CC BY
20[Электронный ресурс] // Электронное научное издание «Строительство, архитектура, дизайн». Электрон. журн. № 2 (11). - Режим доступа: 2011. http://marhdi.mrsu.ru/.
5. Яновский Ю.Г., Никитина Е.А., Никитин С.М., Карнет Ю.Н. Композиты на основе полимерных матриц и углеродно-силикатных нанонаполнителей. Кван-тово-механическое исследование механических свойств, прогнозирование эффекта усиления // Механика композиционных материалов и конструкций. Т. 15. № 4. С. 539-553. 2009.
6. Н.Н. Комова, Е.Э. Потапов, А.Д. Грусков, Г.Е. Заиков, Особенности принципа температурно-временной эквивалентности в полиэтилене низкой плотности, наполненном шунгитом Синтез и переработка полимеров и композитов на их основе, Вестник МИТХТ, т. 8, № 1 24, 2013.
7. Годжаев Э.М., Ахмедова Х.Р. Османова С.С.Влияние полупроводникового наполнителя и алюминиевой наночастицы на электретные свойства полиэтилена низкой плотности Международный научный институт №3/, часть 6, Новосибирск, с. 66-68.2014
8. Годжаев Э.М., Набиев Н.С., Зейналов Ш.А., Османова С.С., Аллахяров Э.А., Гасанова А.Г.,Исследова-ния спектров флуоресценции и диэлектрических свойств композитов ПЭВП + х об.% TlGaSe2 Электронная обработка материалов, № 3, 2013,
9. Годжаев Э.М., С.С.Сафарова, Д.М. Кафарова, Гюль-мамедов К.Д., Ахмедова Х. Р. Исследование микрорельефа поверхности и диэлектрических свойств композиций nn+TlIn0,98Ce0,02Se2 Электронная обработка материалов, Кишинев. 2013, 49(4), 1-5
10. Годжаев Э.М., А.М. Магеррамов, Ш.А. Зейна-лов,С.С. Османова,Э.А. Аллахяров Короноэлек-треты на основе композитов полиэтилен высокой плотности с полупроводниковым наполнителем
TlGaSe2 , ,
2 Электронная обработка материалов №6,(266), 2010,
11. Козлов Г.В, Маламатов А.Х., Антипов Е.М., Карнет Ю.Н., Яновский Ю.Г. Структура и механические свойства полимерных нанокомпозитов в рамках фрактальной концепции // Механика композиционных материалов и конструкций. 2006. Т. 12, №1. С. 99-141.
АВТОМАТИЗАЦИЯ ПРОЦЕДУРЫ ПРОВЕДЕНИЯ АУДИТА ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ НА ОСНОВЕ ПРОФИЛЯ ЗАЩИТЫ
Датская Лариса Викторовна, Кожевникова Ирина Сергеевна,
Ананьин Евгений Викторович
Студенты, Волгоградский государственный университет, г. Волгоград
Оладько Владлена Сергеевна
кандидат технических наук, доцент, Волгоградский государственный университет, г. Волгоград
AUTOMATION OF PROCEDURE OF CARRYING OUT AUDIT OF INFORMATION SECURITY ON THE BASIS OF THE PROTECTION PROFILE
Datskaya Larisa, student of Volgograd State University, Volgograd Kozhevnikova Irina, student of Volgograd State University, Volgograd Ananin Evgeny, student of Volgograd State University, Volgograd
Olad'ko Vladlena, Candidate of Technical Sciences, assistant professor, Volgograd state university, Volgograd АННОТАЦИЯ
В данной статье рассмотрена проблема проведения аудита информационной безопасности на предприятии на основе профиля защиты. Выделены этапы и особенности данного вида аудита. В результате исследования была предложена формализованная модель процедуры и разработана программа для автоматизации проведения аудита информационной безопасности на основе профиля защиты. ABSTRACT
In this article the problem of carrying out audit of information security at the enterprise on the basis of a protection profile is considered. Stages and features of this type of audit are selected. As a result of research the formalized model of procedure was offered and the program for automation of carrying out audit of information security on the basis of a protection profile is developed.
Ключевые слова: защита информации; защищенность; информационная система; сертификат соответствия; критерии; стандарты по информационной безопасности.
Keywords: information security; security; information system; certificate of conformity; criteria; standards on information security.
Большую роль в жизни коммерческих и государ- сбоев работы такой системы необходимо проводить про-ственных организаций играет информационная безопас- верки на соответствие с выделенными критериями, чем и ность. занимается аудит информационной безопасности.
