Компьютерные преступления в АС, связанные с неправомерным доступом к компьютерной информации: оценка и регулирование рисков

Компьютерные преступления в АС, связанные с неправомерным доступом к компьютерной информации: оценка и регулирование рисков

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА

Компьютерные преступления в АС, связанные с неправомерным доступом к компьютерной информации: оценка и регулирование рисков

1. Анализ реализуемых в автоматизированной системе компьютерных преступлений, связанных с неправомерным доступом к компьютерной информации, их характерных особенностей и способов реализации

.1 Сущность неправомерного доступа к компьютерной информации как компьютерного преступления

Под компьютерным преступлением следует понимать предусмотренное уголовным законом общественно опасное деяние (действие или бездействие), направленное против информации, представленной в особом (машинном) виде, принадлежащей государству, юридическому или физическому лицу, а также против установленного государством или ее собственником порядка создания (приобретения), использования и уничтожения, если оно причинило или представляло реальную угрозу причинения ущерба законному владельцу информации или автоматизированной системы, в которой эта информация генерируется (создается), обрабатывается, передается и уничтожается, или повлекло иные опасные последствия [54].

Согласно Конституции РФ, «охраняемая законом компьютерная информация» - это любая информация, которая поставлена под защиту закона в связи с обеспечением собственных и обязательственных прав на ЭВМ, компьютерное оборудование, а также в связи с тайной сообщений».

Согласно Уголовному кодексу Российской Федерации (в редакции с 11.03.2011) неправомерным доступом к компьютерной информации является деяние, которое повлекло её уничтожение, блокирование, модификацию или копирование, нарушение работы ЭВМ, системы ЭВМ или их сети, при осуществлении которых использовались информационно-телекоммуникационные сети [92], причем компьютерная информация может выступать как в качестве предмета преступления, так и в качестве средства преступления, причем в рамках одного и того же случая правонарушения. К статье 272 УК РФ («Неправомерный доступ к компьютерной информации») относятся как преступления, совершаемые в отношении компьютерной информации, находящейся в глобальных компьютерных сетях или при обращении к ним, так и преступления, совершаемые в отношении компьютерной информации, находящейся в ЭВМ, не являющихся компьютером в классическом понимании этого слова (таких, как пейджер, сотовый телефон, кассовый аппарат и т.п.) [13].

Состав данного преступления носит материальный характер и предполагает обязательное наступление одного из следующих последствий:

уничтожение информации - приведение ее полностью либо в существенной части в непригодное для использования по назначению состояние;

блокирование информации - обеспечение недоступности к ней, невозможности ее использования в результате запрещения дальнейшего выполнения последовательности команд либо выключения из работы какого-либо устройства, а равно выключения реакции какого-либо устройства ЭВМ, системы или сети ЭВМ при сохранении самой информации;

модификация информации - внесение изменений в программы, базы данных, текстовую информацию, находящуюся на материальном носителе;

копирование информации - перенос информации на другой материальный носитель, при сохранении неизмененной первоначальной информации;

нарушение работы ЭВМ, системы ЭВМ или их сети, что может выразиться как в нарушении работы отдельных программ, баз данных, выдаче искаженной информации, так и в нештатном, т.е. не предусмотренном специальными инструкциями либо правилами, функционировании программно-аппаратных средств и периферийных устройств либо нарушении нормального функционирования сети [92].

Важным является установление причинной связи между несанкционированным доступом и наступлением последствий.

При этом следует учитывать, что неправомерный доступ может осуществляться к одной компьютерной информации, а вредоносные последствия наступать в отношении другой [92].

При функционировании сложных компьютерных систем возможны уничтожение, блокирование и нарушение работы ЭВМ в результате технических неисправностей или ошибок в программных средствах. В этом случае лицо, совершившее неправомерный доступ к компьютерной информации, не подлежит ответственности из-за отсутствия причинной связи между действиями и наступившими последствиями.

Данное преступление считается оконченным в момент наступления предусмотренных в комментируемой статье последствий.

Субъективная сторона данного преступления характеризуется только прямым умыслом. В случае если в результате неправомерного доступа к системе ЭВМ, управляющей процессами, связанными с повышенной опасностью, например системе управления атомной станцией, в результате уничтожения, блокирования, модифицирования информации была нарушена работа реактора, что привело к тяжким последствиям, даже если наступление этих последствий не охватывалось умыслом лица, уголовная ответственность за такие последствия наступает в случае, если лицо предвидело возможность их наступления, но без достаточных к тому оснований самонадеянно рассчитывало на их предотвращение, или в случае, если лицо не предвидело, но должно было и могло предвидеть возможность наступления этих последствий. В целом такое преступление признается совершенным умышленно.

Субъектами данного преступления в основном могут являться лица, имеющие опыт работы с компьютерной техникой, поэтому в силу профессиональных знаний они обязаны предвидеть возможные последствия уничтожения, блокирования, модификации информации либо нарушения работы ЭВМ, системы ЭВМ и их сети. По общему правилу субъектом преступления, предусмотренного комментируемой статьей, может быть лицо, достигшее 16-летнего возраста, однако ч. 2 этой статьи предусматривает наличие специального субъекта, совершившего данное преступление с использованием своего служебного положения, а равно имеющего доступ к ЭВМ, системе ЭВМ или их сети. Под доступом в данном случае понимается фактическая возможность использовать ЭВМ при отсутствии права на работу с защищенной информацией. Например, инженер по ремонту компьютерной техники имеет доступ к ЭВМ в силу своих служебных обязанностей, но вносить какие-либо изменения в информацию, находящуюся в памяти ЭВМ, не имеет права [92].

Способы осуществления неправомерного доступа можно разделить на 2 группы:

). Простые в техническом плане преступления, не требующие особой подготовки.

). Высокотехнологичные способы, характеризующиеся специальными методами и средствами совершения преступления, а также сокрытия следов преступления. Такие правонарушения требуют специальной подготовки [72].

Преступления первой группы наиболее распространены. Их обнаружение и раскрытие не составляет особого труда для криминалистов. Такие правонарушения не характеризуются предварительным сбором информации об объекте посягательства, организации его работы, версии операционной системы, программном обеспечении, сетевой топологии и так далее [72].

Вторая группа способов неправомерного доступа, напротив, характеризуется высокотехнологичными приемами взлома, является наиболее опасной и редко поддается раскрытию всех их обстоятельств. Используемые приемы сокрытия следов неправомерного доступа обуславливают высокую сложность обнаружения преступления, а также выяснения личностей преступников [72].

Рассматриваемый тип преступлений имеет очень низкий процент раскрываемости ввиду того, что очень часто деяния злоумышленников остаются незамеченными, а их жертвы иногда по каким-либо причинам боятся или считают нецелесообразным обращаться в правоохранительные органы. Согласно статистике «American Internet Crime Complaint Center» («Центра жалоб по компьютерным преступлениям - IC3») число жалоб в центр значительно превышает количество обращений, переданных на рассмотрение в правоохранительные органы в случаях возникновения инцидентов компьютерных преступлений [96].

Рисунок 1.1 - Количество жалоб в IC3 по случаям возникновения инцидентов компьютерных преступлений

Рисунок 1.2 - Количество переданных на рассмотрение дел по случаям возникновения инцидентов компьютерных преступлений

Данная статистика публикуется ежегодно и служит для выявления необнаруженных инцидентов преступлений в отношении компьютерной информации. Приведенные диаграммы лишь подтверждают точку зрения о высокой латентности киберпреступлений, что является одной из главных причин их слабой раскрываемости. Проанализировав эти данные, можно сделать вывод о том, что порядка 58% преступлений проходят «мимо» поля зрения правоохранительных органов. Обнаруживаются же преступления, как правило, в случаях, приведенных на диаграмме рис. 1.3 [79].

