позволяет повысить эффективность деятельности подразделений по защите информации в органах государственной управления. Методика анализа информационных рисков может быть использована для определения необходимых мер по обеспечению информационной безопасности в любой организации, где необходимо выполнять проверку согласованности результатов оценки рисков, и существует потребность максимально упростить процесс оценки рисков. Внедрение результатов диссертации. Программный комплекс автоматизации деятельности подразделений по защите информации, реализующий также методику анализа информационных 6 рисков, внедрен в главном военно-мобилизационном управлении Тюменской области. Методика анализа информационных рисков включена в лабораторный практикум «Анализ информационных рисков в небольшой организации» кафедры информационной безопасности Тюменского государственного университета. Апробация работы. Основные положения диссертационного исследования были представлены на следующих конференциях, конкурсах и семинарах: 6-м Всероссийском конкурсе студентов и аспирантов «SIBINFO-2006» (Томск, 2006, ТУСУР); Международной научно-практической конференции «Безопасность информационного пространства» (Екатеринбург, 2006, УрГУПС); 8-ой Международной научно-практической конференции «Информационная безопасность» (Таганрог, 2006, Таганрогский государственный радиотехнический университет); Всероссийской научно-практической конференции «Научная сессия ТУСУР-2007» (Томск, 2007, ТУСУР); научных семинарах кафедры «Информационной безопасности» (Тюмень, 2005, 2006, 2007, ТюмГУ); 4-ой международной научно-практической конференции «Исследование, разработка и применение высоких технологий в промышленности» (Санкт-Петербург, 2007, ИОА СО РАН); 2-ой международной научной конференции «Современные информационные системы, проблемы и тенденции развития» (Туапсе, 2007, Харьковский национальный университет радиоэлектроники). Публикации. Основные результаты диссертации опубликованы в 4 статьях, причем 2 статьи в журналы из списка ВАК, и 6 тезисах докладов на конференциях. Объем и структура диссертационной работы. Диссертация состоит из введения, четырех глав, заключения и списка литературы. Основной текст диссертационной работы изложен на 138 страницах и включает 37 рисунков и 9 таблиц. Список литературы содержит 133 источника, в том числе 34 на иностранном языке. Объем приложений составляет 3 страницы. 7 ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ Во введении обоснована актуальность диссертационной работы, определены цель и задачи исследования, сформулированы научная новизна, практическая ценность работы. В первой главе выполнено исследование задачи повышения эффективности деятельности подразделений по защите информации органов государственного управления. Диссертантом была исследована деятельность подразделений по защите информации в органах государственного управления и сформулированы особенности этой деятельности: на данный момент не выполняется оценка уровня безопасности используемых ИТ и определение необходимых упреждающих мер по защите информации; не автоматизирована деятельность по регистрации: документов учета информационных ресурсов, документов по аттестации ОИ, документов по сертификации средств защиты и т.д.; не автоматизирована деятельность по контролю наличия выше перечисленных документов; большинство сотрудников подразделений по защите информации (экспертов), не являются техническими специалистами, и при использовании методов экспертных оценок могут давать не валидные данные; распределенная инфраструктура (региональные отделения, где находятся объекты информатизации, и обрабатывается конфиденциальная информация, которую необходимо защищать, и центральное отделение, осуществляющее функции контроля над выполнением требований по защите информации региональными отделами); для большинства органов государственного управления нет защищенных каналов связи до центрального отделения для передачи информации о документах, поэтому все ещё используются аттестованные сменные носители для целей обмена информацией. 8 На основании выполненного моделирования деятельности подразделений по защите информации, определены основные информационные потоки, позволяющие в дальнейшем создать методику автоматизации этой деятельности. В результате проведенного исследования способов оценки эффективности защиты информации в организациях, определены источники информации для формулировки критериев оценки эффективности деятельности подразделений по защите информации. Вторая глава посвящена исследованию задачи анализа информационных рисков в органах государственного управления. На основании сформулированной задачи анализа информационных рисков в органах государственного управления, были определены ключевые требования к средствам анализа рисков: простота использования (субъективная характеристика); возможность проверки точности ответов