Управління політикою доступу до мережних ресурсів

Категорія (предмет): Політика, політологія

Arial

-A A A+

Вступ.

Розділ 1. Концепція груп безпеки.

Розділ 2. Автоматизація управління політиками безпеки.

Розділ 3. Управління доступом до ресурсів мережі.

Висновки.

Список використаної літератури.

Вступ

Однією з найважливіших частин інформаційної інфраструктури сучасних підприємств і багатьох державних організацій є корпоративні мережі, які давно перейшли до розряду критичних для забезпечення безперервності бізнес – процесів ресурсів. Вихід з ладу такої системи або спотворення підсистеми доступу до інформаційних ресурсів фактично означає зупинку діяльності всієї організації.

Забезпечення безпеки корпоративних мереж включає організацію протидії будь-якому несанкціонованому вторгненню в процес функціонування, а також спробам модифікації, розкрадання, виводу з ладу або руйнування її компонентів, тобто захист всіх компонентів інформаційно – комунікаційних систем та мереж – апаратних засобів, програмного забезпечення, даних та персоналу, тощо.

Поряд зі стандартними засобами захисту, без яких неможливе нормальне функціонування корпоративних мереж (таких як між мережеві екрани, системи резервного копіювання й антивірусні засоби), існує необхідність використання систем моніторингу (систем виявлення атак або вторгнень), які є основним засобом боротьби з мережними атаками чи іншими несанкціонованим діям.

Корпоративні мережі мають високу складність побудови, оскільки вони територіально розподілені з точки зору ресурсів та розташування систем управління. Вони поєднують в собі можливість передачі даних з можливостями телефонії й відеоконференцзв’язку, наявності вбудованої системи підтримки інформаційної безпеки, а також резервних і дублюючих елементів, які відповідають за забезпечення надійності і доступності функціонування корпоративної мережі. Для всіх організацій в більшій мірі актуальна і перша (складність) і друга (критичність) властивості сучасних корпоративних мереж. Тобто разом з перевагами, які забезпечують сучасні інформаційні мережі з'являються й небезпечні ризики, стосовно взаємодії з відкритим і неконтрольованим зовнішнім інформаційним середовищем. Для зниження цих ризиків необхідно приділяти все більш уваги організації моніторингу функціонування, згідно державних і міжнародних стандартів.

Розділ 1. Концепція груп безпеки

Інформаційна безпека має на увазі під собою забезпечення захисту інформації і інфраструктури, що здійснює її підтримку від будь-якого випадкового або ж зловмисного втручання, в результаті якого може бути нанесений утрата інформації в цілому, її безпосереднім власникам і інфраструктурі, що підтримує її зберігання і існування. Інформаційна безпека виконує завдання, пов'язані з прогнозуванням і запобіганням можливим діям подібного роду, а також зводить до мінімуму можливий збиток.

Інформаційна безпека і можливі загрози її забезпеченню.

Дії, які так або інакше загрожують збереженню, що допускають нанесення збитків інформаційній безпеці підрозділяються на певні категорії.

Дії, які здійснюють користувачі, авторизовані в системі. Ця категорія включає:

· зловмисні дії користувача з метою крадіжки або повного або часткового знищення даних, що є на сервері або робочій станції компанії;

· пошкодження наявних даних як результат прояву необережності, халатності у діях користувача.

"Електронне" втручання — дії хакерів. До категорії хакерів прийнято відносити людей, активно задіяних в здійсненні комп'ютерних злочинів, як на професійному рівні, так і на рівні простої людської цікавості. До подібних способів дії відносять:

· незаконе проникнення в захищені комп'ютерні мережі;

· здійснення DOS-атак.

Елемент організаційного захисту є стержнем, який зв'язує в одну систему всі інші елементи. Центральною проблемою при розробці методів організаційного захисту інформації є формування дозвільної (обмежувальної) систем і доступу персоналу до конфіденційних відомостей, документів і баз даних. Важливо чітко і однозначно встановити: хто, кого, до яких, відомостей, коли, на який період і як допускає.

Дозвільна система доступу вирішує наступні задачі: забезпечення співробітників всіма необхідними для роботи документами і інформацією; обмеження кола осіб, які допускаються до конфіденційних документів; виключення несанкціонованого ознайомлення з документу Ієрархічна послідовність доступу реалізується по принципу "чим вища цінність конфіденційних відомостей, тим менша чисельність співробітників можуть їх знати". У відповідності з цією послідовністю визначається необхідний ступінь посилення захисних мір, структура рубежів (ешелонів) захисту інформації.