Рисунок 1.3 - Соотношение причин обнаружения случаев компьютерных преступлений при отсутствии соответствующего обращения в правоохранительные органы

Обычно потерпевшая сторона при возникновении инцидента компьютерного преступления, в частности, связанного с неправомерным доступом к компьютерной информации принимает решение об обращении в правоохранительные органы, исходя из анализа следующих факторов[16]:

). Уровень доверия правоохранительным органам по вопросу скрытия данного события от общественности в целях сохранения репутации и клиентов.

). Вера в компетентность сотрудников полиции по вопросам установления факта преступления, а также его расследования и раскрытия.

). Низкий уровень юридической грамотности руководства и персонала потерпевшей организации.

). Возможность требования создания системы безопасности со стороны государства в разбирательства, что приведет к непредвиденным затратам, возможно, большим, нежели ущерб, нанесенный инцидентом.

). Страх раскрытия собственных незаконных механизмов осуществления экономической или прочих видов деятельности.

). Возможность выявления низкой профессиональной подготовки некоторых должностных лиц.

Кроме того, в настоящее время криминалистические аспекты расследования и предупреждения преступлений, связанных с неправомерным доступом компьютерной информации, исследованы недостаточно, не решены вопросы тактики и методики следственных действий [72].

Одной из главных особенностей неправомерного доступа к компьютерной информации является то, что обычно он реализуется удаленно, то есть место совершения преступления не совпадает с местонахождением преступника в момент правонарушения [72]. Следовательно, следы правонарушений необходимо искать на пути следования данных от взломщика до жертвы. Ниже на рисунке 1.4 приведена обобщенная схема, описывающая наличие следов атаки на различных этапах пути прохождения информации.

Для реализации преступного посягательства злоумышленники чаще всего используют 5 нижеприведенных способов:

). Использование чужих IP-адресов в ЛВС с выходом в Интернет. Следы могут быть представлены в виде IP и MAC-адресов.

). Использование беспроводного соединения Wi-Fi. Сервер провайдера содержит настройки и некоторые данные злоумышленника.

). Использование чужого телефонного номера. Следы также можно обнаружить на сервере провайдера.

). Использование чужого компьютера. Целесообразно воспользоваться файлами регистрации и аудита системных событий. Однако грамотные взломщики такие следы тщательно скрывают.

). Пользование услугами провайдера, не хранящего данные о своих пользователях. Следов не остается.

Рисунок 1.4 - Обобщенная схема удаленного неправомерного доступа к компьютерной информации с перечнем следов преступления

1.2 Описание мотивов, объектов, используемых уязвимостей и методов неправомерного доступа к компьютерной информации

Для анализа мотивов действий компьютерных преступников обратимся к «Web Hacking Incident Database» («База данных случаев веб-хакинга») - WHID.

Рисунок 1.5 - Соотношение мотивов неправомерного доступа

Проанализировав приведенную диаграмму, можно увидеть, что чаще всего хакеры прибегают к взлому в целях обеспечения простоя атакуемых систем, что приводит к потере их функциональности и снижению эффективности функционирования. Достаточно часто действия взломщиков направлены на уничтожение важных данных и ознакомление с конфиденциальной информацией, а также на навязывание ложной информации (имитацию или подмену). Не секрет, что Интернет в последнее время широко используется для мошенничества, особенно в нашей стране, где уровень компьютерной грамотности населения в среднем невысок. Гораздо реже хакеры реализуют свои противоправные действия в целях удовлетворения собственного любопытства или же банального бесплатного просиживания во всемирной паутине за счет другого абонента [49].

Рисунок 1.6 - Соотношение объектов атак взломщиков

Как видно из рисунка, наиболее подвержены атакам правительственные системы, т.к. именно они используются для оперативного управления делами государства. Искажение уничтожение, либо модификация важных правительственных данных способно подорвать доверия народа к правительству, внести сумятицу в государственные дела, ведь именно в руках правительства находится исполнительная власть, обеспечивающая порядок в стране и безопасность граждан. Банковская система также оказывается весьма уязвимой по отношению к неправомерному доступу в целях нанесения ущерба и упущению выгоды от финансовых операций [49].

Среди уязвимостей особняком стоит недостаточная анти-автоматизация, которая предполагает возможность автоматизации злоумышленником процесса, который должен выполняться исключительно вручную. Все чаще используется уязвимость, связанная с неправильной обработкой данных, что обуславливает распространение атак типа «Межсайтовый скриптинг» и «SQL-инъекция» [32].

Рисунок 1.7 - Соотношение используемых хакерами уязвимостей

Рисунок 1.8 - Соотношение методов взлома

Среди всех видов атак стоит выделить атаки 3-х видов: отказ в обслуживании (DoS-атаки), компрометация системы, межсайтовый скриптинг - XSS. Dos-атака (атака типа «отказ в обслуживании», от англ. Denial of Service) - атака на вычислительную систему с целью обеспечения невозможности или существенного затруднения получения доступа пользователей к ее ресурсам. Обусловлена наличием уязвимости типа «недостаточная анти-автоматизация». Обычно при возникновении внештатной ситуации атакуемое программное обеспечение выдает некоторую критическую информацию (версию операционной системы, часть программного кода, список пользователей и т.д.), которая может быть использована для овладения системой. Чаще всего подобные атаки обуславливают упущение выгоды в результате простоя служб, приносящих доход [50].

Компрометация системы позволяет выполнить произвольный код на целевой системе. Одним из основных способов компрометации является SQL-инъекция. Данный тип атаки основан на неправильной обработке СУБД входных данных, что позволяет хакеру выполнить произвольный SQL-запрос (самовольно получать доступ, изменять, добавлять и удалять данные). В результате СУБД остается полностью уязвимой к хакерским атакам, и предоставляет взломщикам возможность всецело управлять её состоянием [50].

По данным «Securitylab» на 2012 год XSS-атаки являются наиболее часто встречающимися. Суть такого воздействия заключается в наличии возможности попадания пользовательских скриптов в генерируемые сервером страницы. Взломщик может получить доступ к данным cookie (пароль, идентификатор сессии и т.д.). Такой сервер можно использовать в качестве средства атаки на клиентов [32].

Рисунок 1.9 - Соотношение векторов атак

На рис. 1.8. Представлено соотношение видов атак по источнику их возникновения.

Из представленной диаграммы видно, что неправомерный доступ в 84-х процентах случаев реализуется удаленно, в 10-ти процентах - из пределов локальной сети, и лишь в 6-ти процентах при непосредственном доступе к аппаратуре [32].

Рисунок 1.10 - Соотношение опасностей атак

Диаграмма на рисунке 1.10 свидетельствует о том, что более половины всех атак считаются малоопасными, около трети котируются как атаки средней опасности, 17% - высокой, и лишь 1 процент - критической [32].

1.3 Характеристика личности преступника как субъекта неправомерного доступа

Для анализа национальной принадлежности нарушителей обратимся к статистике IC3. Согласно приведенным ниже данным, подавляющее большинство хакеров являются гражданами Соединенных Штатов. Российская Федерация в статистике не представлена, так как не входит в десятку стран, являющихся источниками нападения [96].

Рисунок 1.11 - Топ 10 стран-источников неправомерного доступа

Согласно статистике ФБР, наиболее опасными нарушителями с точки зрения вероятности успешной реализации деструктивных действий являются так называемые «инсайдеры», то есть внутренние пользователи системы, знающие специфику и особенности построения атакуемой вычислительной системы [51].

Рисунок 1.12 - Перечень категорий нарушителей

Наименьшую же угрозу представляют клиенты и аудиторы, мало осведомленные об атакуемой системе.

В экспертно-криминалистическом центре МВД была проведена классификация взломщиков. В результате получился некий портрет современного российского компьютерного преступника. Это, в 75-ти процентах случаев мужчина с большим опытом работы. Разброс возраста весьма существенный (15-45 лет). Что же касается судимости, то она, как правило, отсутствует. Такой человек является весьма уважаемым в своем кругу, не терпит всякого рода насмешек, мыслит быстро и нестандартно [52].