экспертов, выполняющих оценку рисков; учет информационных ресурсов и служб; возможность подстройки методики под специфику организации. Для поиска решений задачи анализа информационных рисков было выполнено сравнение уже существующих средств анализа информационных рисков, с целью определения возможности их применения в органах государственного управления. Результаты сравнения методик, используемых в средствах анализа рисков, представлены ниже в таблице 1. Таблица 1. Характеристики методик анализа рисков Простота использо RA2 art of risk Risk Advisor RiskWatch CRAMM АванГард -Анализ Гриф + + + +/- +/- + 9 вания Метод получени я данных Прямая оценка вероятн. Прямая оценка вероятн. Прямая оценка вероятн. Прямая оценка вероятн. Прямая оценка вероятн. Прямая оценка вероятн. по 3-м критериям Возможн ость подстрой ки методики - - - Есть профили работы Может выполнять эксперт - Использ. стандарт по ИБ ISO 17799 AS/NZS 4360:2004 и ISO 17799 Стандарты США и ISO 17799 ISO 17799 ГОСТ Р ИСО/МЭК 154082002 ISO 17799 Учет угроз для ресурсов + + + + + + Учет угроз для служб + - + + + + На основании сравнения методик анализа рисков можно сделать вывод, что ни одна из рассмотренных методик не может быть применена для решения задачи анализа информационных рисков в органах государственного управления. Это обусловлено тем, что все рассмотренные методики анализа рисков используют методы прямой оценки значений угроз, которые не предоставляет способов проверки точности ответов экспертов. Поэтому принято решение разработать методику анализа рисков, учитывающую ключевые особенности процесса анализа рисков в органах государственного управления. Изучив существующие методики анализа рисков, было выделено 4 этапа, на которые необходимо разделить процесс анализа 10 рисков. Этапы алгоритма методики анализа информационных рисков заключаются в следующем: Нулевой этап (вводный). Начальный этап оценки рисков, здесь учитывается, что для более точной оценки рисков необходимо получать данные оценки от большего количества экспертов. И для определения «вклада» ответов конкретного эксперта необходимо определить «вес» каждого эксперта. На данном этапе эксперт, выполняющий оценку рисков, должен заполнить данные о себе, чтобы сформировать вес (степень доверия к эксперту). Расчет веса s-го эксперта производится по следующей формуле: , где (1) – значение компонент веса, для всех компонентов используется шкала (от 0,1 до 1). Предполагается следующий набор компонент: учет опыта работы в области ИБ; в области ИБ; – – учет повышений квалификации – учет связи работы эксперта с управлением инфраструктурой информационных систем; – учет валидности оценок экспертов региональных отделений субъективно экспертами из центрального отдела. Первый этап (ввод данных об инфраструктуре). Эксперт, выполняющий оценку рисков, указывает существующие классы компонентов, присутствующих в инфраструктуре организации. В соответствии с классификацией перечисляются все существующие ресурсы в организации, и эксперт указывает оценки стоимости C, D, K. В соответствии с этими характеристиками рассчитывается стоимость ресурсов по следующей формуле: , 11 (2) где , , – значения весовых коэффициентов, подстраиваемых для каждой организации (от 0,1 до 1); C – оценка стоимости ущерба для организации при разрушении ресурса; D – оценка стоимости ущерба для организации при не доступности ресурса в течение, например, месяца; K – оценка стоимости ущерба для организации при НСД к ресурсу. Все значения стоимостей эксперт оценивает в рублях. Для оценки стоимости служб, эксперту необходимо сравнить на сколько, значение стоимости данной службы (например, электронной почты) больше или меньше, чем стоимость уже учтенных им ресурсов. Таким образом, значение стоимости для каждой службы будет: , (3) где g – значение коэффициента на сколько, стоимость службы больше (меньше) стоимости ресурса. Второй этап (оценка угроз экспертами). Для всех ресурсов и служб, заданных на предыдущем этапе эксперты оценивают вероятность и ущерб от реализации каждой угрозы. Ущерб – это стоимость потерь, которые понесет компания в случае осуществления угрозы информационной безопасности. Вероятность угрозы – возможность осуществления данной угрозы, указанная в процентах. С учетом целей разработки методики получение данных о вероятностях и ущербе мы будем производить не прямыми методами оценки вероятности, а используя метод анализа иерархий, для определения суждений эксперта о значении вероятности одной угрозы относительно другой. Значения вероятностей и ущерба от реализации угроз для данного ресурса могут быть представлены векторами для вероятности и для ущерба. При наличии M угроз для данного ресурса эксперту необходимо оценить отношения для вероятностей угроз, по 12 шкале значимости от 1 до 9 (1 – вероятность событий и одинаковы; 9 – вероятность угрозы i «намного выше», чем вероятность угрозы j), где i, j – меняются