Основные задачи прикладной теории информационной безопасности АСУ Текст научной статьи по специальности «Компьютерные и информационные науки»

ОСНОВНЫЕ ЗАДАЧИ ПРИКЛАДНОЙ ТЕОРИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АСУ

П.И. Тутубалин (Казанский государственный технический университет

им. А.Н. Туполева) Научный руководитель - д.т.н., профессор B.C. Моисеев (Казанский государственный технический университет им. А.Н. Туполева)

Проблема информационной безопасности является одним из важнейших аспектов развития современного общества. Следует отметить, что работа в этих направлениях ведется на эмпирической базе в связи с отсутствием общепринятой теории информационной безопасности современных АСУ. В данной статье приведены подходы для создания подобной теории.

Введение

Существующие работы в области теории безопасности информационных систем применяют весьма абстрактный математический аппарат, использование которого при решении реальных задач анализа и синтеза средств защиты разрабатываемой, эксплуатируемой системы практически невозможно. Обзор литературы показал, что в настоящее время отсутствуют вероятностные модели, описывающие средства защиты информации (СЗИ). В этой связи весьма актуальным является создание прикладной теории безопасности информационных систем (ИС), основной целью которой является разработка научно обоснованных методик разработки и эксплуатации оптимальных средств защиты конкретной системы. Сформулируем основные принципы прикладной теории безопасности ИС.

1) Принцип комплексности применяемых средств защиты. 2) Принцип экономичности СЗИ. 3) Принцип максимальной защиты критических компонентов КИС. 4) Принцип прогнозирования угроз и применения средств нападения. 5) Принцип обеспечения максимальной неопределенности применяемых стратегий защиты для противника.

Рассмотрим модели, которые могут быть использованы при построении прикладной теории безопасности ИС.

Модели информационной системы и подходы к обеспечению ее информационной безопасности

На наш взгляд, в основу математического моделирования информационных процессов и систем можно положить понятие абстрактной математической модели вида:

m = {M, Ri, Ri,..., Rn }. (1)

Здесь M - множество объектов и процессов, отражаемых в рассматриваемой модели; R1R2,...,Rn - совокупность отношений, связывающих между собой элементы

множества М. Построение базовых моделей теории безопасности естественно начать с моделирования объектов защиты - информационных систем и реализованных в их составе информационных технологий.

Концептуальная модель информационной системы

Построим концептуальную модель современной ИС, используя в качестве основы модель вида (1). В составе множества элементов модели выделим следующие подмножества: L - множество подразделений организации, охваченных рассматриваемой версией ИС; П - множество пользователей ИС; A - множество аппаратных средств сис-

темы; Р - множество системных и прикладных программ ИС; В - множество локальных банков данных.

Как известно, любая система представляет собой совокупность элементов и связей между ними. Эти связи будем описывать следующими отношениями: 1) закрепление пользователей за конкретными АРМ-ми Я1 сПхЛ; 2) распределение ПО системы по ее аппаратным средствам Я2 с А х Р; 3) связь программ и данных в системе Я3 с Р х В; 4) размещение аппаратных средств системы по подразделениям организации Р4 с Л х Л. Тогда модель ИС можно представить в виде: ¡8 = {Л, П, Л,Р, ВД^Я^,^}.

От рассмотрения моделей ИС можно перейти к модели прикладной информационной технологии (ИТ). Прикладные ИТ в качестве выходного результата всегда имеют некоторое управленческое, проектное и другое решение. Субъектами прикладной ИТ являются лица, готовящие решения (ЛГР), а также лицо (лица), принимающие решения (ЛПР).

Будем считать, что объектом любой прикладной ИТ, т.е. средством ее реализации в составе любой системы, является вполне определенный ИТ-продукт. Введем в рассмотрение следующие множества: П1 ^ П - множество ЛГР; П2 ^ П - множество ЛПР; Щ - множество решений, принимаемых ЛПР в рассматриваемой ИС. Отметим, что при этом должно иметь место условие: П1 и П2 = П, где П - множество пользователей ИС. Совокупность используемых в ИС прикладных ИТ будем описывать отношением ¡Т с П1 х А х В х Р х П2 хЩ . Элементами этого отношения являются кортежи

(р 1/, а], Ьк, Рг, р 2,, Р/^ ГДе р 1, е Пи а] е А, Ьк е В, рг е р, р 2* е Я2, Р/ еЩ . Смысл

кортежа состоит в том, что /-е ЛПР, используя ]-е аппаратное средство, к-ю базу данных и г-е программное средство, готовит варианты решений ,-у ЛПР, который принимает /-е решение.