Таблица 1.1 - Портрет современного российского компьютерного преступника

.4 Выводы по первой главе

В первой главе был произведен анализ компьютерных преступлений, связанных с неправомерным доступом к компьютерной информации, рассмотрена обобщенная схема реализации данных правонарушений, рассмотрены способы их осуществления, а также их следы, используемые правоохранительными органами для расследования подобных инцидентов. Кроме того, была приведена и проанализирована статистика используемых методов неправомерного доступа, уязвимостей, их обуславливающих, а также субъектов преступлений и их мотивов.

Дабы резюмировать вышеописанное и собрать результаты анализа воедино, сформирована матрица-классификатор неправомерного доступа к компьютерной информации, содержащая объект, субъект, предмет, метод неправомерного доступа и описание уязвимости.

Объект неправомерного доступа - пассивная составляющая процесса неправомерного доступа, автоматизированная система, принадлежащая какой-либо из представленных сфер и подвергающаяся взлому со стороны злоумышленника.

Субъект неправомерного доступа - активная составляющая процесса неправомерного доступа, способная влиять на другие составляющие посредством выполнения каких-либо действий. Является источником угрозы и характеризуется по следующим параметрам:          - численность, мотивация, полномочия в атакуемой системе, уровень профессионализма.

Предмет неправомерного доступа - цель воздействия на субъект. Предметом может являться какое-либо свойство объекта, его характеристика или значение.

Метод неправомерного доступа - способ неправомерного доступа, определяющий последовательность действий при реализации воздействия на АС.     Используемая уязвимость - «слабое место» в атакуемом объекте, обуславливающее наличие угрозы и соответствующую опасность [72].

Таблица 1.2 - Матрица-классификатор случаев неправомерного доступа

2. Статистическое моделирование компьютерных преступлений в АС, связанных с неправомерным доступом к компьютерной информации

.1 Основные параметры риска, используемые при статистическом моделировании

Как уже было отмечено выше, в настоящее время существует множество способов осуществления неправомерного доступа к компьютерной информации АС, каждый из которых может нанести тот или иной ущерб системе. В связи с этим уместно утверждать, что ущерб от подобных воздействий является величиной случайной. Для описания ущерба как случайной величины используется аппарат теории вероятностей и математической статистики, практикующий подход с использованием различных функций и законов распределения вероятности случайной величины. Так как величина ущерба может принимать значения в диапазоне [0;+), уместно использовать законы распределения, определенные на данной области и удовлетворяющие физическому смыслу ущерба: экспоненциальный и логнормальный законы; гамма-распределение; распределения Эрланга, Вейбула и Релея.

Функция распределения является основой для исследования непрерывных случайных величин. Непрерывная случайная величина - случайная величина, значения которой образуют несчетные множества. Значение функции распределения непрерывной случайной величины в точке определяет вероятность того, что случайная величина примет значение, меньше заданного.

Плотность или закон распределения вероятностей случайной величины имеет смысл первой производной функции распределения. Соответственно интегральная функция распределения плотности вероятности имеет вид

.                                                   (2.1)

Так как ущерб - величина положительная, то интегральная функция распределения представляет собой определенный интеграл от плотности распределения в пределах от 0 до +.

                        (2.2)

автоматизированный компьютерный преступление неправомерный

Основными характеристиками ущерба как случайной величины являются:

математическое ожидание (имеет смысл среднего значения ущерба, начальный момент первого порядка);

дисперсия (характеризует разброс значений ущерба относительно математического ожидания, центральный момент второго порядка);

центральные моменты третьего и четвертого порядков (определяются математическим ожиданием разности между текущим значением и начальным моментом первого порядка, возведенной в соответствующую степень).

Важнейшей характеристикой при оценке ущерба является математическое ожидание, характеризующее его среднее значение. Формула для расчета математического ожидания имеет следующий вид:

.                   (2.3)

для непрерывного распределения вероятностей ущерба.

Дисперсия также является весьма важной характеристикой ущерба как случайной величины. Дисперсия показывает разброс случайной величины относительно ее математического ожидания. Дисперсия ущерба определяется по формуле 2.4:

.                                      (2.4)

Среднеквадратическое отклонение (первый центральный момент) ущерба имеет вид .

Следует также отметить, что крайне важное значение имеют начальные и центральные моменты.

Начальным моментом k-го порядка случайно распределенной величины ущерба в общем виде является математическое ожидание k-й степени его величины (формулы 2.5, 2.6).

.                                           (2.5)

. (2.6)

Центральным моментом порядка k случайной величины ущерба называется математическое ожидание k-й степени соответствующей центрированной случайной величины:

.                                           (2.7)

 (2.8)

Следует отметить, что первый начальный момент - нечто иное как математическое ожидание (), а второй центральный момент - это дисперсия случайной величины ущерба ().

С использованием этих величин вводится коэффициент асимметрии распределения значений ущерба в системе:

.                                                  (2.9)

Коэффициент асимметрии показывает, насколько распределен ущерб относительно своего среднего значения, и не имеется ли в распределении асимметрии. Используя коэффициент асимметрии, можно узнать о направленности асимметрии. Если As>0, то распределение имеет правостороннюю асимметрию, а если As<0 - асимметрия левосторонняя.

Четвертый центральный момент является характеристикой островершинности распределения ущерба. Для того, чтобы описать это свойство, в теории вероятностей с помощью него вводится эксцесс случайной величины.

.                                              (2.10)

Коэффициент эксцесса ущерба показывает, является ли распределение ущерба более островершинными, нежели нормальное (нормальное распределение имеет ). При значении () распределение более островершинно, а при - менее.

Мода - значение случайной величины, имеющее наибольшую вероятность.

U0 - мода, соответствующая максимальному значению.

Риск - вероятность возникновения ущерба определенной величины. Аналитическое выражение для его расчета имеет вид:

. (2.11)

Найдем аналитические выражения для параметров риска, используя вышеприведенные характеристики.

Начальный момент k-го порядка для риска можно найти следующим образом:

. (2.12)

Центральный момент k-го порядка для риска находится следующим образом:

. (2.13)

Найдем центральный моменты 2-го, 3-го и 4-го порядка для риска, используя выражение 2.13.

 (2.14)

По формуле 2.12 имеем

. (2.15)

Следовательно, центральный момент 2-го порядка для риска может быть выражен следующим образом:

. (2.16)

 (2.17)

 (2.18)

Определим аналитическое выражения для среднеквадратического отклонения риска как квадратный корень из второго центрального момента риска(дисперсии).

. (2.19)

Объединим результаты, полученные для основных параметров риска, в единую таблицу (таблица 2.1).

Таблица 2.1 - Обобщенные аналитические выражения для расчета параметров риска

Алгоритм расчета параметров риска для АС можно представить в виде последовательности следующих процедур:

1)  Определение закона распределения на основе статистических данных.

2)      Расчет первых пяти начальных моментов распределения .

)        Расчет математического ожидания ущерба MR.

)        Расчет среднеквадратического отклонения ущерба .

)        Расчет моды и пика риска.

)        Расчет второго, третьего и четвертого центральных моментов.

) Расчет асимметрии и эксцесса риска и .

2.2 Определение закона распределения ущерба с использованием статистических критериев

.2.1 Критерий Пирсона

Статистическая гипотеза - некоторое предположение, которое принимается или отвергается на основании статистических данных. Основная проверяемая гипотеза называется нулевой и обозначается H0. Наряду с ней всегда выдвигается альтернативная гипотеза H1, и если основная отвергается, то принимается H1 [22].