от 1 до M. После оценки всех пар отношений для данного ресурса можно сформировать матрицу парных сравнений , для значений отношений вероятностей угроз. Для матрицы парных сравнений А, вектор значений вероятностей можно найти решив следующее векторное уравнении: , (4) где – наибольшее собственное значение матрицы, собственный вектор матрицы. – Для вычисления значений вектора , сначала необходимо найти наибольшее собственное значение матрицы А. Для этого необходимо получить ненулевое решение уравнения: , где Е – диагональная единичная матрица. А для этого должен быть равен нулю. Так как определитель матрицы равен нулю, то для нахождения необходимо решить характеристическое уравнение данной матрицы. Это может быть сделано с использованием численных методов. Далее при известном значении вектор вероятностей следует искать, решая векторное уравнение (4). Для обеспечения единственности решения надо учитывать, что часто необходимо иметь нормализованное решение, и поэтому следует заменить одно из уравнений системы (4) на уравнение . При необходимости расчета значений вектора и наибольшего собственного значение без использования численных методов возможно определение приблизительных значений. Расчет приблизительных значений собственного вектора матрицы парных 13 сравнений и наибольшего собственного значение произведен методами предложенными Т. Саати. может быть Для проверки согласованности полученных результатов, необходимо использовать индекс согласованности (ИС). ИС будет выражать «близость к согласованности», т.е. степень отклонения суждений эксперта друг от друга. Индекс согласованности рассчитывается по следующей формуле: , (5) где M – количество угроз для данного ресурса. Малое значение индекса согласованности (меньшее или равное 0,1), свидетельствует о приемлемой степени согласованности суждений эксперта. Значение ИС больше 0,1 служит основанием для пересмотра суждений эксперта. Для более точной оценки согласованности суждений экспертов, автором метода анализа иерархий рекомендуется значение ИС делить на случайный индекс (СИ), определенный экспериментально и зависящий от порядка матрицы парных сравнений. Аналогичным образом происходит вычисление значений ущерба для всех ресурсов, служб и организации в целом. Третий этап (генерация отчетов и рекомендаций). На данном этапе подсчитываются результаты оценки угроз и определяются необходимые меры защиты. Для вычисления величины значения риска Wi для i-го ресурса, службы или организации в целом (i=0) следует воспользоваться методом взвешенной суммы для агрегирования данных субъективных оценок разных экспертов: , (6) где S – количество экспертов принимавших участие в оценке; – вес эксперта, определяемый на нулевом этапе; значение стоимости данного ресурса, указанное s-ым экспертом; – значение риска для данного ресурса, определенное s-ым экспертом, рассчитываемое по следующей формуле: 14 , (7) где M – общее количество учтенных угроз для данного ресурса, – величина ущерба, который может быть нанесен компоненту системы, при реализации угрозы j, – вероятность реализации угрозы j за месяц. Значение риска возможного ущерба, рассчитанное по формуле (6), будет получено в рублях. Значения ущерба и вероятности осуществления угроз для каждого компонента системы эксперт определяет для периода времени (например, один месяц), таким образом, можно, говорить о риске – величине возможного денежного ущерба для организации в течение месяца. После расчета значений рисков для компонентов (ресурсов и служб) системы выводиться информация об общем риске для компонента и рисках отдельных угроз и градация компонент по степени уязвимости в соответствии с этим значением. И завершающий шаг на основании справочника стандарта BSI, определяется рекомендованный список мер уменьшения рисков угроз информационной безопасности, для каждого из компонентов система и для системы в целом. Для оценки применимости разработанной методики анализа рисков выполнено экспериментальное сравнение методики с другими средствами анализа информационных рисков. По результатам сравнения было установлено, что разработанная методика дает: более высокий уровень точности оценок (среднеквадратичное отклонение как минимум в 2 раза меньше, чем у сравниваемой методики); меньший разброс значений рисков для разных групп экспертов, свидетельствует о возможности получения корректных результатов при использовании экспертами разной квалификацией. В третьей главе описывается программный комплекс автоматизации деятельности подразделений по защите информации органов государственного управления. 