Методика выбора системы защиты экономической информации в распределенных системах тема диссертации по экономике, полный текст автореферата
Автореферат- Ученая степень
- кандидата экономических наук
- Автор
- Киков, Виталий Сергеевич
- Место защиты
- Москва
- Год
- 2009
- Шифр ВАК РФ
- 08.00.05
ДиссертацияАвтореферат диссертации по теме "Методика выбора системы защиты экономической информации в распределенных системах"
а правах рукописи
КИКОВ ВИТАЛИЙ СЕРГЕЕВИЧ
МЕТОДИКА ВЫБОРА СИСТЕМЫ ЗАЩИТЫ ЭКОНОМИЧЕСКОЙ ИНФОРМАЦИИ В РАСПРЕДЕЛЕННЫХ СЕТЯХ
Специальности:
08.00.05 - Экономика и управление народным хозяйством (по отраслям и
сферам деятельности в том числе связь и информатизация) и 08.00.13 - Математические и инструментальные методы экономики
АВТОРЕФЕРАТ диссертация на соискание ученой степени кандидата экономических наук
О -I Г Москва 2009
003467258
Диссертационная работа выполнена в отделе разработки и проектирования информационных систем и технологий Всероссийского НИИ проблем вычислительной техники и информатизации
Научный руководитель: кандидат технических наук, доцент
Мецатунян Михаил Владимирович (РГГУ)
Официальные оппоненты: доктор экономических наук, профессор
Дрогобыцкий Иван Николаевич (ФА)
кандидат экономических наук Матвеев Сергей Геннадьевич
Ведущая организация:
Институт проблем управления РАН
Защита диссертации состоится 26 мая 2009 г. в 12.00 часов на заседании диссертационного совета Д219.007.01 во ВНИИПВТИ по адресу: 115114, Москва, 2-й Кожевнический пер., д. 8, конференц-зал (ауд. 213).
С диссертацией можно ознакомиться в библиотеке ВНИИПВТИ по адресу: 115114, Москва, 2-й Кожевнический пер., д. 8.
Автореферат разослан «_апреля 2009 г.
Ученый секретарь диссертационного совета, кандидат экономических наук
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность исследования. Непрерывно развиваемая отраслью связи и информатизации в России информационно-коммуникационная сфера, во всё большей степени становится системообразующим фактором жизни общества. По мере её расширения эта сфера всё сильнее влияет на информационную безопасность как отдельных предприятий и организаций, так и государства в целом.
В современном мире информация уже давно стала стратегическим ресурсом, одним из основных богатств, которым владеют физические и юридические лица. По данным Минэкономразвития России в настоящее время телекоммуникационная сфера по прибыльности значительно опережает нефтегазовую отрасль. Быстрое развитие информатизации в России, проникновение ее во все сферы жизненно важных интересов личности, общества и государства повлекло за собой, помимо несомненных достоинств и преимуществ, появление ряда стратегических проблем дальнейшего его развития. Одной из них стала все более обостряющаяся необходимость защиты информации, которая, как показывает опыт, должна носить исключительно комплексный характер (включая в себя правовые, организационные и программно-технические меры).
Базовой компонентой комплексной защиты является программно-техническая защита, позволяющая перекрывать каналы утечки информации и защитить её от искажения и уничтожения. Объектами защиты являются: ПК; рабочие станции; компьютерные сети; узлы связи; хранилища и носители информации; средства документирования информации; сетевое оборудование; внешние каналы связи; накопители и носители информации.
Основными участниками рынка средств защиты информации являются производители средств защиты, их потребители и само государство. При этом государство является не только организатором инфраструктуры рынка, но также и одним из важных и крупнейших потребителей средств защиты информации.
