На правах рукописи

Фролов Геннадий Викторович

МЕТОДИКА РАЗРАБОТКИ ЗАЩИЩЕННЫХ ИНФОРМАЦИОННЫХ

ТЕХНОЛОГИЙ НА ОСНОВЕ СЕРВИСОВ БЕЗОПАСНОСТИ

Специальность 05.13.19 - «Методы и системы защиты информации,

информационная безопасность»

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Москва-2009 Диссертационная работа выполнена в ФГУП «Всероссийский научноисследовательский институт проблем вычислительной техники и информатизации».

Научный руководитель доктор технических наук Конявский Валерий Аркадьевич

Официальные оппоненты доктор технических наук, профессор Шубинский Игорь Борисович кандидат технических наук Скиба Владимир Юрьевич

Ведущая организация Московское высшее техническое училище им. Н.Э. Баумана

Защита диссертации состоится « 9 » декабря 2009 г. в 14 час. 00 мин. на заседании диссертационного совета Д 219.007.02 во ФГУП «Всероссийском научно-исследовательском институте проблем вычислительной техники и информатизации» (ВНИИПВТИ) по адресу: 115114, г. Москва, 2-ой Кожевнический пер., д.8, ауд. 213.

С диссертацией можно ознакомиться в библиотеке ВНИИПВТИ (115114, г. Москва, 2-ой Кожевнический пер., д.8).

Автореферат разослан « 9 » ноября 2009 г.

Ученый секретарь диссертационного совета Д 219.007. кандидат экономических наук П.П. Гвритишвили

Общая характеристика работы

Актуальность работы. В настоящее время информационные технологии (ИТ) стали неотъемлемой частью повседневной жизни. На их основе удовлетворяются базовые потребности государства, бизнеса и гражданского общества по формированию, распространению, накоплению и потреблению информации.

Эффективность прменения ИТ зависит от того, насколько они соответствуют потребностям текущего времени. Быстро растущие сферы социально-экономической деятельности обуславливают появление на рынке новых продуктов ИТ, а также необходимость в постоянной модификации и адаптации эксплуатирующихся информационных систем.

Для реализации новых общественных потребностей созданы высокоэффективные средства создания и развития ИТ. В частности, все большее развитие получает практика использования типовых решений, которые облегчают процесс разработки ИТ и снижают временные затраты.

В динамично развивающихся внешних условиях существенными становятся корпоративные знания и опыт, накопленный разработчиками информационных систем. Одной из основ систематизации является выделение типовых ситуаций и проектных решений, оптимальных (или рациональных) в этих ситуациях. Так как число возможных ситуаций огромно, то «запоминание» всех ситуаций невозможно, да и нецелесообразно. Обычно выделяется множество «похожих» ситуаций и используются одинаковые решения для ситуаций из одного и того же множества. Такие решения получили название «типовые».

Одновременно с развитием информационных технологий проводятся работы по исследованию теории и практики безопасности ИТ. Крупный вклад в развитие этого направления работ внесли академики Н.А. Кузнецов, В.А. Садовничий, К.В. Фролов, а также такие известные ученые, как В.А.

Герасименко, А.А. Грушо, А.А. Стрельцов, А.Ю. Щербаков, В.А.

Конявский, И.Б. Шубинский, В.Ю. Скиба и другие. Усилиями этих ученых была сформирована база для дальнейшего обобщения теоретических и практических результатов и развития методологии проектирования систем информационной безопасности.