Одним из методов защиты информации является Аудит информационной безопасности — представ-
предотвращение или контроль над системой, работаю- ляет собой оценку текущего состояния защищенности и щей с информацией. Для предотвращения ошибок и
безопасности информационных ресурсов и корпоративных систем организации, на соответствие стандартам и требованиям предъявляемых со стороны заказчика.
В настоящее время можно выделить следующие основные виды аудита информационной безопасности:
• экспертный аудит безопасности, в процессе которого выявляются недостатки в системе мер защиты информации на основе имеющегося опыта экспертов, участвующих в процедуре обследования;
• активный аудит, включающий механизмы для проверки правильного выполнения существующей политики безопасности, слежения в реальном масштабе времени за отклонениями и выявление вторжения;
• оценка соответствия рекомендациям Международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК;
• инструментальный анализ защищённости АС, направленный на выявление и устранение уязви-мостей программно-аппаратного обеспечения системы;
• комплексный аудит.
Каждый из вышеперечисленных видов аудита может проводиться по отдельности или в комплексе в зависимости от решаемых предприятием задач. В качестве объекта аудита может выступать ИС компании в целом и её отдельные сегменты, в которых проводится обработка информации, подлежащей защите.
Проведение аудита информационной безопасности основывается на использовании многочисленных рекомендаций, изложенных преимущественно в международных стандартах ИБ. Одним из результатов проведения аудита в последнее время все чаще становится сертификат, удостоверяющий соответствие обследуемой ИС определенному признанному международному стандарту. Наличие такого сертификата позволяет организации получать конкурентные преимущества, связанные с большим доверием со стороны клиентов и партнеров. Поэтому наиболее подробно следует остановиться на виде аудита на основе стандарта.
Данный вид аудита использует такое понятие как профиль защиты, являющийся «эталоном» для защиты ИС предприятия.
Профиль защиты (ПЗ) - это независимая от реализации совокупность требований безопасности для некоторой категории ИС, отвечающая специфическим запросам потребителя.
Так как аудит информационной безопасности - это оценка текущего состояния защищенности и безопасности информационных ресурсов и ИС организации, на соответствие стандартам и требованиям предъявляемых со стороны заказчика, то при его проведении актуально использовать ПЗ. В этом случае процесс аудита можно представить в виде следующей схемы (рисунок 1).
Выходные данные
Рисунок 1. Схема проведения аудита ИБ с использованием профиля защиты
При этом в процессе аудита происходит проверка на соответствие текущего ПЗ «эталонному» ПЗ, и если текущий набор средств и состояния СЗИ не соответствуют, принимается решение о модификации либо СЗИ, либо модификации «эталонного» ПЗ, в случае его не актуальности. [1]
Для более быстрого и легко способа проведения аудита информационной безопасности на основе про-
филя защиты была предложена формализованная модель и разработан программный комплекс для автоматизации процесса.
Процедуру проведения аудита ИБ на основе ПЗ можно представить в виде следующего кортежа (формула 1):
АПЗ = <ПЗО,КО,ЭПЗ,МР),
где, АПЗ - процедура проведения аудита ИБ на основе профиля защиты, ПЗО - множество индивидуальных требований заказчика, КО - критерии оценки в соответствии с ГОСТ/ИСО МЭК 15408-2002 "Общие критерии оценки безопасности информационных технологий", ЭПЗ - эталонный профиль защиты; МР - множество рекомендаций.
В соответствии с ГОСТ/ИСО МЭК 15408-2002 "Общие критерии оценки безопасности информационных технологий" были выделены следующие критерии, представленные в таблице 1:
Таблица 1
Критерии для сравнения ПЗ.
№ Критерий Название критерия
1 Аудит безопасности K1
2 Неотказуемось в обмене данными между объектами оценки K2
3 Управление криптографической поддержкой K3
4 Политика управления доступом K4
5 Аутентификация и идентификация пользователей K5
6 Целостность хранимых данных K6
7 Защита конфиденциальных данных при передаче между функциями безопасности объекта оценки K7
8 Управление безопасностью и распределение ролей безопасности K8
9 Приватность K9
10 Защита функций безопасности K10
11 Безопасность при сбое K11
12 Самотестирование функций безопасности объекта оценки K12
13 Отказоустойчивость K13
14 Распределение ресурсов K14
15 Доступ к объекту оценки K15
16 Доверенный канал/маршрут между функциями безопасности объекта оценки K16
Данные критерии являются качественными и принимают значение (формула 2):
К — критерий не выполняется; ( 1, критерий выполняется. Критерии в свою очередь формируют множество (формула 3,4):
ПЗО = {К, ,К16}
Для проведения аудита ИБ на основе ПЗ и решения о выдаче сертификата происходит сравнение ПЗ организации с эталонным ПЗ используется метод Хемминга (формула 5):
АПЗ = ££=1|ЭПЗк — ПЗО^ | .