Принятие той или иной гипотезы не означает, что предположение абсолютно верно, а означает лишь, что эмпирические данные не противоречат тому или иному предположению. Методы проверки статистических гипотез называются статистическими критериями [22].

Критерий согласия предназначен для проверки гипотез о том, что генеральная совокупность, представленная выборкой, имеет заданный закон распределения. Основным критерием согласия является критерий Пирсона (критерий «Хи-квадрат»).

Пусть имеется генеральная совокупность непрерывного типа, представленная выборкой объема n. Проверяется гипотеза H0, что генеральная совокупность имеет закон распределения f(x) с альтернативной гипотезой H1, что закон распределения отличен от f(x).

На основе выборочных данных строится группированный статистический ряд с числом интервалов группировки k. Число интервалов k зависит от объема выборки n.

Таблица 2.2 - Зависимость числа интервалов разбиения от объема выборки.

Ширина каждого из интервалов (если все они выбираются одинаковой ширины) определяется по формуле 2.18.

. (2.20)

Далее для каждого из интервалов считают эмпирические частоты (количество значений в выборке, принадлежащих данному интервалу) и эмпирические вероятности попадания величины в заданный интервал как отношение ni/n, где ni - эмпирическая частота i-го интервала.

Теоретические частоты попадания элемента выборки в тот или иной интервал считаются по формуле 2.21.

, (2.21)

где  - предполагаемый закон распределения генеральной совокупности, , - границы интервалов. При этом крайнюю левую границу считают равной , а крайнюю правую .

Статистикой критерия будет являться:

. (2.22)

Критическое значение определяется формулой 2.23:

, (2.23)

где - уровень значимости, l - число параметров распределения, для которого по выборке были найдены точечные оценки.

H0 принимается, если . В противном случае принимается H1.

2.2.2 Определение закона распределения на основе статистических данных с использованием критерия Пирсона

Проанализируем статистику случаев неправомерного доступа за февраль, март, апрель 2012 года. Статистика представлена сайтом zone-h.org, собирающим данные о компьютерных преступлениях.

Рисунок 2.3 - Количество зарегистрированных случаев неправомерного доступа в феврале, марте и апреле 2012 года

Продолжение рисунка 2.3

Согласно данным «American Internet Crime Complaint Center», средний ущерб от 1-ой успешной атаки составляет 916 $. Таким образом, составим выборку из 75-ти элементов, каждой из которых будет являться величина ущерба от инцидентов неправомерного доступа за 1 день. Для этого необходимо умножить количество атак за день на средний ущерб от 1-й атаки.

На рисунке 2.4 представлена статистика ущербов от 75 инцидентов неправомерного доступа к компьютерной информации, зафиксированных в феврале, марте, апреле 2012 г.

Рисунок 2.4 - Статистика ущербов от инцидентов неправомерного доступа за февраль, март, апрель 2012 г.

Математическое ожидание М ущерба определяется формулой 2.24:

, (2.24)

где n - количество элементов выборки, Ui - i-й ущерб.

Среднеквадратическое отклонение  определяется по формуле 2.25:

. (2.25)

Таким образом, для данной выборки получили значения M=26622,77; =10559,9.

Минимальный ущерб от атак неправомерного доступа за указанный период составил 9160 $, а максимальный - 58608 $.

Разобьем диапазон попадания ущерба на 10 интервалов и построим гистограмму количества попаданий величины ущерба в каждый из интервалов (рисунок 2.6).

Рисунок 2.5 - Гистограмма ущербов от неправомерного доступа к компьютерной информации

Для удобства частоты попадания ущерба в каждый из интервалов разделим на объем выборки n=75. На рисунке 2.6 представлена полученная таким образом диаграмма распределения ущерба по количеству инцидентов. Полученная гистограмма является эмпирическим приближением к функции распределения ущерба как случайной и величины.

Рисунок 2.6 - Распределение ущерба по количеству инцидентов

Поставим задачу определения закона распределения дневного ущерба как случайной величины. Для этого построим и проанализируем графики следующих распределений: экспоненциальное, логнормальное, бета-распределение, гамма-распределение, Релея, Вейбулла. Отметим, что ущерб не может быть распределен по нормальному закону, либо по Коши, т.к. область определения данных законов составляет все множество действительных чисел, что не удовлетворяет физическому смыслу ущерба.

Для удобства пронормируем выборку ущербов на рисунке 2.4, разделив каждое из значений на 58700 $. Получим следующую статистику (рисунок 2.7).

Рисунок 2.7 - Нормированная выборка ущербов от инцидентов неправомерного доступа к компьютерной информации за февраль, март, апрель 2012 г.

Для полученной выборки рассчитаем математическое ожидание m=0,455 и дисперсию D=0,033.

Для построения графика необходимо знать параметры и . Их можно определить, зная математическое ожидание и дисперсию:

Для бета-распределения математическое ожидание равно:

. (2.26)

Дисперсия определяется как:

. (2.27)

Таким образом, для параметров распределения α и β имеем:

. (2.28)

Для нашей выборки получили значения α = 2,088, β = 2,501. Построим график для бета-распределения с данными параметрами.

Рисунок 2.8 - График бета-распределения с параметрами α = 2,088, β = 2,501

Проанализировав полученный график, можно сделать вывод, что бета-распределение не соответствует статистическим данным.

Проанализировав график экспоненциального распределения с параметром , также сделаем вывод, что экспоненциальный закон не соответствует статистическим данным.

Рисунок 2.9 - График экспоненциального распределения с параметром

Аналогично рассмотрим график гамма-распределения с параметром , рассчитанным по формуле (2.28).

. (2.30)

По графику на рисунке 2.10 четко видно, что и этот вид распределения нам не подходит.

Рисунок 2.10 - График гамма-распределения с параметром

Для распределения Релея с параметром имеем следующий график:

Рисунок 2.11 - График распределения Релея с параметром

Опытным путем, чтобы график максимально соответствовал гистограмме, построенной на основе статистических данных, были установлены следующие значения параметров  распределения Вейбулла и построен график (рисунок 2.13).

Рисунок 2.12 - График распределения Вейбулла с параметрами

Для того чтобы построить график логарифмически нормального распределения, необходимо от каждого из элементов выборки взять натуральный логарифм. Для полученной выборки считаем m=-0,843, Ниже приведен график логарифмически нормального распределения с данными параметрами.

Заметим, что именно логнормальный закон распределения наиболее точно соответствует гистограмме 2.6. Следовательно, имеет смысл проверить соответствие представленной выборки ущербов логарифмически нормальному закону.

Рисунок 2.13 - Логарифмически нормальный закон с параметрами m=-0,843,

Проверим гипотезу о том, что ущерб имеет логарифмически нормальный закон распределения, используя критерий Пирсона на уровне значимости 0,05. Известно, что неотрицательная случайная величина имеет логарифмически нормальный закон распределения вероятности, если ее натуральный логарифм имеет нормальный закон распределения. Следовательно, на первом шаге возьмем натуральный логарифм от каждого элемента Ui выборки 2.4. Получим следующую гистограмму (рисунок 2.14).

Рисунок 2.14 - Распределение величины ln(Ui) по количеству инцидентов

Для проверки гипотезы H0 о нормальном распределении полученной выборки составим группированный статистический ряд.

Таблица 2.3 - Группированный статистический ряд.

Рисунок 2.15 - Диаграмма теоретических и эмпирических распределений вероятностей

Гипотеза Н0 принимается том случае, если рассчитанное по формуле 2.22 значение критерия меньше критического значения , рассчитываемого по таблице значений квантилей распределения хи-квадрат .

Полученное значение  не превосходит критического, следовательно, с вероятностью 0,95 данная выборка распределена по нормальному закону.

Таким образом, исходная выборка имеет логарифмически нормальный закон распределения с параметрами m=-0,843, .