До недавнего времени цели защиты информации достигались в основном за счет реализации принципа "максимальной секретности", в соответствии с которым доступ ко многим видам информации был полностью закрыт, или чрезмерно ограничен, причем не всегда обоснованно. В то же время не существовало каких-либо правовых положений, в явном виде определяющих права граждан и юридических лиц на защиту информационных и на конфиденциальность личной информации. В настоящее время ситуация существенно изменилась. Предприятия и организации в целях развития бизнеса наоборот заинтересованы в распространении информации о своей деятельности, а доля секретной информации значительно сузилась и существенно видоизменилась. В то же время, в условиях рынка технические и программные средства защиты информации производимые, как правило, негосударственными компаниями,
становятся основными средствами защиты не только государственных интересов, но и коммерческих интересов товаропроизводителей
Государство в этих условиях призвано организовывать и поддерживать инфраструктуру рынка средств защиты информации. При этом важно, чтобы государственное регулирование было основано на рыночных методах, таких как льготное гибкое налогообложение, государственный заказ на конкурентной основе и специализированные способы государственной поддержки, например с помощью создания ИТ-технопарков, где могли бы совершенствовать свои технологии производители средств защиты информации.
Таким образом, организация защиты информации является важной сферой деятельности практически любого юридического лица, любого субъекта рынка, поставляющего на рынок товары и услуги. Каждая сфера деятельности имеет свою специфику в области защиты информации.
Научная проработанность вопросов эффективной организации защиты информации остается явно недостаточной. Более того, складывается такая ситуация, что современная практика создания систем защиты информации опережает процесс ее теоретического осмысления и поэтому не является, как правило, экономически выверенной.
Целесообразность создания той или иной системы защиты информации предприятия зависит от целого ряда факторов, в частности, от стоимости предупреждаемых ею потерь и от способности системы защищать информационные продукты, поставляемые на рынок, от недобросовестной конкуренции.
Особенно актуальными являются вопросы оптимизации систем защиты экономической информации предприятий и организаций, обладающих распределенными локальными сетями с определенным числом выходов во внешние сети. Качество системы защиты такой распределенной экономической информационной системы (РЭИС) определяется несколькими составляющими: качеством сегментации топологии РЭИС; адекватностью выбора базовых составляющих системы защиты РЭИС (исходя из характеристик потенциальных угроз); стойкостью базовых элементов системы защиты (при тестировании известными атакующими алгоритмами); технической и экономической эффективностью; возможностью дальнейшего совершенствования системы.
В современной системе безопасности РЭИС должны быть предусмотрены средства защиты на каждом из возможных путей несанкционированного проникновения в неё. А учитывая то, что для элементов РЭИС характерным является удаленность друг от друга, и от управляющего центра, структура РЭИС должна определяться моделью системы безопасности с полным перекрытием.
В работе автор опирается на основные положения теории и практике по различным направлениям защиты информации и информационной безопасности, изложенные в работах отечественных ученых: Мельникова В.В., Безкоровайного М.М., Львова В.М., В.А. Садовничего, В.П. Шестюка,
В.А. Герасименко, В.Н. Лопатина, J1.M. Ухлинова, Э.В. Попова, A.A. Стрельцова, Е.Н.Тищенко, В.А. Конявского и других ученых. Усилиями этих исследований была сформирована современная научная база для дальнейшего обобщения результатов и развития моделей и методов учета экономических аспектов информационной безопасности.
Крупный вклад в развитие теории и прикладных методов анализа сложных социально-экономических систем внесли многие отечественные ученые, такие как академики. В их числе: А.Г. Аганбегян, В.М. Глушков, СВ. Емельянов, JI.B. Канторович, H.H. Моисеев, Г.С. Поспелов, В.А. Трапезников, Н.П. Федоренко, а также профессора К.А. Багриновский, B.JL Бурков, О.В. Волкович, В.В. Кульба и другие.
Актуальность темы данной работы обусловлена назревшей практической необходимостью дальнейшего совершенствования методов моделирования систем и процессов защиты экономической информации и в частности определяется следующими основными позициями:
- важностью для предприятий и организаций разработки достаточно эффективных и в то же время доступных в финансовом отношении систем защиты экономической информации;
- необходимость выработки системного подхода к построению моделей при большом разнообразии вариантов технических решений и множестве различных конкретных ситуаций;
- недостаточной разработанностью методов формирования наборов технических решений по построению системы защиты РЭИС.
Целью диссертационного исследования является разработка методики проектирования оптимальных по эффективности систем защиты информации распределенных экономических информационных систем.