15 Представлен алгоритм методики автоматизации деятельности подразделений по защите информации, положенной в основу программного комплекса. Выполнено описание архитектуры программного комплекса автоматизации деятельности подразделений по защите информации. Программный комплекс автоматизации обозначен, как система «Security Policy Manager» (SPM). Система «SPM» имеет 2 части: центральный модуль, используемый для контроля выполнения требований защиты информации и региональный модуль, применяемый для учета документов, отражения информации о состоянии защиты информации в органе государственного управления и оценки информационных рисков. Система «SPM» построена на модульной основе. Что позволяет производить изменения в одном модуле, не затрагивая работы других модулей. Основа системы «SPM» – это модуль учета нормативных документов и выполнения периодических действий о переподготовки кадров и проверок объектов информатизации. Остальные функции системы реализованы в модулях: «импорта / экспорта данных», «отчетов» и «анализа рисков». Для обеспечения более стабильной и прозрачной работы системы, принято решение сохранять всю рабочую информацию в СУБД, что позволит обеспечить целостность данных, автоматизацию процедур выполнение резервного копирования и процессов синхронизации данных между модулями системы. Общая архитектура системы «SPM» представлена на рисунке ниже. 16 Региональная часть системы Модуль учета норм. документов и выполнения пероид. действий Центральная часть системы Модуль отчетов Модуль отчетов Модуль анализа рисков СУБД Модуль импорта / экспорта Модуль учета норм. документов и выполнения пероид. действий Модуль анализа рисков Обмен информацией Модуль импорта / экспорта СУБД Рис. 1 Архитектура системы «SPM» На основании сформулированных критериев выбора средств создания программного комплекса, выбран язык Java и интерфейс доступа к СУБД JDBC, как наиболее подходящие и гибкие. Детально описана работа «центрального модуля» программного комплекса автоматизации, используемого для контроля выполнения требований по защите информации региональными отделами. Выполнено описание работы «регионального модуля» программного комплекса автоматизации, используемого непосредственного для автоматизации деятельности региональных отделов. В четвертой главе произведен анализ эффективности деятельности подразделений по защите информации органов государственного управления. Детально рассмотрены группы показателей для оценки эффективности защиты информации в организации, описанные в зарубежных рекомендациях и стандартах. Основной целью деятельности подразделений по защите информации является обеспечение режима ИБ в организации, поэтому для оценки эффективности этой деятельности были использованы показатели оценки эффективности защиты информации в организации. 17 На основе анализа существующих рекомендаций по выбору показателей безопасности информации, для органов государственной власти выделены 3 группы показателей для оценки эффективности защиты информации: показатели оценки на уровне организации, показатели оценки на уровне персонала и показатели оценки на уровне технических средств. Система показателей представлена ниже в таблице. Таблица 2 Система показателей оценки эффективности деятельности подразделений по защите информации Название показателя Описание Формула расчета Показатели оценки на организационном уровне Процент наличия «общих» документов по защите информации Наличие «общих» для органа государственного управления документов Процент наличия документов Значение информационного риска для органа гос. управления в целом Указывает значение возможных денежных потерь для органа гос. управления за период времени Общее значение риска для органа гос. управления в рублях, рассчитываемое по методике анализа рисков Показатели оценки на техническом уровне Усредненное наличие документов по защите информации для ОИ Указывает наличие документов по защите информации для «усредненного» ОИ Процент наличия документов, усредненный для всех ОИ в органе гос. управления Значение информационного риска, усредненное по всем информационным ресурсам и службам Указывает усредненное значение возможных денежных потерь для ресурсов и служб за период времени Усредненное значение риска для ресурсов и служб в рублях, рассчитываемое по методике анализа рисков 18 Показатели оценки на уровне персонала Оформлены ли все документы для специалиста по ТЗИ Наличие документов о назначение специалиста по технической защите информации (ТЗИ) Да / Нет Проходил ли специалист по ТЗИ обучение в последние 3 года Информация о прохождении обучения специалистом по ТЗИ Да / Нет Выполнена экспериментальная проверка средств повышения эффективности деятельности подразделений органов государственного управления, для этого программный комплекс автоматизации был внедрен в деятельность подразделений по защите информации и получены значения выше описанных показателей. Анализ полученных значений показателей показал, что: наблюдается увеличение значений процента наличия документов на уровне персонала, организационном и техническом уровнях; наблюдается снижение значения информационного риска, как для ресурсов и служб, так и для организации в целом, свидетельствующее об уменьшении величины возможного денежного ущерба вследствие реализации угроз информационной безопасности. Выше описанные заключения доказывают, что разработанный программный комплекс автоматизации позволяет повысить эффективность деятельности подразделений по защите информации в органах государственного управления. В заключении сформулированы основные результаты работы, выводы и определены дальнейшие перспективы данного исследования. 