Таким образом, полученная статистика удовлетворяет следующему закону распределения:

. (2.31)

Обобщенно семейство экспоненциальных распределений выглядит следующим образом:

. (2.32)

Применительно к логнормальному распределению коэффициенты A(u) и B(u) имеют следующий вид:

. (2.33)

. (2.34)

.3 Расчет основных параметров риска

Общая формула для риска для логнормального распределения плотности вероятности наступления ущерба выглядит следующим образом:

. (2.35)

Построим график для функции риска с параметрами m=-0,843, =0,366.

Рисунок 2.16 - График функции риска с параметрами m=-0,843,

k-й начальный момент для логнормального закона распределения вероятности ущерба рассчитывается по формуле:

. (2.36)

Рассчитаем первые 5 начальных моментов логнормального распределения.

Таким образом, математическое ожидание для логнормального распределения определяется равенством:

 (2.37)

Рассчитаем среднеквадратическое отклонение по формуле 2.38:

  (2.38)

Найдем моду и пик риска. Для этого возьмем первую производную по ущербу от функции риска и приравняем ее к нулю.

Таким образом, мода риска определяется следующим образом:

. (2.39)

Таким образом, несложной является задача нахождения пика риска:

. (2.40)

Найдем второй, третий и четвертый центральные моменты риска:

 (2.41)

 (2.42)

 (2.43)

Найдем коэффициент асимметрии риска по формуле 2.44:

 (2.44)

Используя формулу 2.45, найдем коэффициент эксцесса риска:

. (2.45)

С целью нахождения диапазона ущерба по заданному значению риска необходимо решить следующее уравнение:

где  и задает уровень отсчета от .

Прологарифмировав обе части уравнения, получим:

Сделаем замену. Пусть

Тогда:

Возвращаясь к переменной u, получим:

Таким образом

. (2.46)

Графически суть задачи можно представлена на рисунке 2.17:

Рисунок 2.17 - Диапазон ущерба с заданным значением риска

Таким образом, имеем диапазон ущерба при заданном уровне риска:

. (2.47)

3. Оценка динамики развития компьютерных преступлений в АС, связанных с неправомерным доступом к компьютерной информации

.1 Функции чувствительности и их применение

В технике под чувствительностью принято понимать способность объекта определенным образом реагировать на некоторое внешнее воздействие, а также количественную меру этой способности [91].

Математически чувствительность - это зависимость их свойств системы от изменения ее параметров. Простейшим методом анализа чувствительности является численное исследование параметрической модели системы во всем диапазоне изменения определяющей совокупности параметров. Практическое применение такого подхода, как правило, оказывается нецелесообразным или невозможным из-за огромного количества требуемых вычислений и необозримости полученных результатов.

Для исследования чувствительности систем используются функции чувствительности. Они служат для оценки влияния малых отклонений параметров системы от расчётных значений на временные характеристики системы.

Пусть  - множество некоторых параметров. При этом переменные состояния , и показатели качества  являются однозначными функциями параметров , т.е.

. (3.1)

. (3.2)

Далее вся совокупность переменных состояния для простоты будет обозначаться через .

Частные производные

. (3.3)

называются функциями чувствительности первого порядка величин  по соответствующим параметрам. Таким образом, функции чувствительности первого порядка представляют собой производные различных переменных состояния и показателей качества по параметрам соответствующей определяющей группы.

Частные производные k-го порядка от величин  по аргументам  называются функциями чувствительности k-го порядка по соответствующим комбинациям параметров.

. (3.4)

Очевидно, что функции чувствительности переменных состояния  зависят от  и параметров , а функции чувствительности показателей качества - только от параметров . Предполагается, что все производные, перечисленные выше, существуют. Предполагается также, что функции чувствительности не зависят от порядка дифференцирования по соответствующим параметрам. Для этого достаточно предполагать, что в некоторой окрестности О точки  пространства параметров существуют всевозможные производные (k-1) - го порядка, а также смешанные производные k-го порядка, причем все эти производные непрерывны.

3.2 Расчет коэффициентов чувствительности риска

В риск-анализе функции чувствительности также широко применяются для исследования зависимости риска от изменения его параметров. Это позволяет оценить динамику изменения риска при изменении его параметров.

Рассмотрим функцию риска, полученную в предыдущей главе:

.

Поставим задачу нахождения коэффициентов дифференциальной чувствительности по математическому ожиданию m и среднеквадратическому отклонению .

Для нахождения коэффициента дифференциальной чувствительности по параметру m, найдем частную производную функции риска по m:

 (3.5)

Рассмотрим поведение функции чувствительности при различных значениях u и =0,366.

При u=0,3; =0,366

Рисунок 3.1 - Поведение дифференциальной функции чувствительности в зависимости от параметра m

При u=0,5; =0,366

Рисунок 3.2 - Поведение дифференциальной функции чувствительности в зависимости от параметра m

При u=0,9; =0,366

Рисунок 3.3 - Поведение дифференциальной функции чувствительности в зависимости от параметра m

Рисунок 3.4 - Поведение дифференциальной функции чувствительности в зависимости от параметров u и m при =0,366

Рисунок 3.4 - Поведение дифференциальной функции чувствительности в зависимости от параметров u и m при =0,366

Для нахождения коэффициента дифференциальной чувствительности по параметру , также найдем частную производную:

 (3.6)

Проанализируем поведение дифференциальной функции чувствительности по параметру  при различных значениях u и при m=-0,843.

При u=0,1; m=-0,843

Рисунок 3.5 - Поведение дифференциальной функции чувствительности в зависимости от параметра

При u=0,3; m=-0,843

Рисунок 3.6 - Поведение дифференциальной функции чувствительности в зависимости от параметра

При u=0,4; m=-0,843

Рисунок 3.7 - Поведение дифференциальной функции чувствительности в зависимости от параметра

При u=0,5; m=-0,843

Рисунок 3.8 - Поведение дифференциальной функции чувствительности в зависимости от параметра

При u=0,6; m=-0,843

Рисунок 3.9 - Поведение дифференциальной функции чувствительности в зависимости от параметра

При u=0,8; m=-0,843

Рисунок 3.10 - Поведение дифференциальной функции чувствительности в зависимости от параметра

Рисунок 3.11 - Поведение дифференциальной функции чувствительности в зависимости от параметров u и  при m=-0,843

Рисунок 3.12 - Поведение дифференциальной функции чувствительности в зависимости от параметров u и  при m=-0,843

Рисунок 3.13 - Поведение дифференциальной функции чувствительности в зависимости от параметров u и  при m=-0,843

Найдем коэффициент относительной чувствительности по параметру m:

 (3.7)

Проанализируем поведение относительной функции чувствительности по параметру m в зависимости от u.

При u=0,1; =0,366

Рисунок 3.14 - Поведение относительной функции чувствительности в зависимости от параметра m

При u=0,3; =0,366

Рисунок 3.15 - Поведение относительной функции чувствительности в зависимости от параметра m

При u=0,5; =0,366

Рисунок 3.16 - Поведение относительной функции чувствительности в зависимости от параметра m

При u=0,8; =0,366

Рисунок 3.17 - Поведение относительной функции чувствительности в зависимости от параметра m

Рисунок 3.18 - Поведение относительной функции чувствительности в зависимости от параметров u и m при =0,366.

Рисунок 3.19 - Поведение относительной функции чувствительности в зависимости от параметров u и m при =0,366

Рисунок 3.20 - Поведение относительной функции чувствительности в зависимости от параметров u и m при =0,366.

Коэффициент относительной чувствительности по параметру  находится следующим образом:

 (3.8)

Проанализируем поведение относительной функции чувствительности по параметру  при различных значениях u и m=-0,843.

При u=0,1; m=-0,843

Рисунок 3.21 - Поведение относительной функции чувствительности в зависимости от параметра

При u=0,8; m=-0,843

Рисунок 3.22 - Поведение относительной функции чувствительности в зависимости от параметра .