Для достижения указанной цели в диссертации поставлены и решены следующие задачи:
- проведен анализ использования современных оптимизационных компьютерных технологий для проектирования систем защиты РЭИС;
- исследована модель с полным перекрытием множества отношений объект-угроза, представляющая собой двудольный граф, ребро которого определяет угрозу получения доступа к заданному объекту заданным методом;
- обоснован выбор методологии проектирования систем информационной защиты РЭИС, базирующейся на методах булевого программирования;
- разработана экономико-математическая модель защиты информации и методика сбора исходной информации для проектирования РЭИС;
- проведены экспериментальные исследования работоспособности модели проектирования РЭИС, и возможности выполнить с её помощью практические расчеты.
Объектом исследования являются распределенные экономические информационные системы предприятий и организаций, нуждающихся в защите конфиденциальной информации.
Предметом исследования являются модели и методы проектирования систем информационной защиты РЭИС.
Методология исследования. Теоретической и методологической основой диссертационной работы послужили наиболее актуальные исследования по важнейшим направлениям экономической теории, в том числе по основным аспектам защиты информации, а также инструментальным средствам теории принятия решений.
При решении конкретных задач диссертационного исследования использовались труды отечественных и зарубежных ученых в области экономических аспектов обеспечения информационной безопасности, методов государственного регулирования в отрасли связи и информатизации, математического программирования, теории вероятностей, математической статистики, теории графов и теории игр.
Источниковедческую базу исследования составили материалы научной периодики, конференций и семинаров, а также данные статистических сборников и проектные разработки ведущих научных школ в области информационной безопасности.
Диссертационная работа выполнена на стыке двух специальностей и по своему содержанию соответствует пунктам 15.93 и 15.95 Паспорта специальности 08.00.05 и пункту 2.3 Паспорта специальности 08.00.13.
Наиболее существенные научиые результаты, полученные лично соискателем и содержащие научную новизну.
По специальности 08.00.05
1. Сформулированы требования к методике формирования системы защиты информации распределенных экономических информационных систем, в которой учитываются специфические особенности электронного бизнеса, такие как юридически значимое оформление договоров в электронном виде; взаимодействия с клиентами; система расчетов за товары и услуги; кредитование.
2. Проведено исследование и формализована совокупность объективных внешних и внутренних факторов, влияющих на состояние экономической безопасности предприятия. К числу таких факторов относятся:
- вероятность возникновения и вероятность реализации ситуации потери информации или несанкционированного обращения к ней;
- уязвимость информационной системы или системы контрмер влияющих на вероятность осуществления угрозы;
- возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации или неправомерного ее использования.
3. Выявлен механизм, обеспечивающий минимизацию стоимости системы защиты информации в РЭИС, путем выделения сегментов в общей топологии и в фильтрации пакетов с помощью межсетевых экранов.
По специальности 08.00.13
4. Разработана экономико-математическая модель булевого программирования защиты РЭИС, отличительной особенность которой
является учет наличия логических связей между техническими решениями (альтернативная дизъюнкция, импликация). Использование логических связей позволяет учесть возможность компоновки TP из различных модулей средств защиты информации;
5. Разработаны методические приемы сбора и обработки исходной информации для решения задачи оптимальной защиты распределенной локальной информационной системы, разработаны диалоговые процедуры для работы с моделью, позволяющие проводить моделирование различных наборов технических решений с целью выбора оптимальных вариантов защиты информации.
Практическая ценность работы заключается в том, что основные положения, выводы и рекомендации диссертации ориентируют информационную среду предприятия и организации на необходимость создания эффективных систем информационной безопасности на базе широкого применения экономико-математических методов и инструментальных средств. Использование этих средств позволяет значительно повысить качество защиты экономической информации.
Разработанные модели и методы проектирования эффективных систем информационной защиты РЭИС направлены на решение практической задачи обеспечения информационной безопасности экономических информационных систем. Результаты исследований доведены до конкретных методик, алгоритмов и рекомендаций по использованию разработанных инструментальных средств.
К основным результатам исследования, имеющим практическое значение, относится экономико-математическая модель булевого программирования защиты РЭИС, включающая:
- алгоритмы моделирования различных вариантов системы защиты информации, реализованные в среде инструментальной системы «Decision»;
- методические процедуры сбора и обработки исходной информации для решения задачи оптимальной защиты распределенной экономической информационной системы;
- диалоговые процедуры для работы с моделью, позволяющие проводить моделирование различных наборов технических решений с целью выбора оптимальных вариантов защиты информации.
