Введение
ГЛАВА 1. Исследование информационной системы электронной торговой площадки как объекта защиты 11
1.1. Назначение ИС ЭТП 11
1.2. Анализ требований законодательства к функционированию ИС ЭТП 14
1.3. Описание инфраструктуры ИС ЭТП и защищаемых информационных активов 21
1.4. Анализ существующих механизмов обеспечения безопасности ИС ЭТП 25
1.5. Основные научно-теоретические проблемы разработки СЗИ для ИС ЭТП 33
1.5.1. Анализ существующих методов построения моделей угроз ИБ и обоснование возможности использования графической нотации EPC для разработки моделей угроз в ИС ЭТП 34
1.5.2. Обоснование возможности использования метода принятия решений Б. Руа при планировании модульного состава СЗИ ИС ЭТП 41
1.5.3. Анализ существующих моделей разграничения доступа и обоснование выбора ролевой модели для разработки методики формализации правил взаимодействия информационных субъектов и объектов в ИС ЭТП
1.5. Основные научно-теоретические задачи, решаемые в диссертационной работе 47
1.6. Выводы по первой главе 48
ГЛАВА 2. Разработка структурной и графических моделей угроз информационной безопасности в информационной системе электронной торговой площадки 51
2.1. Разработка модели нарушителя как источника угроз ИБ в ИС ЭТП 51
2.1.1. Модель злоумышленника ИБ в ИС ЭТП 52
2.1.2. Модель нарушителя ИБ в ИС ЭТП 53
2.2. Разработка структурной вербальной модели угроз ИБ в ИС ЭТП 60
2.3. Разработка метода численной оценки величин угроз на основе их графического представления и с учетом уязвимостей СрЗИ с целью ранжирования угроз и определения их актуальности 67
2.4. Выводы по второй главе 86
ГЛАВА 3. Разработка моделей и методов управления информационной безопасностью в информационной системе электронной торговой площадки 88
3.1. Разработка методики формализации правил взаимодействия информационных субъектов и объектов в ИС ЭТП на основе математической модели ролевого разграничения доступа 89
3.1.1. Решение задачи определения правил контроля доступа для ролей пользователей ИС ЭТП 92
3.1.2. Решение задачи определения правил администрирования в ИС ЭТП 98
3.2. Разработка модели планирования модульного состава СЗИ как одного из
основных аспектов управления ИБ в ИС ЭТП 107
3.2.1. Определение модульного состава СЗИ в ИС ЭТП для нейтрализации выявленных актуальных угроз ИБ 110
3.2.2. Адаптированный метод выбора комплекса СрЗИ в ИС ЭТП, основанный на методе Б. Руа 112
3.3. Выводы по третьей главе 126
ГЛАВА 4. Разработка системы управления информационной безопасностью в информационной системе электронной торговой площадки 128
4.1. Разработка подсистемы поддержки принятия решений по выбору модульного состава СЗИ 129
4.2. Разработка подсистемы формирования политики разграничения доступа 137
4.3. Описание результатов апробации предложенной системы управления информационной безопасностью в ИС ЭТП 143
4.3.1. Описание результатов апробации подсистемы поддержки принятия решений по выбору модульного состава СЗИ 143
4.3.2. Описание результатов апробации подсистемы формирования политики разграничения доступа 150
4.4. Выводы по четвертой главе 151
Заключение 152
Список сокращений и условных обозначений 154
Список использованной литературы 155