Рассмотрим концептуальную модель системы защиты ИТ-продуктов. Будем считать, что используемые в составе рассматриваемой ИС объекты защиты представляют собой ИТ-продукты, включающие в себя множество аппаратных (А), программных (Р) средств и файлов (Ф), используемых при реализации соответствующих функциональных задач ИС и множество линий (каналов) связи Ь.

Введем в рассмотрение множество объектов защиты 2 в рассматриваемой ИС, которое определим как 2 = А и Р и Ф и Ь . Обозначим через и множество угроз ИС. Для исключения этих и других потенциальных угроз в ИС используется множество М средств защиты. Зададим первичные отношения модели видов «угроза-объект» и «объект-средство защиты» как Ух с и х 2, У2 с 2 х М . Тогда концептуальную модель системы защиты можно представить в виде М С3 ={2 ЛЛ }.

Вероятностные характеристики информационной безопасности АСУ

Для решения задачи анализа и синтеза СЗИ с применением широко развитых в настоящее время вероятностных методов необходим метод определения допустимого, с точки зрения заказчика, значения вероятности обеспечения информационной безопасности (ИБ) создаваемой АСУ.

Пусть q - вероятность обеспечения ИБ при функционировании АСУ. Обозначим

через 2ф затраты от несанкционированного вмешательства в систему, которые зависят

от имеющегося в АСУ уровня ИБ. Будем считать, что эта величина принимает максимальное значение при q = 0 и значение, равное нулю, при q = 1. Таким образом, имеем

функцию вида Zф = Zф (q), q е [0,l]. Пусть Zc - затраты на СЗИ, которые описываются функцией вида Zc = Zc (q), q e [0,l]. Эта функция при q = 0 равна нулю, а при q = 1 принимает максимальное значение.

Сформулируем двухкритериальную задачу оптимизации [1]:

, Zc min.

0< q<1

Парето-оптимальное решение этой задачи будем строить путем минимизации линейной свертки критериев:

L^l) = (q) + (l - l)Zc (q) ® min.

0<q<1

В работе [2] был предложен подход к формированию допустимого значения вероятности P^™ нарушения ИБ разрабатываемой АСУ. Предполагая, что хотя бы одно нарушение таких основных свойств ИБ, как конфиденциальность, целостность или доступность данных, ведет к потере безопасности АСУ, имеем, что

РИБ = 1 - (1 - Рконф )(1 - Рцел )(1 - Рдост h ГДв Рконф , Рцел, Pdocm - COOTBeTCTBeHHO, ВерОЯТНОСТИ

нарушения конфиденциальности, целостность и доступности информации в АСУ. Переходя к вероятностям противоположных случайных событий, эти условия можно переписать:

0конф0цел0дост = О-ИБ ■

Заказчик АСУ может определить среднюю интенсивность атак [3, 4] на компоненты конфиденциальности, целостности и доступности АСУ. Пусть количество попыток нарушения конфиденциальности информации в АСУ по оценкам заказчика равно lконф , а для целостности и доступности информации, соответственно, lцел и lдост. Тогда можно определить среднее время между попытками нарушения конфиденциальности, целостности и доступности информации в АСУ: = 1 = = 1 ^конф = п , ^ цел = п , ^ дост = п .

конф цел дост

Определим оценки важности рассматриваемых аспектов обеспечения ИБ, с учетом проведенных выше рассуждений, в следующем виде:

а = _Х конф_ ß =_Т цел_ ^ =_Т дост_

^ конф + ^ цел + ^ дост ^ конф + ^ цел + ^ дост ^ конф + ^ цел + ^ дост

Тогда вероятности Q^^, Q^™ и можно определить по формулам

Ödon = (q don )a q don = (q don )ß q don = (q don )g конф = °ИБ ) , Оцел = °ИБ ) , Qdocm = °ИБ )

или в общем виде:

Ödon = (qdon ja» a = ^ m m ~ Х^ИБ ) > am _ M '

m

m=1

Рассмотрим методику формирования допустимых значений вероятностей обеспечения конфиденциальности процессов обработки информации (ОИ) для компонент

АСУ, обеспечивающих требуемый уровень конфиденциальности Q^^ .