Рисунок 3.23 - Поведение относительной функции чувствительности в зависимости от параметров u и  при m=-0,843

Рисунок 3.24 - Поведение относительной функции чувствительности в зависимости от параметров u и  при m=-0,843

Рисунок 3.25 - Поведение относительной функции чувствительности в зависимости от параметров u и  при m=-0,843

Приведенные графики наглядно показывают зависимость функций чувствительности от их аргументов при различных значениях ущерба. Определим, к какому из 2-х параметров логнормального распределения более чувствителен при тех или иных значениях ущерба.

Для этого составим отношение модулей функций чувствительности и построим графики получившихся функций.

Найдем отношение модулей дифференциальных функций чувствительности:

; (3.7)

Введем замену соответственно

Заметим, что исследуемое отношение имеет точку разрыва при u=exp(m).

Имеем:

Возведем обе части в квадрат, знак неравенства останется прежним, т.к. обе части положительны.

Решим данное неравенство методом интервалов. Для этого приравняем левую часть неравенства к нулю и найдем корни получившегося уравнения.

Умножим обе части уравнения на

Имеем:

Пусть тогда

Возвращаясь к переменной t, получим 4 корня уравнения:

Возвращаясь к переменной u, получим:

 (3.8)

Таким образом, неравенство 3.7 решается методом интервалов. Для нашего случая при m=-0,843;  решения выглядят следующим образом:

Точка разрыва u=exp (-0,843)=0,43

+ - + + - +

u

,239 0,344 0,43 0,538 0,776

Таким образом можно сделать вывод, что условие 3.7 выполняется, а следовательно, функция риска более чувствительна к параметру  при u, принимающих значения в диапазоне:

Следовательно, при регулировании риска в данном диапазоне ущерба целесообразно изменять коэффициент .

Заключение

Работа посвящена оценке и регулированию рисков компьютерных преступлений в АС, связанных с неправомерным доступом к компьютерной информации. При выполнении дипломной работы были достигнуты следующие научные и практические результаты:

.        На основании выполненных исследований разработана научная идея, заключающаяся в использовании при исследовании неправомерного доступа к компьютерной информации подхода, основанного на риск-анализе деструктивных воздействий преступлений данного типа на автоматизированные системы. Это позволило выявить качественно новые закономерности исследуемого явления, получившие свое отражение в разработанной модели оценки рисков.

.        Подход к исследованию правонарушений, связанных с неправомерным доступом к компьютерной информации, на основе риск-анализа является нетрадиционным. В представленной работе описан подход, являющий своей целью минимизацию ущерба от правонарушений рассматриваемого типа на автоматизированные системы, в т.ч. на распределенные. Основной упор делается не на устранение следствий уже возникших инцидентов, а на их предотвращение и обеспечение безопасности АС в отношении данного вида угроз.

.        При анализе статистических данных выявлены закономерности, подтверждающие обоснованность применения предложенных методик оценки и регулирования рисков. Полученные результаты дают основание полагать, что анализ компьютерных преступлений в их общей массе делает перспективу практического применения подобных работ достаточно слабой, а гибкость и адаптируемость предложенных моделей к реальности - достаточно низкими.

.        По-новому рассмотрено понятие неправомерного доступа к компьютерной информации как сущность, являющая для автоматизированной системы угрозу, мера опасности которой выявляется на основе оценки рисков.

.        В работе обоснована целесообразность использования методики оценки и регулирования рисков применительно к компьютерным преступлениям, связанным с неправомерным доступом к компьютерной информации.

.        При решении задач, применительно к проблематике работы, результативно использовались методы теории риска, теории вероятности и математической статистики.

.        В работе использованы положения критериальной оценки закона распределения статистических данных на основе предложенных гипотез, доказывающие целесообразность использования того или иного закона распределения вероятности ущерба как случайной величины.

Список литературы

1 Айсанов Р.М. Состав неправомерного доступа к компьютерной информации в российском, международном и зарубежном уголовном законодательстве: диссертация… кандидата юридических наук: 12.00.08. / Айсанов Руслан Мухамедович. - Москва, 2006.

Астахов А.М. Искусство управления информационными рисками. / А.М. Астахов. М: ДМК-Пресс, 2010. - 312 с.

Анин Б.Ю. Защита компьютерной информации. / Б.Ю. Анин. СПб: БХВ - Санкт-Петербург, 2000. (Приложение: Англо-русский криптологический словарь с толкованиями), С. 15-20.

Андреев Д.А. Относительная чувствительность к изменению параметров риск-модели. / Д.А. Андреев // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2008. Вып. 1, С. 148-149.

Андреев Д.А. Концепция управления рисками информационных атак на основе распределения Пуассона./ Д.А. Андреев, А.К. Пичугин // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2008. Вып. 3, С. 407-412.

Андреев Д.А. Вирусы и риски заражения систем: обзор и построение обобщенных вероятностных моделей./ Д.А. Андреев, А.Е. Брянский // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2009. Вып. 4, С. 519-538.

Айков Д. Компьютерные преступления. / Д. Айков, К. Сейгер, У. Фонсторх. Москва, 1999. - 352 с.

Белевский Р.А. Методика расследования преступлений, связанных с неправомерным доступом к компьютерной информации в сетях ЭВМ: дис. канд. юрид. наук: 12.00.09. / Белевский Роман Александрович. - Санкт-Петербург, 2006.

Борисов В.И. Оценка рисков информационно-телекоммуникационных систем, подвергающихся НСД-атакам. / В.И. Борисов, Н.М. Радько, И.О. Скобелев, Ю.С. Науменко // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2010. Вып. 1., С. 5-24.

Борисов В.И. Оценка рисков информационно-телекоммуникационных систем, подвергающихся НСД-атакам./ В.И. Борисов, Н.М. Радько, И.О. Скобелев, Ю.С. Науменко // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2011. Вып. 1, С. 5-24.

Борисов В.И. Управление эффективностью защиты ИТКС в условиях НСД-атак на их элементы./ В.И. Борисов, Н.М. Радько, И.О. Скобелев // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2011. Вып. 2, С. 161-180.

Борисов В.И. Аналитическое моделирование процессов реализации удаленных атак при помощи аппарата теории сетей Петри-Маркова: подмена доверенного объекта./ В.И. Борисов, Н.М. Радько, И.О. Скобелев // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2008. Вып. 2, С. 189-194.

Бармен С. Разработка правил информационной безопасности. / С. Бармен. М: Вильямc, 2002. - 296 с.

Бабкин С.А. Интеллектуальная собственность в сети Интернет. / С.А. Бабкин. Издательство «ЮрИнфоР», 2005. - 214 с.

Батурин Ю.М. Компьютерное преступление - что за этим понятием? / Ю.М. Батурин. «Интерфейс», 1990, №1. С. 37.

Батурин Ю.М. Право и политика в компьютерном кругe. / Ю.М. Батурин. M: Юридическая литература, 1987. - 180 с.

Батурин Ю.М. Проблемы компьютерного права. / Ю.М. Батурин. М.: юридическая литература, 1991. - 250 с.

Батурин Ю.М. Компьютерная преступность и компьютерная безопасность. / Ю.М. Батурин. А.М. Жодзишский. М.: Юридическая литература, 1991. - 200 с.

Вехов В.Б. Расследование компьютерных преступлений в странах СНГ. / В.Б. Вехов, В.А. Голубев Москва, 2004. - 182 с.

Вехов В.Б. Компьютерные преступления: Способы совершения и раскрытия. / В.Б. Вехов Под редакцией акад. Б.П. Смагоринского. М. 1996. - 192 с.

Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации: дис…. канд. юрид. наук: 12.00.09. / Гаврилин Юрий Викторович. - Москва, 2000.

Гмурман В.Е. Теория вероятностей и математическая статистика. / В.Е. Гмурман. М.: Высшая школа, 2004. - 479 с.