Доступ співробітника до конфіденційних відомостей, який здійснюється у відповідності з дозвільною системою, називається санкціонованим. Дозвіл (санкція) на доступ до цих відомостей завжди є строго персоніфікованим і видається керівником в письмовому вигляді: наказом, що затверджує схему посадового чи іменного доступу до інформації, резолюцією на документі, списком-дозволом в карточці видачі справи або на обложці справи ознайомлення з документом.

Розділ 2. Автоматизація управління політиками безпеки

Розглянемо технологічну схему процесу проектування інтелектуальних систем управління інформаційною безпекою. До часто використовуваних інтелектуальних засобів відносять бази знань [1], нечіткі логічні системи [2,3], нейронні мережі[4], еволюційні методи[5], гібридні інтелектуальні системи [6]. Розробка технології проектування перспективних систем управління інформаційною безпекою (СУІБ), автоматизація досліджень у даній області в цей час стає необхідною умовою створення ефективних інформаційних систем, у тому числі функціонально й об’єктно-орієнтованих.

У своєму розвитку СУІБ, як комплекс апаратно-програмних засобів, призначених для управління, пройшли еволюційний шлях від однопроцесорних контролерів до розвинених багатопроцесорних конфігурацій — файлових процесорів і машин баз даних — з характерними для них паралельними процесами й складною міжпроцесорною взаємодією. Прогнозоване збільшення структурної й функціональної складності СУІБ, насамперед, використання в її составі елементів системи штучного інтелекту, визначає актуальність розробки технології й, на її основі, засобів проектування СУІБ. Нижче представлена технологічна схема процесу проектування, у відповідних етапах.

Етап 1. Визначення вимог до СУІБ. Етап передбачає вибір структури й стратегії управління з метою конкретизації основних параметрів СУІБ.

Етап 2. Формалізований опис СУІБ. У зв'язку з різною специфікою робіт технологічної схеми на кожному етапі використовується власний метод специфікації, причому всі методи засновані на моделях, що становлять собою той або інший вид машини послідовностей. Так, при виконанні робіт з оцінки продуктивності системи може бути використаний детермінований кінцевий автомат Рабина-Скотта, на етапі верифікації — розширені мережі Петри, на етапі переходу до структури апаратно-програмного забезпечення — діаграми потоків даних.

Етап 3. Оцінка продуктивності СУІБ. Оцінка індексу продуктивності й інших характеристик альтернативних структур СУІБ може бути виконана за допомогою методу імітаційного моделювання на ЕОМ. Для побудови моделей СУІБ нетрадиційної структури з може бути використана методика складання моделей на основі загальних імітаційних алгоритмів досліджуваних структурних рішень із використанням апаратів теорії автоматів і теорії графів. Представлення дворівневої структури імітаційної моделі у вигляді складної машини Тьюринга дозволяє формалізувати процес взаємодії програмних модулів, наприклад, шляхом завдання множин композицій однострічкових машин.

Етап 4. Верифікація СУІБ. Верифікація СУІБ потребує розробки мови й системи специфікації, верифікації й імітаційного моделювання ієрархічно структурованих систем. Для специфікації СУІБ може бути використаний мережний формалізм, що включає ряд проблемно-орієнтованих розширень мереж Петри. В цьому випадку компактне подання мережних моделей досягається за допомогою застосування алгебри подання графів і граматики графів. Методи розробки СУІБ орієнтовані на ієрархічне модульне проектування. Верифікація здійснюється методами імітаційного моделювання й побудови множини досяжних станів, причому граф досяжних станів використовується, зокрема, для визначення тупикових ситуацій, блокувань по ресурсах і ін. Для верифікації СУІБ, які описані у термінах процесів і ресурсів, може бути розроблена експертна система, функціонування СУІБ у якій блок пояснень дозволяє одержати ланцюжок висновку, що інтерпретується у вигляді послідовності подій, які переводять систему з початкового стану в цільове.