Для описания процесса ОИ введем в рассмотрение следующие множества [5]: D - множество данных, циркулирующих в системе, Z - множество задач (прикладных программ, процедур, приложений и т.д.), реализующих функции рассматриваемой АСУ; T - множество ТС рассматриваемой системы.

B V

В множестве D выделим подмножества входных D и выходных D данных. Структуру формирования в рассматриваемой АСУ выходных данных DV на основе решения множества задач Z , использующих определенные входные данные DB, будем в общем виде представлять с использованием аппарата n -арных отношений [6]:

R = DB х Z х Z х DV.

Пусть в рассматриваемой АСУ определенно заказчиком упорядоченное по возрастанию множество K уровней конфиденциальности информации. Сделаем следующие предположения: 1) в множестве задач Z, решаемых в АСУ, не используются «закрытые» алгоритмы, 2) уровни конфиденциальности задач и формируемых при их решении выходных данных зависят только от уровней конфиденциальности используемых входных данных, 3) если некоторый элемент АСУ имеет несколько уровней конфиденциальности, то ему должен быть присвоен максимальный из имеющихся у него уровень.

Разобьем множество данных DB на подмножества DB, k е K . Множество кон-

в B B

фиденциальных входных данных DKOнф = D \ Do . Для каждого множества данных

B B B

Dk î DKOнф введем в рассмотрение вероятности Qk обеспечения заданного уровня их конфиденциальности k е K, k Ф 0 . Пусть t к°"^ - среднее время между попытками нарушения ИБ данных k -го уровня конфиденциальности, тогда вероятности QB равны

i \a КОНФ

qB = (q don fk a конф

Sdk - К^конф) 3 ak

конф L b

I т ГФ

к=1

Рассмотрим частные бинарные отношения вида Я1 = Бв х 2, Я2 = 2 х , описывающие используемые при решении каждой задачи г } е 2 входные данные ёв е Бв, а также формируемые при этом выходные данные ё¥г е . Мощности рассмотренных

выше множеств, соответственно, равны

DB

= п , \2\ = т , Бу = /, |Г| = I. Следуя работе [6], отношения Я1, Я2 могут быть описаны булевскими матрицами В1 = [Ьг(1)]пхт и В2 = [Ь]тх/. Используя матрицу В1, определим для каждой задачи г ^ е 2 подмноже-

ство D'B е DB используемых ею входных данных. Получим решающее правило для оп-

ZB

ределения вероятностей обеспечения требуемого уровня конфиденциальности Qj задачи Zj е Z по ее входным данным:

QZB = arg max {qBDB * 0} j =

кеК

Аналогичным образом назначаются уровни конфиденциальности выходным данным dvr е DV .Рассмотрим частное бинарное отношение R3 i Z х Z , которое опишем с

помощью матрицы смежности B3 = [bjj)]mxm. Для каждой задачи Zj е Z выделим подмножество смежных ей задач Zj = {zh е Z|b|3^ = 1, h = (l, m)} j = (l, m). Для задачи Zj e Z определим вероятность обеспечения требуемого уровня конфиденциальности: QZ = arg max{max(qZb , Q(dr е DV ))zy * 0, DV * 0}, j = (1^), h = (l^).

z^Zj кеК 1

Рассмотрим множества задач Z и ТС T. Построим частное бинарное отношения вида R4 = Z х T. Тогда, следуя работе [6], это отношение может быть описано булев-

ской матрицей B4 = [bf ]mxt. Обозначим через Qf вероятности обеспечения требуемого уровня конфиденциальности ТС t^ е T при его использовании для решения задачи Zj е Z . По аналогии с рассуждениями, представленными выше, получим решающие правила для определения значений вероятностей Qf :

, a __b (4)т

Qf = bf> (QZ )jr. j = (1,«), alf = fsb

f=1

Окончательное значение вероятности Q0f обеспечения требуемого уровня конфиденциальности каждого применяемого в АСУ ТС вычисляется как

Q0f = max Qf, f = Ot),j = (1«).