Гайкович В.Ю. Информационная безопасность компьютерных сетей. / В.Ю. Гайкович, П.В. Дорошкевич и др. М.: Технологии электронных коммуникаций, том 45, 1993. - 188 с.

Герасименко В.А. Защита информации в автоматизированных системах обработки данных. Книга 1 и 2. / В.А. Герасименко М.: Энерго-атомиздат. 1994. 576 с.

Гугиев А.А. Сетевые атаки на компьютерные системы, ориентированные на получение несанкционированного доступа. / А.А/ Гугиев, Н.М. Радько. // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2010. Вып. 2, С. 293-294.

Горохов Д.Е. Априорная оценка величины риска информационной безопасности на основе моделирования процесса реализации информационных угроз./Д.Е. Горохов // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2009. Вып. 4, С. 593-598.

Доронин А.М. Уголовная ответственность за неправомерный доступ к компьютерной информации: дис…. канд. юрид. наук: 12.00.08. / Доронин Андрей Михайлович. - Москва, 2003.

Давыдовский А.И. Защита информации в вычислительных сетях / А.И. Давыдовский, П.В. Дорошкевич. // Зарубежная радиоэлектроника. 1989. №12. С. 60-70.

Егорышев А.С. Расследование и предупреждение неправомерного доступа к компьютерной информации: дис…. канд. юрид. наук: 12.00.09. / Егорышев Александр Сергеевич. - Самара, 2004.

Евдокимов К.Н. Уголовно-правовые и криминологические аспекты противодействия неправомерному доступу к компьютерной информации: По материалам Восточно-Сибирского региона: дис…. канд. юрид. наук: 12.00.08. / Евдокимов Константин Николаевич. - Иркутск, 2006.

Иванова И.Г. Выявление и расследование неправомерного доступа к компьютерной информации: дис…. канд. юрид. наук: 12.00.09. / Иванова Инна Геннадьевна. - Барнаул, 2007.

Информационный портал по безопасности. - Режим доступа: http://www.securitylab.ru

Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. / В.Е. Козлов, М: Горячая линия-Телеком, 2002. - 336 с.

Кендалл М. Теория распределений/ М. Кендалл, А. Стьюарт. М.: Наука, 1966. - 590 с.

Кокс Д. Статистический анализ последовательностей событий / Д. Кокс, П. Льюис. М.: Издательство «МИР», 1969. - 312 с.

Конституция Российской Федерации. - М: Приор, 2012. - 32 с.  

Крылов В.В. Информационные компьютерные преступления. / В.В. Крылов. М.: 1997. - 300 с.

Крылов В.В. Расследование преступлений в сфере информации. / В.В. Крылов. М.: 1998. 264 с.

Компьютерная преступность и борьба с ней. - Режим доступа: http://www.cyberpol.ru.

Кащенко А.Г. Векторная оценка и минимизация рисков информационной безопасности./ А.Г. Кащенко // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2008. Вып. 1, С. 101-104.

Кулаков В.Г. Риск-анализ информационных систем./В.Г. Кулаков, Д.О. Карпеев, А.Г. Остапенко // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2008. Вып. 1, С. 7-30.

Лебедева М. Ответственность за компьютерные преступления. / М. Лебедева, Ю. Ляпунов, В. Максимов. М: Новый Юрист, 1997. - 216 с.

Леннон Э. Компьютерные атаки: что это такое и как с этим бороться. / Э. Леннон. BYTE/Россия. №2, 2000. С. 51-54. Бюллетень лаборатории информационных технологий NIST, май 1999 г.

Левин М. Хакинг и фрикинг: методы, атаки, секреты, взлом и защита. / М. Левин. М.: Оверлей. 2000, 416 с.

Ланкин О.В. Метод оценки эффективности функционирования систем интеллектуальной защиты информации от несанкционированного доступа./ О.В. Ланкин // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2011. Вып. 2, С. 267-270.

Малышенко Д.Г. Уголовная ответственность за неправомерный доступ к компьютерной информации: дис…. канд. юрид. наук: 12.00.08. / Малышенко Дмитрий Геннадьевич. - Москва, 2002.

Медведовский И.Д. Атаки из Интернет. / И.Д. Медведовский, П.В. Семьянов. Москва, 2002. - 192 с.

Минаев В.А. Компьютерные преступления и иноформационная безопасность. / В.А. Минаев, В.Д. Курушин. М: Новый Юрист, 1998. - 256 с.

Материалы «Базы данных случаев веб-хакинга» http://projects.webappsec.org

Материалы свободной энциклопедии. - Режим доступа: http://ru.wikipedia.org

Материалы ФБР. - Режим доступа: http://www.fbi.gov

         Материалы сайта МВД России. - Режим доступа: http://www.mvd.ru/

53 Малошевский С.Г. Теория вероятностей: Учеб. пособие. Часть 1. Вероятностное пространство. Дискретные случайные величины / С.Г. Малошевский - СПб: Петербургский гос. ун-т путей сообщения, 1999. - 92 с.

54 Мещеряков В.А. Преступления в сфере компьютерной информации: правовой и криминалистический аспект. / В.А. Мещеряков. Воронеж: ВГУ, 2001.

Меньших В.В. Методы выбора альтернатив в процессе принятия управленческих решений при раскрытии компьютерных преступлений./В.В. Меньших, Е.А. Пастушкова // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2011. Вып. 1, С. 85-90.

56             О пожарной безопасности. ФЗ №69 от 21.12.1994 г.

57 Остапенко А.Г. Риск-анализ компьютерных преступлений на основе статистических данных./ А.Г. Остапенко, Е.А. Линец, Д.А. Пархоменко // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2009. Вып. 4, С. 549-558.

Остапенко А.Г. Исследование компьютерной преступности на основе статистического риск-анализа. / А.Г. Остапенко, Е.А. Линец, Д.А. Пархоменко // Информация и безопасность: Регион. науч.-техн. журнал. - Воронеж. 2010. - Том. 13. - Часть. 2. - С. 185-194.

Остапенко Г.А. Риски распределенных систем: Методики и алгоритмы оценки и управления/ Г.А. Остапенко, Д.О. Карпеев, Д.Г. Плотников, Р.В. Батищев, И.В. Гончаров, П.А. Маслихов, Е.А. Мешкова, Н.М. Морозова, С.В. Рязанов, Е.В. Субботина, В.А. Транин. // Информация и безопасность: Регион. науч.-техн. журнал. - Воронеж. 2010. - Том. 13. - Часть. 4. - С. 485 - 530.

Остапенко А.Г. Шанс / Риск: системный анализ и регулирование / А.Г. Остапенко: учеб. Пособие. Воронеж: ВГТУ - 97 стр.

Остапенко Г.А. Способы регулирования рисков распределенных систем/ Г.А. Остапенко, П.А. Маслихов, Е.В. Субботина // Информация и безопасность: Регион. науч.-техн. журнал. - Воронеж. 2010. - Том. 13. - Часть. 3. - С. 435 - 438.

Остапенко Г.А. Информационные операции и атаки в социотехнических системах: организационно-правовые аспекты противодействия / Г.А. Остапенко Г, Е.А. Мешкова; Под редакцией Ю.Н. Лаврухина. М: Горячая линия - Телеком, 2007. - 295 с.

Остапенко Г.А. Методическое и алгоритмическое обеспечение расчета параметров рисков для компонентов распределенных систем/ Г.А. Остапенко, Д.Г. Плотников, Е.А. Мешкова // Информация и безопасность: Регион. науч.-техн. журнал. - Воронеж. 2010. - Том. 13. - Часть. 3. - С. 335 - 350.