Проведенные в диссертационной работе исследования и полученные в ней результаты являются усовершенствованием существующих подходов к проектированию систем информационной безопасности компаний.
Апробация и внедрение результатов исследования. Проведенные в диссертации исследования непосредственно связаны с реализацией Федеральной целевой программы «Электронная Россия», а также планами научно-исследовательских работ ВНИИПВТИ по региональной информатизации.
Материалы диссертационного исследования Кикова B.C. использовались в НИР по теме «Проверка обоснованности технико-экономических показателей разработки и ввода в действие ЕИТКС ОВД»
(выполняемой в соответствии с государственным контрактом №129-2006/84 от 15 июля 2006 г.). Был проведен анализ проектных решений по созданию компонент «Единая система информационной безопасности» (ЕСИБ) основной компоненты единой информационной телекоммуникационной системы органов внутренних дел (ЕИТКС ОВД).
Предложенная в диссертации методика также была использована при реализации НИР по теме «Разработка международной комплексной системы «Информ-Бизнес-Право» для защиты технологии заключения юридически значимых договоров в электронном виде. Её применение позволило существенно повысить эффективность систем защиты и ожидаемого уровня потерь из-за несанкционированного доступа к ней, а также существенно снизить уровень ожидаемых потерь.
Теоретические и практические результаты диссертации были использованы при чтении лекций по курсу «Информационные системы в экономике», «Информационные технологии управления» на факультете защиты информации и экономическом факультете для студентов РГГУ.
Основные положения диссертации докладывались и получили одобрение на Международных НТК «Информатизация и глобализация социально-экономических систем» (Москва, РГГУ, 2007); НТК «IT-технологии: развитие и приложение» (Владикавказ, Государственный технологический университет, 2008); III Всероссийской НТК «Информационные технологии в науке, образовании и экономике (ИТНОЭ-2008)» (Якутия, 2008) и 3-й Отраслевой НТК «Технология информационного общества» (Москва, МТУСИ, 2009), а также на научных семинарах кафедр «Автоматизированной обработки экономической информации» ВЗФЭИ, «Математического моделирования экономических процессов» Финансовой академии при Правительстве РФ, «Финансы и кредит» РГГУ, ВНИИПВТИ.
Публикации. По теме диссертации опубликовано 5 научных работ общим авторским объемом 2,1 п.л.
Структура и объем работы. Диссертация состоит из введения, трех глав, выводов и результатов исследования, списка литературы, включающего 167 источник, и приложения, содержащего акты о внедрении результатов работы. Общий объем диссертационной работы 126 страниц, содержащих машинописный текст, 19 таблиц и 23 рисунков.
СОДЕРЖАНИЕ РАБОТЫ
В соответствии с целью и задачами исследования в работе рассмотрены следующие проблемы.
Первая группа проблем связана с анализом существующих подходов к защите экономической информации. На основе анализа литературных источников рассмотрены системы защиты информации, коммерческие секреты предприятия (предмет защиты), компьютерные вирусы, антивирусные программы и системы антивирусной защиты. Выполненный
анализ дал основания для того, чтобы прийти к следующим основным выводам:
- Защита информации должна носить комплексный характер.
- Объектами защиты могут быть: ПК; рабочие станции; компьютерные сети; узлы связи; хранилища и носители информации; средства документирования информации; сетевое оборудование; внешние каналы связи; накопители и носители информации (т.е. все технические компоненты каналы связи, используемые в РЭИС).
- Типичная антивирусная программа имеет в своем составе: сканер с графическим интерфейсом; сканер с интерфейсом командной строки; резидентный сторож; почтовый сторож; планировщик заданий; модуль обновления.
- На рынке антивирусных программ есть примеры интегрированных решений.
- Из-за недостаточной научной проработанности фундаментальных проблем информационной безопасности и путей их решения современная практика создания систем защиты информации опережает процесс ее теоретического осмысления, что приводит к использованию экономических малоэффективных решений.
Вторая группа проблем связана с анализом рассмотрения информационной безопасности предприятия, в частности, с информационной безопасностью электронного бизнеса и регламентирующие её документы, принципы построения систем защиты предприятий, стоимость владения системой информационной безопасности и методики ее оценки.