ZjeZ

Рассмотрим требования, предъявляемые к целостности информации. Определим среднее интервалы времени между попытками нарушения ИБ данных и задач

tD = Z = -1. Найдем вероятности обеспечения ИБ данных D и задач Z :

^D ^Z

Öd =förIх, Qz =(öir)b, a = ~ ,

_ Т п ~

_ О-цел ) , О _ О-цел ) , а _ '

Т л +Т г Т л +Т г

Определим вероятность обеспечения целостности входных данных к -го уровня конфиденциальности:

Ö? = (Qd г ,

уел

цел _ L k

DJ , ak = K

It г

k=0

По аналогии с рассуждениями, приведенными для компоненты конфиденциальности, получаем следующее решающее правило для формирования вероятностей обеспечения требуемого уровня целостности QIjZB задачи z} е Z с использованием ее

входных данных: QjZB = arg max {öW^ DBw * 0} j = (l, m). Аналогичным образом на-

weW

.jV глУ

значаются уровни целостности выходным данным ar е D :

Qf = arg max {max (öfB, ö(dr e Dvh )) Zj * 0, Dvh * 0}, j = (im), h = ^.

Zh eZj weW 1

Средние интервалы между попытками нарушения целостности задач tz =- 1

zj

Zj 1Z

Построим с помощью матрицы смежности задач B3 = [bjj)]mxm, задающей частное бинарное отношение R3 i Z x Z, множество путей L . Рассмотрим некоторый путь К(zpi, zp2,...,Zp,,...,Zpr)е L, где r e(lR, R = |L|, zpi е Z , i = (l,r), a pr = |/r|, тогда

t z

Qz = (QZ )"zpi , где az = ——. Вероятности обеспечения требуемого уровня целост-

pi pi g t z ,

p pi

ности каждой из задач, решаемой в АСУ, примут вид: Q° , = max Q , pi = (1, m), / = (1,L).

Назначим задаче zpi е Z уровень целостности, равный Qp^Z = max , QO )• Обозначим через Qf вероятности обеспечения требуемого уровня целостности ТС tf е T при его использовании для решения задачи Zj е Z. Вероятности обеспечения целостности ТС по аналогии с рассуждениями, приведенными выше, примут вид:

b(4L цел

Q 7 = b f(QfZf!. a ! = !--

Ibft !

!=1

С учетом принципа максимальной защищенности QJ^ = max{Q^,Q,...,QJ^},

где g - количество альтернативных уровней ИБ ТС tf е T.

Формирование допустимых значений вероятностей обеспечения доступности данных, технических средств и программного обеспечения АСУ аналогично методике, предложенной для компоненты целостности.

Модели и методы обеспечения информационной безопасности

Рассмотрим вероятностные модели и методы обеспечения информационной безопасности АСУ. Ниже приведена математическая модель выделения критических элементов АСУ. Обозначим J (X, Д) - граф прикладных ИТ, где X = П1 и А и В и Р и П2 и ЭТ - множество вершин, Д - множество дуг графа. Будем

считать, что нарушение нормальной работы любой вершины X е X этого графа приводит к невозможности реализации соответствующей прикладной ИТ из их наличного множества. Обозначим через L полное множество маршрутов в графе J(X, Д) и построим матрицу W = ] с элементами:

fl, если вершина хк е X входит в маршрут lk е L; [0, в противном случае.

Выделим в графе J минимальное число вершин, через которые проходят все пути множества L. Введем вектор булевских переменных X = (Х1,X2,... Xn), гДе n = Xl - числ0 вершин графа J-Любая переменная Xk может принимать следующие значения:

fl, если вершина хк е X включена в минимальное покрытие;

Xk =1п

[0, в противном случае.

Это требование можно записать в виде следующих ограничений:

Xk е{0;1}, k = (n). (2)

Условия того, чтобы через каждую вершину, входящую в минимальное покрытие, проходил не менее чем один маршрут множества L, записывается как

IwlkXk > 1, l е L . (3)

k=i

С учетом ограничений (2) требование минимальности числа вершин, входящих в искомое покрытие, представляется целевой функцией вида

N = I Xk ® min. (4)

k=i X k

Рассмотрим дополнительную целевую функцию вида:

wik =

P = ПpXk ®max. (5)

k=1 Xk

Здесь pk - вероятность успеха возможных атак на k-ю компоненту множества прикладных ИТ. Решение задачи (5), (4), (3), (2) выделяет критические элементы АСУ.

Рассмотрим подход, позволяющий реализовать оптимальный выбор СЗИ АСУ. Зададим отношение W1 представленное элементами:

1, если от i - ой угрозы ИТ - продукты системы защищает

j - ео средство; 0, в противном случае. Пронумеруем элементы множества угроз и располагаемых средств защиты как U = {l,2,3,...,i,...,n},M = {1,2,3,..., j,...,m}. Введем в рассмотрение булевские переменные:

'j Л

Xj G

{0;1}, j = (1, m),

(6)

такие, что

(1, если для защиты системы выбрано 1 - ое средство;

х1 = 1

[0, в противном случае.