В то же время практические подходы к разработке подсистем безопасности принципиально не изменились за последние десятилетия. Не изменило ситуации и введение с 1 января 2004 г российского варианта «Общих критериев» ГОСТ Р ИСО/МЭК 15408-2002 г. Анализ практических подходов к обеспечению безопасности ИТ в соответствии с введенным стандартом показывает, что построение СЗИ является сложным и трудоемким процессом и не позволяет оперативно реагировать на изменение условий функционирования ИТ и/или ее модернизацию. Отсутствие конкретных требований и критериев для различных типов систем информационных технологий вынуждает разработчиков проектировать системы безопасности «с нуля». При этом в отсутствие развитого методического обеспечения, каждый разработчик реализует свой, неформализованный метод решения поставленной задачи. Как результат, в большинстве случаев системы безопасности создаются под «ключ», исключая их дальнейшее развитие без участия разработчиков.

Устаревшие механизмы проектирования систем безопасности стали сдерживающим фактором развития ИТ. Как результат, в ряде случаев собственник автоматизированной системы (АС) вынужден отказываться от использования систем безопасности, в тех же случаях, когда применение СЗИ является обязательным, сроки создания АС увеличиваются.

Возникает противоречие между потребностью общества в быстром развитии ИТ и практикой проектирования подсистем безопасности «с нуля», связанной с большими временными затратами. Данное противоречие может быть снято при создании методики разработки подсистем безопасности ИТ на основе типовых решений. Типовые решения в области защиты информации могут основываться на технологии «перекрытия угроз». Каждой типовой угрозе из множества угроз может быть поставлено в соответствие типовое множество мер противодействия, которые в этом случае можно назвать типовым множеством сервисов безопасности.

Таким образом, создание методики разработки защищенных ИТ с применением типовых решений на основе сервисов безопасности является актуальной задачей.

Целью работы является создание методики разработки защищенных ИТ на базе сервисов безопасности, использующих типовые решения.

Объектом исследования являются различные информационные технологии.

Предметом исследования – модели и методики разработки защищенных ИТ.

Решаемые задачи. Для достижения указанной цели необходимо решить следующие задачи:

выделить объекты защиты в современных ИТ и описать для них типовые множества угроз безопасности;

для каждой угрозы из типового множества угроз выделить и обеспечивающие полное перекрытие путей осуществления данной угрозы безопасности;

для каждого сервиса безопасности из типового множества сервисов безопасности выделить и описать типовые множества взаимоувязанных требований безопасности;

разработать методику создания базы типовых решений по практической реализации требований безопасности на основе сервисов безопасности;

создать методику разработки защищенных ИТ с применением типовых решений на основе сервисов безопасности.

Методология исследования. Теоретической и методологической основой диссертационной работы послужили наиболее актуальные исследования по основным аспектам защиты информации.

При решении конкретных задач диссертационного исследования использовались труды отечественных и зарубежных ученых в области технических аспектов информационной безопасности, методов государственного регулирования в отрасли связи и информатизации, математического программирования, теории вероятностей, математической статистики, системного анализа.

Источниковедческую базу исследования составили материалы научной периодики, конференций и семинаров, а также данные статистических сборников и проектные разработки ведущих научных школ в области информационной безопасности.

Научная новизна проведенных исследований и полученных в работе результатов заключается в следующем:

Предложен и обоснован новый (объектный) подход к идентификации угроз безопасности ИТ на основе анализа типовых совокупностей угроз, достаточных для идентификации угроз безопасности в среде функционирования ИТ различных масштабов, архитектуры и области применения.

Обоснована необходимость применения типизации прикладных решений подсистем безопасности ИТ на основе перечня сервисов безопасности. Показано, что сервис безопасности может рассматриваться как мера при сравнении типовых прикладных Сформированы типовые множества сервисов безопасности, перекрывающие пути осуществления угроз безопасности к защищаемым объектам.

Сформированы типовые множества требований безопасности, взаимоувязанные с типовыми сервисами безопасности и типовыми Создана новая методика разработки защищенных ИТ с применением типовых решений на основе сервисов безопасности.

Практическая ценность полученных результатов заключается в следующем:

Созданная на основе технологии «перекрытия угроз» методика разработки защищенных ИТ позволяет учесть выявленные угрозы в среде функционирования информационной технологии и, следовательно, обеспечить достаточный уровень ее защищенности.