Информационная безопасность электронного бизнеса касается: юридически значимого оформления договоров в электронном виде; взаимодействия с клиентами, в том числе заказа товаров и услуг; системы расчетов за товары и услуги; управление предприятием; кредитования организаций и предприятий.
Схема системы информационной безопасности предприятия отражает совокупность объективных внешних и внутренних факторов, влияющих на состояние информационной безопасности. К их числу относятся:
- вероятность возникновения и вероятность реализации ситуации потери информации или несанкционированного обращения к ней;
- уязвимость информационной системы или системы контрмер (системы информационной безопасности), влияющая на вероятность реализации угрозы;
- возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования (вероятные прямые или косвенные финансовые потери).
Целесообразная стоимость системы защиты информации предприятия зависит от стоимости предупреждаемых потерь с помощью этой системы, а также от способности системы защищать информационные продукты, поставляемые на рынок. В этой связи актуальными являются вопросы оптимизации системы защиты.
Выполненный в первых двух главах анализ позволил сформулировать задачу проектирования распределенных информационных систем и разработать экономико-математическую модель этой задачи, предложенную ниже.
В настоящее время распределенные экономические информационные системы (РЭИС) могут удовлетворить достаточно высоким требованиям по различным технологическим параметрам, а критерий качества их защиты становится одним из важнейших. Задача оптимизации РЭИС по уровню защиты является актуальной и недостаточно исследованной.
Качество защищенности РЭИС определяется несколькими составляющими: качеством сегментации топологии РЭИС; адекватностью выбора базовых составляющих системы защиты РЭИС исходя из характеристик потенциальных угроз; стойкостью базовых элементов системы защиты при тестировании известными атакующими алгоритмами; технической и экономической эффективностью; возможностью совершенствования.
Учитывая возможную пространственную и организационную удаленность элементов РЭИС, как друг от друга, так и от управляющего центра, система безопасности должна предусматривать осуществление хотя бы одного из своих механизмов на каждом возможном пути несанкционированного проникновения в РЭИС. Эта структура определяет модель системы безопасности с полным перекрытием.
В модели с полным перекрытием множество отношений объект-угроза образуют граф, в котором ребро <Ъ,о,> определяет угрозу получения доступа к объекту 0|, методом 1;. Осуществленная угроза потенциально преобразует объект О), в новую угрозу ^ для достижимых новых объектов О*. Это приводит к тому, что практически каждый элемент РЭИС становится источником угрозы. Данному распространению угроз способствует архитектура РЭИС, в которой каждый элемент имеет каналы связи с определенным количеством других элементов. Сказанное иллюстрирует рис. 1.
С помощью сегментации тьт2,...,тп граф может быть преобразован таким образом, чтобы существенно сократить количество ребер «объект -
■*■ О?
Рис. 1: Граф отношений объект - угроза
угроза», как это показано на рис. 2. Чем сильнее сегментация, тем в меньшей степени каждая угроза порождает новые угрозы. В идеале, в системе с полным перекрытием для РЭИС каждое ребро <1:;,01> предусматривает количество сегментов равное количеству конечных узлов <1;,оьгп;>.
Рис. 2. Система защиты на основе сегментации
Из сказанного следует, что задача защиты РЭИС решается путем выделения сегментов в общей топологии и в фильтрации пакетов с помощью межсетевых экранов (МЭ). МЭ принято классифицировать в соответствии с уровнем фильтрации, наложенным на стек протоколов ТСР/1Р. При сравнительном анализе МЭ и принятии решения об их применимости в реальных условиях в литературе предлагается группировка, показанная в таблице 1.
Информационной защитой внутренней среды РЭИС являются распределенные МЭ, отвечающие следующим требованиям:
- во-первых, защитные функции МЭ разведены в результате сегментации топологии РЭИС;
- во-вторых, защитные функции МЭ не перекрывают друг друга;
- в-третьих, имеется единый центр управления элементами МЭ.
Таблица 1: Классификация межсетевых экранов
Программно-аппаратные фильтры пакетного/сеансового уровней Криптошлюзы Межсетевые экраны:
Программно-аппаратная реализация на базе специально разработанного аппаратного устройства и специализированной операционной системы. Надстройка над операционной системой
Замещение основных функций операционной системы собственными.