19 ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ В результате диссертационного исследования решены следующие задачи: определены требования к анализу информационных рисков в органах государственного управления и разработана методика анализа информационных рисков; разработан и апробирован программный комплекс автоматизации деятельности подразделений по защите информации органов государственного управления; предложена система показателей и выполнена оценка эффективности деятельности подразделений по защите информации органов государственного управления. На основании результатов проведенных исследований можно сделать следующие выводы: 1. Разработана оригинальная методика анализа информационных рисков, учитывающая специфику деятельности органов государственного управления, позволяющая выполнять проверку согласованности ответов экспертов, выполняющих оценку рисков, что обеспечивает получение более точных данных о параметрах угроз. 2. Реализован способ получения экспертных оценок на базе метода анализа иерархий, позволяет добиваться более точных результатов при использовании экспертами разной квалификации, что позволяет увеличить область применения методики анализа информационных рисков. 3. Способ определения мер по уменьшению рисков угроз информационной безопасности, реализованный в методике анализа рисков, позволяет указывать необходимые практические меры по обеспечению информационной безопасности. 4. Разработан программный комплекс автоматизации, позволяющий специалистам подразделений по защите информации эффективно управлять задачами поддержания режима 20 информационной безопасности и иметь целостную картину состояния информационной безопасности в органе государственного управления. 5. Сформулированы показатели оценки эффективности защиты информации в органе государственного управления, которые могут быть использованы также для оценки эффективности деятельности подразделений по защите информации. 6. На основании выполненного анализа эффективности деятельности подразделений по защите информации, на примере, нескольких органов государственного управления, подтверждена действенность примененных средств повышения эффективности. ОСНОВНЫЕ ПОЛОЖЕНИЯ ДИССЕРТАЦИИ ОПУБЛИКОВАНЫ В СЛЕДУЮЩИХ РАБОТАХ 1. 2. 3. 4. 5. Лысов А.С. Повышения эффективности работы отделов по защите информации // Сборник научных трудов «Математическое и компьютерное моделирование». Вып. 8. Тюмень: Издательство «Вектор Бук», 2006 г. с. 121-123 Лысов А.С. Оценка информационных рисков в государственных учреждениях // Сборник научных трудов «Математическое и компьютерное моделирование», 2007 (в печати) Лысов А.С. Методы повышения эффективности работы отделов по защите информации // Материалы VIII Международной научно-практической конференции «Информационная безопасность». – Таганрог: ТРТУ, 2006 г. с. 140 - 141 Лысов А.С. Архитектура системы автоматизации управления политикой безопасности для государственных учреждений // Безопасность информационного пространства: материалы международной научно-практической конференции. – Екатеринбург: ГОУ ВПО УрГУПС, 2006 г. с. 94-95 Лысов А.С. Методика оценки информационных рисков для государственных учреждений // Научная сессия ТУСУР-2007: Материалы докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых. Тематический выпуск «Системная интеграция и безопасность»: Томск, 3-7 мая 2007 г. – Томск: Изд-во «ВСпектр», 2007. Ч. 2. с. 167-168 21 Лысов А.С. Анализ информационных рисков в государственных учреждениях // 2-я Международная научная конференция «Современные информационные системы. Проблемы и тенденции развития»: Сборник материалов конференции – Харьков: ХНУРЕ, 2007. с. 419 – 420 7. Лысов А.С. Автоматизация задач документооборота: информации по аттестации ОИ и сертификации средств защиты от НСД, в органах государственной власти // 4-я международная научно-практическая конференция «Исследование, разработка и применение высоких технологий в промышленности», 2007 (в печати) 8. Лысов А.С. Методика автоматизации задач документооборота: информации по аттестации ОИ и сертификации средств защиты от НСД // Сборник кафедры КИБЭВС, 2007 (в печати) 9. Лысов А.С. Технология анализа информационных рисков на основе метода анализа иерархий // Вестник Тюменского государственного университета, 2007 (в печати) 10. Лысов А.С. Задача автоматизации работы отделов по защите информации в государственных учреждениях // Электронные средства и системы управления, 2007 (в печати) 6. 22