Разработанная методика создания базы типовых решений по практической реализации требований безопасности на основе сервисов безопасности позволяет создать базу известных и вновь разрабатываемых решений, которые могут рассматриваться как типовые, что упростит и ускорит процесс их поиска и применения при разработке защищенных ИТ.

Созданная методика разработки защищенных ИТ с применением типовых решений на основе сервисов безопасности позволяет упростить процесс разработки подсистем безопасности ИТ и снизить временные затраты.

Создана автоматизированная система поддержки принятия решений, реализующая методику разработки защищенных ИТ с применением типовых решений на основе сервисов безопасности.

На защиту выносятся следующие основные результаты работы:

Типовые множества угроз безопасности для объектов защиты в Типовые сервисы безопасности для каждой угрозы из типового множества угроз, обеспечивающие полное перекрытие путей осуществления угрозы безопасности.

Типовые множества взаимоувязанных требований безопасности для каждого сервиса безопасности типового множества сервисов Методика создания базы типовых решений по практической реализации требований безопасности на основе сервисов Методика разработки защищенных ИТ с применением типовых решений на основе сервисов безопасности.

Реализация и внедрение результатов работы. Теоретические и использованы при чтении учебных курсов в Белорусском национальном техническом университете.

исследования научные выводы и положения докладывались на X – XIII Международных научно-практических конференциях «Комплексная защита сертификации защищенных информационных технологий, проводимом в объединенном институте проблем информатики НАН РБ.

Публикации. Основные результаты диссертации опубликованы в печатных работах, общим авторским объёмом 93 п.л. Из них 2 монографии Структура и объем работы. Диссертация состоит из введения, трех глав и заключения, списка литературы из 117 позиций. Объем - 126 страниц, 4 таблицы, 15 рисунков.

СОДЕРЖАНИЕ РАБОТЫ

В первой главе анализируется существующая практика разработки защищенных ИТ и исследуются пути достижения цели данной работы.

В настоящее время можно выделить два основных практических подхода к обеспечению безопасности ИТ. В основе первого лежит нормативно-методологическая база образованная Руководящими документами Гостехкомиссии России, второго - ГОСТ Р ИСО/МЭК 15408г., являющийся Российским вариантом «Общих критериев» (ОК).

прикладных решений в области защиты информации, в основе которых несомненными преимуществами, такими как простота практического применения, высокая скорость разработки, применение опробованных проектных и прикладных решений. Однако имеется и существенный конфиденциальности информации, оставляя без должного внимания вопросы обеспечения ее целостности и доступности. Поэтому его применение для разработки систем безопасности ИТ не соответствует современным требованиям.

С принятием в 2004 г. ГОСТ Р ИСО/МЭК 15408-2002 г появился новый стандартизированный подход к разработке защищенных ИТ. Однако он до сих пор не получил широкого практического применения. Отсутствие в ОК конкретных типовых требований и критериев для различных типов систем информационных технологий вынуждает разработчиков проектировать системы безопасности «с нуля». При этом в отсутствии развитого неформализованный метод решения поставленной задачи. Как результат, в большинстве сопровождение и модернизация систем безопасности без участия разработчиков невозможна. При этом процесс разработки является сложным и трудоемким. Описанный в ОК подход позволяет получать качественные оценки уровня защищенности ИТ, которые уступают в объективности количественным оценкам1.

В работе предлагается основывать типовые решения в области защиты информации на технологии «перекрытия угроз».

В технологии «перекрытия угроз» рассматривается взаимодействие "области угроз", "защищаемой области" (ресурсов АС) и "системы защиты" (механизмов безопасности ИТ). Использование данной технологии при разработке системы защиты ИТ требует создания соответствующих моделей.