Етап 5. Реалізація СУІБ. Для розв’язання завдання перетворення функціонального опису в структуру апаратно-програмних засобів використовується атрибутно-керована графова граматика, обумовлена як (V, W, A, B, P, S, C), де V і W — алфавіти для маркування вузлів і дуг відповідно; A і B — кінцева множина атрибутів для вузлів і дуг відповідно; P — кінцева множина продукції; S — множина початкових графів; C — керуюча діаграма на P. Для розв’язання завдання перетворення функціональних специфікацій у структуру програмних засобів використається подання окремого пристрою СУІБ у вигляді диспетчера й функціонального середовища, причому робота диспетчера описується за допомогою кінцевого автомата, функціонування якого аналогічно роботі машини Тьюринга з оракульнимі стрічками. Структура програмного забезпечення визначається за допомогою відображення вмісту стрічок автомата на багаторівневу деревоподібну структуру функціонального середовища.

В основу пропонованого прийнятого способу організації захисту покладена ідея подання знань про систему не тільки у вигляді суджень експертів, але й знань, одержуваних у процесі моделювання синтезованих структур СУІБ. Парадигмою подання знань є продукційна модель «if-else», яка формалізує знання у вигляді правил "ЯКЩО умова, ТО дія". Механізм маніпулювання знаннями передбачає використання апарата прямого логічного виводу з поверненнями, причому множини правил визначають як вибір структури або алгоритму, так і звертання до імітаційних моделей.

Розділ 3. Управління доступом до ресурсів мережі

Організаційні міри захисту відображаються в нормативно-методичних документах служби безпеки фірми. У зв'язку з цим часто використовується єдина назва двох розглянутих вище елементів системи захисту — елемент організаційно-правового захисту інформації. Елемент технічного захисту включає: засоби захисту технічних каналів витоку інформації, що виникають під час роботи ЕОМ, засобів зв'язку, копіювальних апаратів, принтерів, факсів та інших приладів і обладнання; засоби захисту приміщень від візуальних та акустичних способів технічної розвідки; засоби охорони будівель і приміщень від проникнення сторонніх осіб (засоби спостереження, сповіщення, сигналізації, інформування і ідентифікації, інженерні споруди); засоби протипожежної охорони; засоби виявлення приладів і пристроїв технічної розвідки (підслуховувальних та передавальних пристроїв,звукозаписувальної та телевізійної апаратури і т.д.)[36, c. 15-16].

Елемент програмно-математичного захисту інформації включає: регламентацію доступу до електронних документів персональними паролями, що ідентифікуються командами та іншими найпростішими методами захисту; регламентацію спеціальних засобів і продуктів програмного захисту; регламентацію криптографічних методів засобів захисту інформації в ЕОМ та мережах, криптографування (шифрування) тексту під час передачі їх по каналам звичайного та факсимільного зв'язку, під час пересилки поштою. В кожному елементі захисту можуть бути реалізовані на практиці тільки окремі складові частини[7, c. 17-18].

Наприклад, в організаційному захисті можна регламентувати тільки прийоми обробки конфіденційних документів і систему доступу до них персоналу. Методи і засоби захисту інформації в рамках системи захисту повинні регулярно змінюватись з метою попередження їх розкриття зловмисником. Конкретна система захисту інформації фірмі завжди є строго конфіденційною. Спеціалісти, які розробляли що систему, ніколи не повинні бути її користувачами.

Отже, система захисту конфіденційної інформації, яка використовується фірмою, є індивідуалізованою сукупністю необхідних елементів захисту, кожний з яких окремо вирішує свої специфічні для даної фірми задачі і володіє конкретизованим відносно цих задач змістом. В комплексі ці елементи формують багатограничний захист секретів фірми і дають відносну гарантію безпеки підприємницької діяльності фірми.

Документообіг як об'єкт захисту представляє собою сукупність (мережу) каналів розповсюдження документованої конфіденційної інформації по споживачам у процесі управлінської та виробничої діяльності.

Рух документованої інформації не можна розпродати тільки як механічне переміщення документів по інстанціям, як функцію поштової доставки кореспонденції адресатам. Основною характеристикою такого руху є його технологічна комплексність, тобто з'єднання в єдине ціле управлінських, діловодних та поштових задач, що визначають в сукупності зміст переміщення документів.