Потребуем, чтобы каждая угроза системы была бы парирована не менее чем одним средством защиты. Это требование представим условием

£wj Xj > 1, i = (1,n).

(7)

j=1

Стоимость использования в ИС средств защиты определяется выражением

C = £cjXj ® min

j=1

(8)

где с1 - стоимость 1-го СЗИ. Пусть р^ - вероятность того, что противник сможет преодолеть 1-е СЗИ. В этом случае стойкость системы защиты может быть оценена как вероятность ее преодоления противником. Эту вероятность можно представить как

© = Пpj ® min .

(9)

j=1

Таким образом, выбор оптимальных СЗИ можно осуществить путем решения двухкритериальной задачи нелинейного булевского программирования (9), (8), (7), (6).

Рассмотрим теоретико-игровую модель размещения конфиденциальной информации на серверах АСУ. Пусть игрок А - это администратора СЗИ АСУ. В его распоряжении находится п стратегий А1, А2,...,Ап, где А1 - стратегия игрока А, состоящая в том, что КД нужно расположить на г-м сервере. В распоряжении нарушителя также находится п стратегий В1,В2,...,Вп, где В} - стратегия игрока В, состоящая в том, что

КД нужно искать на 1 -м сервере. Построим платежную матрицу Г для игрока А :

G =g j =

P + c1

P + c.

P + c„

где у - потери игрока А, если атаке подвергается 1-й сервер, а КД находятся на /-м сервере. Здесь Р > 0 - это материальный ущерб, а сг - стоимость хранения КД на / -м

c

c

1

1

c

c

2

2

c

c

n

n

сервере. Гарантирующую смешанную стратегию игрока A примем за решение следующей задачи линейного программирования:

v ® min, (10)

где v - проигрыш игрока A , при выполнении условий

Ё Pig ij - V £ 0 j = 1, n , Ё Pi = 1, Рг ^ 0,i = 1, n .

(11)

i=1

i=1

Будем использовать среднюю стоимость C размещения КД на серверах системы:

C = icpi ® min. (12)

i =1

Построим множество оптимальных по Парето решений с использованием линейной свертки критериев (10),(12) и при выполнении условий (11):

4

a, Pl,.., Pi

\ n Pn, v) = av + (1 -a)ЁCiPi ® min.

i=1

Получим множество решений {(р1, Р2,...,Рп)}, оптимальных по Парето. Далее приведен метод, позволяющий использовать для повышения уровня безопасности АСУ мажоритарное резервирование критических компонент ПО. Будем считать, что имеются три программных продукта (1111) П1,П2,П3, выполняющих в составе

АСУ одну и ту же функцию. Объединим введенные в рассмотрение 1111 в мажоритарную программную систему (МПС), представленную на рисунке.

п2 —► п

—►

Рис. Мажоритарная программная система

Обозначим через Р/ вероятность не нарушения безопасности /-ого ПП, рк -вероятность ненарушения безопасного кворум-продукта. Вероятность получения функционально пригодных результатов с помощью МПС определим как

Р = Рк (Р2Рз + Р1Р3 + Р1Р2 + 2Р1Р2Рз) . (13)

Пусть Р1 = Р2 = Р3 = Р, тогда выражение (13) принимает вид Р = Рк(3Р2 + 2Р3). Безопасность МПС будет выше стойкости любой ее компоненты из состава П2,П3.

Одним из перспективных способов повышения ИБ АСУ является маскировка конфиденциальных данных. Рассмотрим методы формирования дезинформирующих

данных Х1, Уу и 2г, / = 1, п, ] = 1, т, I = 1, к . Будем считать, что для каждой /-й записи ложного файла выполняется условие вида Х{ & , ], / = 1, п, где , ] - интервал возможных значений реальной записи. Ложные данные Х1,X2,...Хп будем формировать в виде случайных чисел, каждое из которых должно удовлетворять условиям Х/ ^\ai, ], / = 1, п. Рассмотрим методы генерации дезинформирующих данных У у с

дискретным множеством возможных значений, у = 1, т . Будем считать, что для каждой у-й записи ложного файла СПрО задано множество

3

Yj efc,k2,...,krj } (14)

правдоподобных с точки зрения противника значений реального показателя yj, j = 1, m . Ложные данные Y1,Y2,...Ym будем формировать в виде совокупности случайных чисел, каждое из которых принимает значения из соответствующего множества (14). Ложные текстовые записи Z1,Z2,...Zk будем формировать случайным образом путем выбора из

состава соответствующих совокупностей «похожих» записей, сформированных СПрО.