На практике построение таких моделей затруднено, т. к. эти понятия универсального подхода к определению угроз и объектов защиты Уткин Л.В., Шубинский И.Б. Нетрадиционные методы оценки надежности информационных систем //Под ред. И. Б. Шубинского – СПб.: Любавич, 2000, 173 с.

неформализованный метод их определения для каждой конкретной ИТ. При этом отсутствуют гарантии качества полученного результата и возможности его использования в других разработках.

В связи с этим первым этапом решения поставленной задачи было выделение объектов защиты в современных ИТ, классификация и описание множества угроз безопасности ИТ.

информации в качестве объектов защиты выступают технические и программные средства обработки информации, каналы связи и данные. В работах, посвященных вопросам защиты информационных технологий электронного документооборота обосновано выделение нового объекта защиты в системах электронного документооборота – информационной операций обработки данных2. Так как в литературе по защите информации термин «информационная технология» используется в более широком смысле, представляется целесообразным для обозначения нового объекта защиты использовать термин «технологический процесс».

Таким образом, в данной работе в качестве объектов защиты ИТ выделены:

Конявский В. А., Гадасин В. А. Основы понимания феномена электронного обмена информацией. Мн., 2004. Конявский В. А. Методы и аппаратные средства защиты информационных технологий электронного документооборота: автореферат на соискание ученой степени доктора технических наук. Москва, 2005.

В основу определения угроз безопасности ИТ положена идея взаимоувязывания угроз с объектами защиты ИТ, что предполагает наличие пяти классов угроз, соответствующих выделенным объектам защиты ИТ.

Описание угроз безопасности должно обеспечить возможность идентификации угроз безопасности в среде функционирования ИТ различных масштабов, архитектуры и области применения, т.е. описанные угрозы должны быть типовыми. Для этого предлагается описывать угрозы на уровне детализации, соответствующем пяти выделенным структурным компонентам ИТ.

Помимо построения моделей угроз и защищаемой области разработчик защищенной ИТ описывает множество мер противодействия, которые должны перекрыть пути осуществления угроз безопасности к защищаемым объектам. Как правило, угроза может быть реализована несколькими способами, поэтому следует говорить о множестве путей осуществления, связанных с угрозой безопасности ИТ. Отсюда следует, что каждой угрозе противодействия. Так как в нашем случае описываются типовые угрозы ИТ, то им можно сопоставить типовые меры противодействия.

Вторая глава посвящена созданию методики разработки защищенных ИТ с применением типовых решений на основе сервисов безопасности.

основанных на использовании типовых решений, является базовое определение типового элемента.

Для решения данной задачи систему защиты ИТ предлагается трактовать как совокупность сервисов (услуг) безопасности, предоставляемых прикладной подсистеме ИТ. В этом случае сервис рассматривается, как способность системы безопасности ИТ реализовать определенную типовую меру противодействия угрозе. Следовательно, для противодействия угрозе должно быть реализовано множество типовых противодействия.

Таким образом, система защиты ИТ представляет собой совокупность функционирования ИТ, в самой ИТ (путем использования защищенных средств ИТ) или средствами защиты информации.

Множество угроз Рис. 1. Модель системы защиты, содержащей три подмножества сервисов безопасности Модель системы обеспечения безопасности можно представить в виде:

T – множество угроз, T =(Ti);

О – множество объектов защищаемой системы О =(Оj);

S – множество сервисов безопасности S =(Sk).

Множество O разбито на взаимно непересекающиеся подмножества О1 - технические средства обработки информации;

О2 - программные средства обработки информации;

О3 - каналы связи;

О5 - технологический процесс.

подмножества:

T1 – конечное дискретное множество угроз техническим средствам обработки информации;

T2 – конечное дискретное множество угроз программным средствам обработки информации;

T3 – конечное дискретное множество угроз каналам связи;

T4 – конечное дискретное множество угроз данным;

T5 – конечное дискретное множество угроз технологическому процессу.