При русі документів (в тому числі електронних) по інстанціях створюються потенційні можливості втрати цієї інформації за рахунок розширення числа джерел, що володіють цінною інформацією. Загрози документам в документопотоках включають в себе: викрадення, копіювання паперових і електронних документів, фото-, відео-, аудіодокументів і баз даних; підміну документів, носіїв і їх окремих частин з метою фальсифікації або приховування факту загублення, викрадення; таємне чи дозволене ознайомлення з документами і базами даних, запам'ятовування і переказ інформації зловмиснику; дистанційний перегляд документів і зображення дисплея за допомогою спеціальних технічних засобів; помилкові дії персоналу під час роботи з документами (порушення дозвільної системи, порядку обробки документів, правил роботи з документами і т.д.); випадкове або зловмисне знищення цінних документів і баз даних, їх несанкціонована модифікація, спотворення і фальсифікація, зчитування даних в чужих масивах за рахунок роботи з залишковою інформацією на копіювальній стрічці, папері, дискам ЕОМ; маскування під зареєстрованого користувача; витік інформації по технічним каналам під час обговорення і диктування тексту документа, виготовлення документів[14, c. 109-111].

Головним напрямом захисту документованої інформації (документів) від всіх видів загроз є формування захищеного документообігу і використання в обробці і зберіганні, документів технологічної системи, що забезпечує безпеку інформації на любому типі носія. За рахунок цього досягається можливість контролю конфіденційної інформації в її джерелах і каналах розповсюдження.

Окрім загальних для документообігу принципів захищений документообіг базується на ряді додаткових принципів: персональної відповідальності співробітників за збереження носія і таємницю інформації; обмеженні ділової необхідності доступу персоналу до документів, справ і базам даних; операційному обліку документів і контролю за їх збереженням у процесі руху, розгляду, виконання і використання; жорсткій регламентації порядку роботи з документами, справами і базами даних для всіх категорій персоналу. В великих підприємницьких структурах з великим об'ємом документів в потоках захищеність документообігу досягається за рахунок: формування самостійних, ізольованих потоків конфіденційних (грифованих) документів і, часто, додаткового дроблення їх на ізольовані потоки у відповідності з рівнем конфіденційності (рівнем грифу) документів, що переміщаються; використання централізованої автономної технологічної системи обробки і зберігання конфіденційних документів, ізольованої від системи обробки інших документів; організації самостійного підрозділу (служби) конфіденційної документації або аналогічного підрозділу, що входить у склад служби безпеки, аналітичної служби фірми.

В підприємницьких структурах з невеликим складом штатних співробітників та об'ємом опрацьованих документів (наприклад, в малому бізнесі), а також в структурах, основна маса документів в яких є конфіденційною (наприклад, в банках, страхових компаніях), конфіденційні документи можуть не виділятися з загального документопотоку і оброблятися в рамках єдиної технологічної системи. Підрозділ конфіденційної документації в таких підприємницьких структурах зазвичай не створюється. Функції централізованої обробки і зберігання конфіденційних документів покладаються на керуючого справами, референта або інколи досвідченого секретаря-референта фірми. При любому варіанті побудови захищеного документообігу вжиті для безпеки інформації міри не повинні збільшувати терміни руху та виконання документів[15, c. 77-78].

Однією з найважливіших вимог до захищеного документообігу є вибірковість у доставці і використання персоналом цінної інформації. Вибірковість призначена не тільки для забезпечення оперативності в отримання користувачем цінної інформації, але й обмеження у доставці йому тієї інформації, робота з якою йому дозволена у відповідності з його функціональними обов'язками.

В основі вибірковості в доставці і використанні конфіденційних документів лежить діюча у фірмі дозвільна (розмежувальна) система доступу персоналу до конфіденційної інформації, документам, справам і базам даних. Система в даному випадку передбачає цілеспрямоване дроблення конфіденційної інформації між співробітниками на складові елементи, кожний з яких окремо значної цінності не представляє. Захист документованої інформації в потоках досягається одночасним використанням як дозвільних (розмежувальних) мір, так і комплексом технологічних процедур і операцій, які входять в систему обробки і зберігання документів, що забезпечує розгляд, виконання, використання і рух документів. В захищеному документообігу у більшості випадків використовується традиційна (ручна, діловодна) технологічна, система обробки і зберігання конфіденційних документів. В окремих випадках автоматизуються (при збереженні традиційного обліку документів) довідкові та пошукові завдання, контроль виконання. Технологічна система набуває змішаного характеру.

Суб'єкти електронного документообігу повинні зберігати електронні документи на електронних носіях інформації у формі, що дає змогу перевірити їх цілісність на цих носіях.

Строк зберігання електронних документів на електронних носіях інформації повинен бути неменшим відстроку, встановленого законодавством для відповідних документів на папері.