Файл ложной конфиденциальной информации должен иметь максимальную степень дезинформации D и минимальным образом B быть близко к реальным данным. Эти требования можно записать как D ® max, B ® min . В работе [7] описан метод, с помощью которого можно выделить Парето-оптимальные варианты файлов ложных данных, удовлетворяющие критериям D ® max, B ® min .

Испытание на информационную безопасность средств защиты информации

В доступной литературе говорится о необходимости испытаний СЗИ, но не указываются пути реализации этого важного этапа в создании и эксплуатации СЗИ. Выделим две цели, которые должны быть достигнуты при решении задач АСИ СЗИ:

1) уменьшение трудоемкости проведения испытаний СЗИ АСУ на ИБ; 2) достоверная оценка защищенности СЗИ АСУ. Достижение этих целей, как и в любых других областях техники, возможно только путем автоматизации этих процессов, в частности применения специальных автоматизированных систем испытаний (АСИ).

Цель любого испытания - это получение достоверных результатов. Достижение этой цели возможно при использовании: 1) аппарата теории вероятностей и математической статистики, а именно, раздела обработки результатов испытаний;

2) количественных оценок, которые будут выступать в качестве критерия достоверности испытаний. В качестве такого количественного критерия может выступать оценка вероятности нарушения ИБ объекта испытания (ОИ).

Отметим, что количественная оценка достоверности проведения испытаний позволяет судить о достижении целей испытания при условии, что заданы или рассчитаны допустимые значения вероятностей нарушения ИБ ОИ. Использование подхода, учитывающего количественные оценки, позволяет конкретизировать и упростить методику принятия решения о соответствии ОИ требованиям, предъявляемым к нему с точки зрения ИБ.

В составе АСИ СЗИ можно выделить следующие основные компоненты: техническое и математическое обеспечения, программное обеспечение общего и специального типов, информационное обеспечение, лингвистическое обеспечение, персонал АСИ СЗИ.

Отметим, что комплекс программ организации атак можно организовать с использованием современных сканеров уязвимостей. Для сокращения трудоемкости разработки АСИ СЗИ предлагается использовать существующее программное обеспечение. В частности, для компоненты ОПО можно использовать любую UNIX-подобную ОС с набором всевозможных утилит и программ для разработки, доработки и настройки программных компонент СПО, а для компоненты СПО может быть применен сканер безопасности Nessus.

Предполагается, что АСИ СЗИ работает по схеме независимых испытаний. При этом число успешных атак распределено по биномиальному закону После тестирова-

* m

ния на ИБ i -го СЗИ АСУ можно вычислить частоту нарушения ИБ p = —. Построив

n

для нее доверительный интервал Iр = (p1, p2), в который частота события нарушения

ИБ ОИ p* попадает с доверительной вероятностью ß, и учтя взаимное расположение расчетного (заданного) допустимого значения вероятности P относительно интервала Iß =(pj, p2), для ОИ можно сформировать ряд правил, которые позволяют сделать вывод о качестве работы СЗИ ОИ.

Заключение

В статье приведены подходы для создания прикладной теории информационной безопасности, методики формирования требований по информационной безопасности АСУ, модели и методы повышения информационной безопасности АСУ и оценки их защищенности.

Литература

1. Моисеев H.H. Математические задачи системного анализа. М.: Наука, 1981. 488 с.

2. Моисеев B.C., Дятчин В.В, Тутубалин П.И. Оценка требуемых вероятностей обеспечения информационной безопасности // Вестник КГТУ им. А.Н. Туполева. №4. С. 36-39.

3. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. М.: Радио и связь, 1999. 328 с.

4. Казарин О.В. Безопасность программного обеспечения компьютерных систем. М.: МГУЛ, 2003, 212 с.

5. Моисеев B.C. Анализ функционирования СУ предприятием на базе информационной модели. // ИВУЗ «Авиационная техника», №2. 1973. С. 15-22.

6. Кук Д., Бейз Г. Компьютерная математика. М.: Наука, 1990. 383 с.

7. Подников В.В., Ногин В.Д. Парето-оптимальные решения многокритериальных задач. М.: Наука, 1982. 254 с.