Каждую угрозу Tij из множества угроз перекрывает соответствующее множество сервисов безопасности:

Предлагаемый подход обеспечивает полное перекрытие угроз, т. к.

каждому классу объектов соответствует весь перечень возможных угроз, как для всего класса объектов, так и для каждого объекта в классе.

Так как каждой угрозе поставлен в соответствие перечень сервисов безопасности, обеспечивающих полное перекрытие конкретной угрозы, то все множество сервисов безопасности обеспечивает полное перекрытие множества всех угроз.

Каждому типовому сервису безопасности сопоставлены множества требований безопасности. Эти множества разработаны на основе каталога требований безопасности, содержащегося в ОК.

Из подхода к моделированию системы безопасности ИТ как совокупности типовых сервисов безопасности следует, что сервисный подход целесообразно применить и к описанию прикладных решений в области защиты информации. Средство ИТ или средство защиты, реализующее типовой сервис безопасности в данном случае можно рассматривать как типовое. Для оценки способности средств ИТ или средств защиты информации реализовывать сервисы безопасности, каждому сервису безопасности сопоставлены множества требований безопасности, разработанные на основании каталога функциональных требований безопасности ОК.

Во втором разделе данной главы рассматривается метод формирования требований к системе безопасности ИТ как совокупности типовых сервисов, обеспечивающих необходимый уровень защищенности ИТ.

Процесс разработки защищенных ИТ с применением типовых решений предлагается проводить в соответствии с методикой, разработанной на основе методологии ОК. Методика предполагает выполнение трех основных этапов: разработка профиля защиты (ПЗ) ИТ, разработка задания по безопасности (ЗБ) ИТ и оценка защищенности ИТ.

Основной идеей предлагаемой методики является выделение в качестве типового элемента проектного и прикладного решения в области защиты информации сервиса безопасности. В связи с этим цели разработки профиля защиты ИТ, задания по безопасности ИТ и оценки защищенности ИТ можно сформулировать следующим образом. Цель разработки ПЗ ИТ – определение множества сервисов безопасности, которые должны быть реализованы в ИТ и среде ее функционирования, для того чтобы была обеспечена защищенность ИТ. Цель разработки задания по безопасности ИТ – выбор средств ИТ и средств защиты информации, которые в совокупности реализуют сервисы безопасности ИТ, заданные в ПЗ. Цель проведения оценки защищенности ИТ – подтверждение того, что в ИТ фактически реализованы все необходимые сервисы безопасности и их реализация соответствует заданному оценочному уровню доверия. В процессе разработки используются базы данных угроз, сервисов безопасности, требований безопасности, средств ИТ и средств защиты информации, оцененных по сервисам безопасности.

Алгоритм разработки ПЗ ИТ согласно предлагаемой методике будет следующим. На первом этапе разработчик определяет объекты ИТ, соответствующие каждому из пяти определенных ранее обобщенных объектов ИТ, подлежащих защите. В случае если идентифицируется хотя бы один объект соответствующего типа, необходимо описать для него угрозы безопасности на основании перечня типовых угроз для объектов данного класса. Далее на основании множества типовых сервисов безопасности описываются сервисы безопасности, которые должны быть реализованы, чтобы обеспечить защищенность ИТ. Сервисы безопасности могут быть реализованы как самой ИТ, так и средой ее функционирования. Для разграничения «ответственности» за их реализацию разработчик формулирует предположения безопасности, каждое из которых представляет собой утверждение, что определенный сервис безопасности реализуется средой функционирования ИТ. По окончании этого этапа на основании множества предположений безопасности формируется раздел ПЗ «Цели безопасности для среды ИТ». Сервисы безопасности, не попавшие в этот раздел формируют раздел ПЗ «Цели безопасности для ИТ».