У разі неможливості зберігання електронних документів на електронних носіях інформації протягом строку, встановленого законодавством для відповідних документів на папері, суб'єкти електронного документообігу повинні вживати заходів щодо дублювання документів на кількох електронних носіях інформації та здійснювати їх періодичне копіювання відповідно до порядку обліку та копіювання документів, встановленого законодавством. Якщо неможливо виконати зазначені вимоги, електронні документи повинні зберігатися у вигляді копії документа на папері (уразі відсутності оригіналу цього документа на папері). При копіюванні електронного документа з електронного носія інформації обов'язково здійснюється перевірка цілісності даних на цьому носії.

При зберіганні електронних документів обов'язкове додержання таких вимог:

1) інформація, що міститься в електронних документах, повинна бути доступною для її подальшого використання;

2) має бути забезпечена можливість відновлення електронного документа у тому форматі, в якому він був створений, відправлений або одержаний;

3) у разі наявності повинна зберігатися інформація, яка дає змогу встановити походження та призначення електронного документа, а також дату і час його відправлення чи одержання.

Суб'єкти електронного документообігу можуть забезпечувати додержання вимог щодо збереження електронних документів шляхом використання послуг посередника, у тому числі архівної установи, якщо така установа додержується вимог цієї статті. Створення архівів електронних документів, подання електронних документів до архівних установ України та їх зберігання в цих установах здійснюється у порядку, визначеному законодавством[7, c. 10-11].

Найпоширеніші нині технології захисту електронних документів — кодування та електронний підпис — стикаються з проблемою їхнього практичного застосування при архівації документів: алгоритми у зв'язку з розвитком цифрових технологій мають дуже обмежений «термін надійності» — значно коротший, ніж строк зберігання документів в архіві, і підлягають регулярній перевірці на розкодування та постійній модернізації[23, c. 123].

Висновки

Сьогодні, в умовах формування глобальної кіберцивілізації, визначається міжнародно-правовий аспект теорії інформаційної безпеки: необхідність формування правил поведінки, відносин у так званому глобальному віртуальному чи кіберпросторі. Теорія інформаційної безпеки пов'язана з інформаційним правом та правовою інформатикою щодо правовідносин, ускладнених іноземним елементом (чинником). Щодо формування методик виявлення та розкриття злочинів, які вчиняються за допомогою сучасних інформаційних технологій, теорія інформаційної безпеки формує понятійний апарат такої інституції криміналістики, як криміналістична інформатика. При формуванні системи інформаційної безпеки виникає необхідність застосування методів інтеграції та агрегації складових системи як її підсистем, що можливо при адаптації до предметної сфери теорії алгоритмізації, моделювання, теорії систем тощо.

У контексті перспектив подальших розвідок у напрямі інформаційної безпеки особи, суспільства, держави, світового співтовариства слід зазначити, що: когнітивно-юридичний аналіз нормативно-правових актів у сфері суспільних відносин щодо інформаційної безпеки, з позицій накопичених наукових знань сьогодення, свідчить про те, що в суспільстві вже сформувалося усвідомлення необхідності формування умовно автономної інституції суспільних відносин — інформаційної безпеки: комплексної організації підтримки (збереження, охорони та захисту) життєво важливих прав особи (людини, громадянина), суспільства, держави, світового співтовариства щодо інформації (відомостей, даних, повідомлень, сигналів, знань). Проте рівень ентропії, який існує нині і знайшов відображення у прийнятих нормативно-правових актах у цій сфері суспільних відносин, об'єктивно не дав змоги сформувати їх зміст в обсязі, необхідному практиці. Щодо цього існує необхідність виділення в юридичній когнітології, семіотиці, герменевтиці права такої наукової інституції як герменевтика та когнітологія інформаційної безпеки. Для прикладу, досить звернути увагу на такий тавтологічний вираз як «забезпечення безпеки», що широко використовується не тільки на побутовому рівні, а й у нормативних актах.

Через інтеграцію інформаційного права та правової інформатики з адміністративним, цивільним, кримінальним правом та політологією має відображатися і державна інформаційна політика як складова державної політики національної безпеки. Остання повинна стати базисом для формування концепцій, доктрин, основ, засад, принципів державної політики безпеки особи, суспільства, держави, світового співтовариства у сфері інформаційних правовідносин на основі такого систематизованого законодавчого акта, як Кодекс України про інформацію. У протилежному випадку — при продовженні фрагментарного, ситуативного, хаотичного публічно-правового правотворення (у тому числі законотворення Парламентом нашої країни) можна ставити питання про формування такого соціального явища як загроза правовій безпеці особи (людини, громадянина) та суспільства.