(5)
Решение о выдаче сертификата происходит, если (формула 6):
del < АПЗ,
где, del - заданное минимальное отклонение. Таким образом, процедура проведения аудита ИБ на основе ПЗ выглядит следующим образом:
1. Определение ПЗ организации и наибольшего отклонения от эталонного ПЗ.
2. Определение эталонного ПЗ.
3. Сравнение эталонного ПЗ и ПЗ организации.
4. Решение о выдаче сертификата соответствия и предоставление рекомендаций. [2]
На основе сформированных выше требований была разработана программа.
(2)
(3)
ЭПЗ = (КЖв) (4)
Интерфейс программы представлен на рисунках 2,3,4 и 5:
Аудит информационной безопасности состоит из четырех основных этапов:
1. Разработка регламента проведения аудита.
2. Сбор исходных данных.
3. Анализ полученных данных.
4. Разработка рекомендаций по повышению уровня защиты.
Разработанный программный комплекс на каждом из данных этапов выполняет следующие действия:
1. На этапе разработки регламента проведения аудита назначают ответственное лицо от организации и эксперт для заполнения опросных листов профиля защиты организации и Эталонный профиля защиты.
2. Во время сбора исходных данных экспертом и ответственным лицом заполняются опросные листы.
3. При анализе исходных данных программой производится сравнение эталонного профиля защиты и профиля защиты организации и принимается решение о выдаче сертификата.
4. На этапе разработки рекомендаций по повышению уровня защищенности программный комплекс вы-
водит на экран список механизмов защиты, которые необходимо добавить в систему защиты информации и профиль защиты организации.
Рисунок 2. Интерфейс модуля формирования ПЗ организации(экранная копия)
Рисунок 3. Интерфейс модуля формирования эталонного ПЗ(экранная копия)
Рисунок4. Интерфейс модуля сравнения ПЗ(экранная копия)
Рисунок 5. Интерфейс модуля выдачи рекомендаций (экранная копия)
Разработанная программа позволяет провести процедуру аудита информационной безопасности на основе профиля защиты в соответствии с выбранными критериями для каждого конкретного случая, а также предоставляет список рекомендаций по улучшению системы защиты информации организации в соответствии с ГОСТ/ИСО МЭК 15408-2002 "Общие критерии оценки безопасности информационных технологий".
Список литературы 1. Разработка алгоритма проведения аудита информационной безопасности на основе профиля защиты. / Л.В.Датская [и др.] // Сборник материалов
2.
по III Всероссийской научно-практической конференции «Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства» — 2015. — № 3.- С. 275-279.
Формализация процедуры проведения аудита информационной безопасности на основе профиля защиты. / Л.В.Датская [и др.] // Международный научно-популярный вестник..— 2015. — № 4.— С. 265-270.
СПОСОБЫ И НЕКОТОРЫЕ ПРОБЛЕМЫ РЕГУЛИРОВАНИЯ ЭЛЕКТРИЧЕСКОЙ НАГРУЗКИ
ПГУ ПРИ РАБОТЕ ПО ЭЛЕКТРИЧЕСКОМУ ГРАФИКУ
Зубов Даниил Иванович
Аспирант, Вятский Государственный Университет, г. Киров
Суворов Дмитрий Михайлович
кандидат технических наук, Вятский Государственный Университет, г. Киров
METHODS AND SOME PROBLEMS OF REGULATION ELECTRIC POWER OF COMBINED-CYCLE PLANT AT WORK AN ELECTRICAL SCHEDULE
Zubov Daniil Ivanovich, graduate student, Vyatka State University, Kirov Suvorov Dmitry Mikhailovich, candidate of technical sciences, Vyatka State University, Kirov АННОТАЦИЯ
В докладе проводится анализ различных способов регулирования электрической нагрузки парогазовых установок с котлом-утилизатором, имеющих внешнюю тепловую нагрузку регулируемых отборов, входящих в их состав паровых турбин при работе по электрическому графику. Намечены пути решения некоторых проблем, возникающих при регулировании. ABSTRACT
The report analyzes the different ways to control the electrical load combined cycle gas turbines with heat recovery boiler with an external heat load controlled extraction within them steam turbines at electrical work schedule. The ways of solving certain problems in the regulation.