Программная реализация на базе стандартной конфигурации вычислительной системы. Программно-аппаратная реализация на базе специально разработанного аппаратного устройства и специализированной операционной системы.
Как уже отмечалось, чем выше сегментация РЭИС, тем лучше защита, однако уровень допустимой сегментации ограничен целым рядом условий:
особенностями топологии РЭИС; содержанием решаемых задач; конфиденциальностью обрабатываемой информации; политикой безопасности в компании; финансовыми и организационными возможностями администрации отдельных сегментов РЭИС и пр.
Рассмотрим задачу проектирования РЭИС, оптимальной по уровню информационной защищенности. Проект определяется способом сегментации РЭИС и подбором для каждого сегмента соответствующего МЭ. В целом, проект РЭИС предстает как совокупность технических решений (ТР), каждое из которых содержит однозначное описание сегмента и его МЭ.
Для составления оптимального проекта РЭИС необходимо предварительно сформулировать избыточное множество вариантов ТР, из которого затем можно составить оптимальный набор ТР, удовлетворяющий не только техническим условиям, но и являющийся оптимальным по экономической эффективности.
Пусть ТР номер 1 в каждый период времени I требует затрат в объеме Ьц и способно принести условный доход в объеме рц. При этом, под затратами мы понимаем в данном случае эксплуатационные расходы на МЭ в период I (обозначим Яц) и потери, связанные с задержками во времени и с ограничениями у пользователей, вызванными наличием МЭ (обозначим 2ц). Таким образом, Ц,= Хц.
Под условным доходом Бу мы понимаем размер ожидаемого предотвращаемого ущерба, который мог бы возникнуть в период 1, если бы в сегменте 1 отсутствовал МЭ, который согласно данному ТР должен быть там установлен. Для расчета условного дохода следует исходить из того, что предполагаемый к установке МЭ в течение периода I способен предотвратить НСД с известной вероятностью. Зная вероятность НСД и оценку ожидаемых потерь от НСД можно рассчитать ожидаемое значение Б^.
Ожидаемая условная прибыль от ТР за период I выражается разностью (Бц- и является, вообще говоря, случайной величиной, так как и размер затрат Ьц и условный ожидаемый доход Бц подвержены существенным случайным и принципиально не устранимым воздействиям.
По указанной причине в некоторые периоды времени для некоторых ТР возможны случаи, когда ожидаемые затраты превзойдут условный ожидаемый доход и условная ожидаемая прибыль (Б^ - Ьц) окажется нулевой или отрицательной.
Пусть, кроме того, в каждый период времени I имеется ограниченный объем совокупного финансирования С^ Если ТР может быть профинансировано в разном объеме и больший объем финансирования влечет увеличение условного ожидаемого дохода, то эти варианты ТР, отличающиеся значениями Бу и Ьц можно рассматривать как различные, причем альтернативные ТР.
Задача состоит в том, чтобы при этих условиях таким образом скомпоновать ТР, чтобы ни в один из периодов времени I вероятность потребности в финансовых ресурсах не превысила имеющийся лимит Сь а совокупный ожидаемый доход от информационной защиты РЭИС был бы
максимален. С математической точки зрения эта задача не тривиальна. Мы представим эту формулировку в виде модели булевого программирования, что позволит ее решить с помощью модуля Combinatorics инструментальной системы Decision.
Предположим, что дисперсия yft случайной величины (Dit-Li,t) известна. Введем в рассмотрение булеву переменную Xj=l, если TPi выбрано и 0, в противном случае.
Исходя из предположения, что законы распределения вероятностей нормальны и независимы, можно вычислить сумму условной ожидаемой прибыли за вычетом внесенных инвестиций:
м
.....n
и суммарную дисперсию для каждого варианта распределения инвестиций по периодам:
м
.....N.
N1
Лимит суммы инвестиций в период t ранее нами был уже обозначен как С,. Выбрав доверительную вероятность а (как правило, полагается а = 0,95) можно по известным формулам рассчитать i|/(a) (при а = 0,95 vj/(a) = 1,64).