безопасности. В рамках предлагаемой методики при разработке ПЗ необходимо разработать требования по реализации сервисов безопасности в ИТ. Сервисы безопасности должны быть сформированы в соответствии с дополнительными условиями, определяемыми правилами политики безопасности. Правилами политики безопасности задаются реализуемые криптографические алгоритмы, модели управления доступом, роли безопасности пользователей и т.д.

безопасности должен соответствовать и требованиям доверия, представленным в виде оценочного уровня доверия (ОУД).

В третьем разделе данной главы разрабатывается метод практической реализации системы безопасности ИТ с использованием базы типовых решений на основе сервисов безопасности.

При разработке задания по безопасности ИТ разработчик использует базу данных средств ИТ и средств защиты информации, оцененных по сервисам безопасности. В базе данных содержится информация по двум категориям: реализуемые объектом оценки сервисы безопасности и параметры сервиса безопасности, обеспечиваемые объектом. В процессе разработки ЗБ ИТ разработчик должен выбрать средства ИТ и средства защиты, которые реализует определенные в ПЗ сервисы безопасности и способны обеспечить заданные параметры сервисов безопасности в соответствии с заданным уровнем доверия.

В процессе разработки ЗБ может возникнуть ситуация, когда невозможно выбрать средства ИТ или средства защиты информации, реализующие все необходимые сервисы безопасности, либо средства ИТ или средства защиты информации не обеспечивают необходимый уровень доверия, либо выбранные средства реализуют избыточные сервисы безопасности. Первая и вторая ситуации требуют разработки средств защиты информации, реализующих недостающие сервисы безопасности или обеспечивающих необходимый уровень доверия, либо переноса недостающих сервисов безопасности в среду функционирования ИТ. Вторая с точки зрения защищенности ИТ не критична, однако по каким-либо другим соображениям разработчик может «облегчить» требования к среде функционирования ИТ.

В четвертом разделе данной главы предлагается метод оценки защищенности ИТ на основе типовых сервисов безопасности.

В рамках рассматриваемой методики используется метод качественной оценки защищенности путем сравнения заданного в ПЗ ИТ множества сервисов безопасности с перечнем фактически реализованных сервисов безопасности, указанных в ЗБ ИТ. Помимо этого оценщик проводит анализ того, обеспечивают ли реализованные сервисы безопасности параметры, определенные правилами политики безопасности организации. Оценка наиболее актуальна, в случае использования средств ИТ или средств защиты информации не включенных в базу данных средств, оцененных по сервисам безопасности.

Оценка защищенности ИТ не ограничивается определением множества фактически реализованных системой безопасности ИТ сервисов безопасности. Оценщик кроме этого должен подтвердить правильность выполнения правил политики безопасности организации и обеспечения заданного оценочного уровня доверия сервисами безопасности.

автоматизированной системы поддержки принятия решений. (АСППР) реализующей методику разработки защищенных ИТ с применением типовых решений на основе сервисов безопасности.

В процессе разработки защищенных ИТ разработчик вынужден манипулировать значительными объемами информации. Как показывает практика, автоматизация данного процесса позволит более оперативно генерировать различные варианты защиты, сравнивать их между собой с точки зрения эффективности и в результате выбирать оптимальный вариант построения или модификации защиты информационной системы.

АСППР включает в себя три модуля: модуль разработки профиля защиты, модуль разработки задания по безопасности и модуль оценки защищенности ИТ.

Помимо этого АСППР включает справочные базы данных: типовых угроз безопасности ИТ, типовых правил политики безопасности, типовых предположений безопасности, типовых сервисов безопасности, множеств безопасности.

БД типовых угроз БД типовых преположений безопасности БД типовых правил политики БД типовых сервисов БД типовых множеств Рис. 2. Модульная структура автоматизированной системы поддержки принятия решений Модуль разработки профиля защиты ИТ позволяет пользователю АСППР выполнить следующие задачи:

идентифицировать объекты защиты рассматриваемой ИТ;

идентифицированных объектов защиты ИТ;

для каждой угрозы описать типовые множества сервисов осуществления данной угрозы безопасности;

функционирования рассматриваемой ИТ;

реализованы в среде функционирования ИТ;

описать множества требований безопасности для каждого сервиса безопасности;

описать требуемые характеристики сервисов безопасности путем формулировки правил политики безопасности организации;

сформировать профиль защиты ИТ.