Як узагальнення можна зазначити, що інформаційна безпека — це суспільні відносини щодо створення і підтримання на належному (бажаному, можливому) рівні життєдіяльності відповідної інформаційної системи, у тому числі підприємництва.

Підтримка інформаційної безпеки — це комплекс організаційних, правових та інженерно-технологічних заходів щодо збереження, охорони та захисту життєво важливих інтересів суб'єктів інформаційної діяльності, у тому числі підприємництва.

Список використаної літератури

1. Біленчук П. Д., Романюк Б. В., Цимбалюк В. С. та ін. Комп'ютерна злочинність. Навчальний посібник.- Київ: Атіка, 2002.-240 с.

2. Близнюк І. Інформаційна безпека України та заходи її забезпечення //Науковий вісник Національної академії внутрішніх справ України. — 2003. — № 5. — C. 206-214

3. Братель О. Поняття та зміст доктрини інформаційної безпеки //Право України. — 2006. — № 5. — С.36-40

4. Бут В.В. Проблеми безпеки в інформаційній сфері — сутність понять та їх термінологічне тлумачення //Науковий вісник Національної академії внутрішніх справ України. — 2003. — № 5. — C. 225-232.

5. Вертузаєв М.С., Попов А.Ф. Проблеми боротьби зі злочинністю в сфері комп’ютерної інформації // Інформаційні технології та захист інформації. – 1998. – №1. – Ст. 4-14.

6. Вступ до інформаційної культури та інформаційного права: Монографія. — Ужгород, 2003. -240 с.

7. Гаврилов І. Розвиток інформаційного простору: нові можливості, нові загрози //Національна безпека і оборона. — 2001. — № 1. — C. 77-79

8. Гайкович В.Ю., Ершов Д.В. Основы безопасности информационных технологий: Учеб. пособие. – М.: МИФИ, 1995. – 252 с.

9. Гнатцов О. Політико-управлінські аспекти інформаційних ресурсів у системі забезпечення державної безпеки //Вісник Національної академії державного управління при Президентові України. — 2004. — № 3. — C. 485-492

10. Горбатюк О.М. Сучасний стан та проблеми інформаційної безпеки України на рубежі століть //Вісник Київського університету імені Т.Шевченка. — 1999. — Вип. 14: Міжнародні відносини. — C. 46-48

11. Гуцалюк М. Інформаційна безпека у сучасному суспільстві //Право України. — 2005. — № 7. — С.71-73.

12. Гуцалюк М. Інформаційна безпека України: нові загрози //Бизнес и безопасность. — 2003. — № 5. — C. 2-3

13. Домарев В.В. Безопасность информационных технологий. Системный подход. – К.: ООО «ТИД «ДС», 2004. – 992 с.

14. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. – М.: Горячая линия – Телеком, 2000. – 452 с.

15. Інформаційна безпека України: проблеми та шляхи їх вирішення //Національна безпека і оборона. — 2001. — № 1. — C. 60-69

16. Інформаційна безпека України: сутність та проблеми // Стратегічна панорама. — 1998. — № 3-4.

17. Інформаційна безпека: проблеми боротьби зі злочинами у сфері використання комп'ютерних технологій: Монографія. — Запоріжжя, 2001. — 252 с

18. Інформаційне право та інформаційна безпека. — ЕС; Д., 2001.

19. Інформаційне право.- Навч.-метод. комплекс. -К., 1998.

20. Інформаційне суспільство. Дефініції. — К., 2002. — 220 с

21. Капеев И. Р., Беляев А. В. Информационная безопасность предприятия. — СПб, 2003.

22. Катренко А. Особливості інформаційної безпеки за міжнародними стандартами //Альманах економічної безпеки. — 1999. — № 2. — C. 15-17

23. Катренко А.В., Тарасов Д.О. Слабкі ланки захисту інформаціїi в інформаційних системах // Науково-технічний журнал “Захист інформації”, №3 за 2000 р. с.58-63.

24. Ковтун В.С. Інформаційні технології — небезпечний засіб поширення тероризму //Безпека життєдіяльності. — 2006. — № 10. — C. 39-44