Условия внесения инвестиций и условной ожидаемой прибыли выражаются следующей системой неравенств:
м Гм
5>(Ц,-Цд)-и<б)Д>^ +Ct >0,t=1.....N (1)
м V и
Содержательный смысл условий (1) заключается в том, что совокупная
м
ожидаемая прибыль за период t, выражаемая величиной
м
совокупности с имеющейся в наличии (или в запасе) суммой денег Ct в период t должна с надежностью а превосходить суммарную «колеблемость» размера совокупной ожидаемой прибыли, выражаемую величиной Гм
^gxfyj.
Иными словами, условия (1) означают требование, что при наихудшем стечении обстоятельств, когда отклонение фактической совокупной ожидаемой прибыли будет значительным, причем в сторону недополучения, имеющегося в момент t запаса средств Ct должно хватить для намеченных инвестиций.
Данное требование должно выполняться с вероятностью 95% (а риск перерасхода средств не превосходит 5%). Последнее обеспечивается присутствием величины \|/(а) в формуле (1).
При соблюдении этих условий необходимо максимизировать сумму условной ожидаемой прибыли по всем периодам. Итак, при условиях (1) необходимо максимизировать следующую линейную форму:
М N
тах^ВРд-Ц,) (2)
1=1 и
В совокупности условия (1) и целевая функция (2) образуют математическую формулировку рассматриваемой нами задачи. Эта
формулировка не является линейной из-за наличия в (1) выражения •
Чтобы представить задачу в линейной форме достаточно заменить дисперсию у* средним квадратическим отклонением (СКО) с\,. При этом соотношение (1) принимает вид:
IV! IV!
^П-у-и®^^^^.....N (3)
Учитывая, что для булевой переменной справедливо тождество X, = х| можно видеть, что условие (3) является линейным Обозначив:
в ¡=Ж-Ц,<) (4)
1 0,ее™ (5)
получим формулировку рассматриваемой нами задачи в следующем виде:
м
тах^хр, (6)
¡=1
(7)
м
.....N
и
Кроме того, поскольку возможны альтернативные ТР то, следовательно, возможно существование условий типа:
Й<1к=1.....G
щ
где Q - общее количество TP, имеющих альтернативные варианты.
С помощью булевых переменных могут быть выражены и другие логические связи между вариантами ТР. Кроме того, некоторые ТР могут быть альтернативными, возможно существование требования, чтобы некоторые варианты ТР были выполнены обязательно, либо требование, чтобы некоторые ТР реализовывались лишь в том случае, если вместе с ними будут реализованы некоторое другие ТР.
Логические условия выражаются с помощью алгебраических соотношений между булевыми переменными следующего вида:
ieG
5>,>1
ieU
Ех^х,
(9)
В целом, таким образом, мы имеет модель линейного булевого программирования на максимум, образованную системой соотношений (4) - (9), где G, U, V и W - множества значений номеров ТР, принадлежащие множеству {1,...,М}.
Исходная информация состоит из:
- избыточного перечня ТР;
- списка логических связей между ТР, включенных в список;
- параметров для каждого ТР, а именно, величин Pi и Yit.
Формулы (1) - (5) однозначно определяют способы расчета параметров ТР. Формулировка логических связей определяется техническими особенностями решений, прежде всего их технической совместимостью.
Обратимся к оптимизационным расчетам в диалоге с Combinatorics по заданной исходной информации. Избыточный список ТР представлен в таблице 2. Из данных, представленных в таблице 2 можно заключить, что ТР14 и ТР16 взаимно друг друга исключают. Кроме того, ТР15 и ТР17 также друг друга исключают. Остальные ТР логически друг от друга независимы и вместе с тем, возможно реализовать любой набор из этих ТР. Следовательно, сеть логических связей имеет вид, показанный на рис. 3. Эта логическая сеть вводится в Combinatorics в диалоговое окно, вызываемое из меню «Параметры» с помощью команды «Логические связи».