Остапенко Г.А. Алгоритмическое обеспечение риск-анализа систем в диапазоне ущербов/ Г.А. Остапенко, В.А. Транин // Информация и безопасность: Регион. науч.-техн. журнал. - Воронеж. 2010. - Том. 13. - Часть. 3. - С. 447 - 450.

Остапенко О.А. Методология оценки риска и защищенности систем/ О.А. Остапенко // Информация и безопасность: Регион. науч.-техн. журнал. - Воронеж. 2005. - Вып. 2. - С. 28 - 32.

Остапенко О.А. Риски систем: оценка и управление. / О.А. Остапенко, Д.О. Карпеев, В.Н. Асеев, Д.Е. Морев, Д.Е. Щербаков. Воронеж: МИКТ, 2007. - 261 с.

Остапенко А.Г. Функция возможности в оценке рисков, шансов и эффективности систем. / А.Г. Остапенко // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2010. Вып. 1., С. 17-20.

Остапенко Г.А. Программная реализация алгоритмов риск-анализа распределенных систем./ Г.А. Остапенко, С.С. Куликов, Д.Г. Плотников, Ю.С. Науменко. // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2011. Вып. 1., С. 53-60.

Обухова А.А. Оценка рисков и эффективности защиты в управлении информационной безопасностью с учетом взаимозависимости показателей./А.А. Обухова, И.В. Гончаров // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2009. Вып. 4, С. 577-584.

Остапенко А.Г. Аналитическое моделирование процессов реализации удаленных атак при помощи аппарата сетей Петри-Маркова: внедрение ложного объекта на основе недостатков алгоритмов удаленного поиска./ А.Г. Остапенко, Н.М. Радько, И.О. Скобелев // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2008. Вып. 4, С. 569-572.

Поляков В.В. Особенности расследования неправомерного удаленного доступа к компьютерной информации»: дис…. канд. юрид. наук: 12.00.09. / Поляков Виталий Викторович. - Омск, 2009.

Петренко С.А. Управление информационными рисками: Экономически оправданная безопасность. / С.А. Петренко, С.В. Симонов - М.: АйТи - Пресс, 2004. - 381 с.

Пикфорд Дж. Управление рисками / Дж. Пикфорд. М.: ООО «Вершина», 2004. - 352 с.

Попова Е.В. Риск-модель компьютерных ситем, атакуемых из нескольких испточников угроз информационной безопасности./ Е.В. Попова, Т.В. Красова // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2008. Вып. 1, С. 97-100.

Панфилов А.П. Марковская модель динамики реализации сетевой атаки типа «удаленный доступ» в операционную среду компьютера./ А.П. Панфилов, Е.С. Остроухова, И.М. Седых // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2008. Вып. 1, С. 150-151.

Панфилова Е.И. Компьютерные преступления. / Е.И. Панфилова, А.Н. Попов. Санкт Петербург, 1998. - 46 с.

Родионов А. Компьютерные преступления и способы борьбы с ними. /А. Родионов. // Научно-правовой альманах МВД России. «Профессионал», С. 5-31.

 Россинская Е.Р. Компьютерные преступления: уголовно-правовые и криминалистические аспекты // Воронежские криминалистические чтения. Вып. 3 / Е.Р. Росинская. Под ред. О.Я. Баева. - Воронеж: Издательство Воронежского государственного университета, 2002. - С. 169 - 183.

Радько Н.М. Определение зависимостей между удаленными атаками и их отношения к видам наносимого ущерба./ Н.М. Радько, И.О. Скобелев, Е.В. Попова // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2008. Вып. 2, С. 300-301.

Радько Н.М. Аналитическое моделирование непосредственного доступа в операционную компьютере посредством подбора паролей./ Н.М. Радько, Ю.К. Язов // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2008. Вып. 1, С. 55-62.

Ромендик Р.В. Математические модели противодействия неправомерному доступу к информационным ресурсам компьютерных систем органов государственного и муниципального управления. // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2008. Вып. 1, С. 85-88.

Радько Н.М. Концептуальные основы риск-анализа и оценки эффективности защиты информационно-телекоммуникационных систем от атак несанкционированного доступа./ Н.М. Радько, И.О. Скобелев // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2011. Вып. 2, С. 239-244.

Радько Н.М. Расчет рисков ИТКС с учетом использования мер и средств противодействия угрозам удаленного и непосредственного доступа к ее элементам./Н.М. Радько, И.О. Скобелев, Д.В. Паниткин // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2008. Вып. 2, С. 257-260.

Стерлинг Б. Охота на Хакеров. Закон и беспорядок на электронном пограничье. / Б. Стерглинг. М: Вильямс, 2002. - 290c.

Скембрей Д. Секреты хакеров. Безопасность Microsoft Windows Server 2003. / Д. Скембрей. М: Вильямс, 2004. - 512 с.

Скрыль С.В. Аналитическое выражение для вероятности обнаружения удаленных атак в распределенных вычислительных сетях./ С.В. Скрыль, В.Н. Финько, В.В. Киселев // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2008. Вып. 2, С. 261-263.

Тишков С.А. Оценка эффективности управления информационными рисками./С.А. Тишков // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2008. Вып. 1, С. 146-147.

Тишков С.А. Исследование риска и защищенности для геометрического дискретного распределения вероятностей ущерба./ С.А. Тишков // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2008. Вып. 1, С. 154-155.

Тишков С.А. Проверка статистической гипотезы по значениям риска./ С.А. Тишков, Е.В. Попова // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2008. Вып. 3, С. 463-464.

Томович Р. Общая теория чувствительности./ Р. Томович., М. Вукобратович. M: Советское радио. 1972.-240 с.

Уголовный кодекс РФ. Глава 28. Преступления в сфере компьютерной информации.

Фурсов С.В. Обобщенная методика оценки рисков автоматизированных систем на основе непрерывных распределений плотности вероятности отказов./ С.В. Фурсов, Е.Ю. Дмитриева // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2008. Вып. 3, С. 470.

Фурсов С.В. Описание динамики рисков информационно-телекоммуникационных систем, подвергающихся троянским атакам./С.В. Фурсов, Е.В. Рудаков // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2009. Вып. 4, С. 537-548.

95 Хастингс Н. Справочник по статистическим распределениям/ Н. Хастингс, Дж. Пикок. Пер. с англ. А.К. Звонкина. - М.: Статистика, 1980. - 95 с.

96 Центр жалоб по компьютерным преступлениям - IC3. - Режим доступа: http://www.ic3.gov

Числин В.П. Уголовно-правовые меры защиты информации от неправомерного доступа: дис…. канд. юрид. наук: 12.00.08. / Числин Виталий Петрович. - Москва, 2004.

Шарков А.Е. Неправомерный доступ к компьютерной информации: преступность деяния и проблемы квалификации: дис…. канд. юрид. наук: 12.00.08. / Шарков Александр Евгеньевич. - Ставрополь, 2004.

Шишкин В.М. Статистические и нелинейные модели для идентификации и оценки рисков и управления критичностью./ В.М. Шишкин, А.Г. Кащенко // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2008. Вып. 4, С. 503-514.

Шимон Н.С. Математическая модель угроз безопасности защищенных информационных систем./ Н.С. Шимон, М.Ю. Киреев, Е.С. Агеев // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2008. Вып. 4, С. 561-564.

Ястребов Д.А. Неправомерный доступ к компьютерной информации: уголовно-правовые и криминологические аспекты: дис…. канд. юрид. наук: 12.00.08. / Ястребов Дмитрий Андреевич. - Москва, 2005.  

Язов Ю.К. Марковские модели процессов реализации сетевых атак типа «отказ в обслуживании»./ Ю.К. Язов, А.А. Бурушкин, А.П. Панфилов // Информация и безопасность: Регион. Науч.-тех. журнал. - Воронеж. 2008. Вып. 1, С. 79-84.

Zone-h. Центр уведомлений о компьютерных преступлениях. - Режим доступа: http://www.zone-h.org