Модуль разработки задания по безопасности позволяет:

для каждого множества требований безопасности выбрать типовые решения по их практической реализации;

сформировать задание по безопасности ИТ.

Модуль оценки защищенности ИТ позволяет:

сопоставить множество сервисов безопасности, определенных в профиле защиты ИТ с множеством фактически реализованных сервисов безопасности задания по безопасности;

определить соответствие реализации сервисов безопасности правилам политики безопасности и оценочному уровню доверия;

сформировать заключение оценки.

Автоматизировать данный процесс позволяет следующая структура справочной базы данных.

Объекты защиты Рис. 3. Структура базы данных автоматизированной системы поддержки принятия решений Таблицы базы данных взаимосвязаны друг с другом. Эти связи характеризуются либо соотношением «один к одному» (обозначено на схеме '1 – 1'), когда записи в одной таблице соответствует единственная запись в другой таблице, либо соотношением «один ко многим» (обозначено на схеме '1 – '), когда записи в одной таблице соответствует несколько записей в другой таблице.

Автоматизированная система реализована как Windows - приложение с графическим пользовательским интерфейсом.

В заключении обобщаются результаты проделанной работы, а также определяются направления дальнейших исследований.

Основные результаты исследования:

Сформулированы типовые множества угроз безопасности для объектов защиты в современных ИТ.

Сформулированы типовые сервисы безопасности для каждой угрозы из типового множества угроз, обеспечивающие полное перекрытие путей осуществления угрозы безопасности.

Разработаны типовые множества взаимоувязанных требований безопасности для каждого сервиса безопасности из типового множества сервисов безопасности.

Разработана методика создания базы типовых решений по практической реализации требований безопасности на основе сервисов безопасности.

Разработана методика создания защищенных ИТ с применением типовых решений на основе сервисов безопасности.

Основные положения диссертации опубликованы в работах:

Разделы коллективных монографий:

Леонов А. П., Леонов К. А., Фролов Г. В. Безопасность автоматизированных банковских и офисных систем. Мн., 1996. – Компьютерная преступность и информационная безопасность. – автоматизированных системах / Конявский В. А., Фролов Г. В. – Статьи в журналах, рекомендованных ВАК для публикации основных результатов работы:

Фролов Г.В. Типизация проектных и прикладных решений в информационных технологий // Безопасность информационных технологий. М., 2009. № 3. С. 148-154.

Материалы конференций:

Фролов Г.В., Насекайло О.А. О разработке профиля защиты автоматизированных информационных систем // Комплексная защита информации. Материалы Х Международной конференции 4-7 апреля 2006 года, Суздаль (Россия). Мн.: Амалфея, 2006. – Фролов Г.В., Насекайло О.А. Классификация и идентификация информации. Материалы ХI Международной конференции 20- марта 2007 года, Новополоцк (Республика Беларусь). Мн.:

Амалфея, 2007. – С.224- Фролов Г.В. О содержании профиля защиты автоматизированной системы обработки данных // Информация и глобализация Международно-практической конференции (Москва, 21 ноября 2007 г.). ВНИИПВТИ, 2007 – С.249- Фролов Г.В., Насекайло О.А. Актуальные вопросы защиты информации при разработке объекта информатизации. Материалы ХII Международной конференции 4-7 апреля 2006 года, Ярославль (Россия). М.: РФК-Имидж Лаб, 2008. – С.184- информационных технологий методом «сервисов безопасности».

Материалы XIV Международной конференции 19-22 мая года, Могилев (Республика Беларусь). Мн.: Амалфея, 2009. – С.234-