(0 Технические решения (TP) Обозначение
Средство Программное (П) или аппаратное (А) Место установки
2 Антивирусный сканер П Сервер 1 ТР2
3 Антивирусный сканер п Сервер 11 ТРЗ
4 Резидентный сторож п Сервер бухгалтерии ТР4
5 Резидентный сторож п Сервер 1 ТР5
6 Почтовый сторож п Сервер 3 ТР6
7 Почтовый сторож п Сервер 5 ТР7
8 Почтовый сторож п Сервер 11 ТР8
9 Планировщик заданий п Сервер 1 TP9
10 Планировщик заданий п Сервер 11 ТР10
11 Планировщик заданий п Сервер 5 ТР11
12 Модуль обновления п Сервер 1 ТР12
13 Модуль обновления п Сервер 11 ТР13
14 HASP А Сервер клиентский 5 ТР14
15 HASP А Сервер клиентский 7 ТР15
16 «Шипка» А Сервер клиентский 5 ТР16
17 «Шипка» А Сервер клиентский 7 ТР17
Информация о значениях показателя Yiд, для каждого 1 и каждого иначе говоря, ожидаемое превышение совокупных затрат над совокупным доходом для каждого технического решения в каждый период времени, вводится на лист «Данные». На рис. 4 информация введена в столбцы «А», «В», «С», «Б», «Е», «Р». Причем в столбец «А» под названием «Мероприятия» введены названия технических решений.
В столбец «в» введены данные о совокупной ожидаемой прибыли по каждому варианту ТР за все 5 периодов. Из рис. 4 также видно, что прибыль Ч выбрана в качестве целевого показателя (об этом свидетельствует зеленый
фон в «С1»), а в качестве ограниченного ресурса выбран допустимый лимит затрат в первый год, то есть при 1=1.
[14,16]; [15,17]; 2; 3; 4; 5; 6; 7; 8; 9; 10; 11; 12; 13
Рис. 3: Сеть логических связей между вариантами ТР.
g-sSft gawa pot . _ а Ш
- ц * • 1* * » il i« ^ ш 5Й« -.г«.-, А -щ
АНГЛО-PyCCKtiH - J6u.m ажяшуша® 11
А1 5ПРИЯТИЯ
.Г ______ ______ ________________ ■ ad
МЕРОПРИЯТИЯ ез ы Ci
1 ТР2 21.84 43.56 23.72 28.84 27.4 468 j
Я ' ТРЗ 0 0 0 0 0.44 121
m ТР4 30.8 29.16 25.88 29.16 22.8 18
S ТР5 41 41.56 47.84 57.4 50.48 11
» ТР6 3.2 2.84 3.48 3.48 3.48 36
7 ТР7 43.68 54.36 49.52 33.84 49.68 502
■ TPS 36.28 30.36 26.72 32.28 28.28 56
9 ТР9 3.2 0.64 0 0.56 4.2 24
¡1 ТР10 21.16 27.84 33.32 25.04 26.68 336
и ТР11 8.88 6.68 5.96 8.6 7.96 80
Ш ТР12 0 0 0 0 0.44 111
ТР13 5.4 13.08 10 13.4 16.32 149
Щ ТР14 10.04 2.76 0 0 0 72
\Щ ТР15 3.32 5.76 3.84 3.84 3.2 39
Й ТР16 3.84 4.76 6.04 6.68 6.32 56
ft] ТР17 0 0 7.68 7.32 7.88 32
...... i • • ............... W............... й >Г
■
Рис. 4: Исходная информация о TP, введенная в Combinatorics
На рис. 5 показан результат оптимизационного расчета. При этом, как можно видеть из рис. 5, лимит для момента t = 1 установлен в размере 370 т.р. Расчет с учетом ограничений только по одному периоду времени, предоставляет весь список допустимых оптимальных решений для всех возможных уровней затрат ограниченного ресурса.
На рис. 5 в каждой строке представлены оптимальные варианты структуры системы защиты информации, то есть такие наборы TP, которые не противоречат логическим условиям и которые при заданном уровне допустимых затрат в период времени t = 1 обеспечивают максимум прибыли. Так, например, на рис. 5 в строке 25 можно видеть, что затратах в период t=l были в размере 46.20 т.р., а за весь 5-ый период можно получить прибыль в размере 1153.00 т.р. Для это необходимо выполнить следующие технические решения: ТР2, ТРЗ, ТР6, ТР10, ТР12, ТР17. При этом, прибыль по периодам составит: при t = 2 в размере 74,24 т.р.; при t = 3 в размере 74,24 т.р.; при t = 3 в размере 68,20 т.р.; при t = 4 в размере 64,68 т.р.; при t = 5 в размере 66,32 т.р.
Если рассмотреть полный список решений, то можно видеть, что даже при максимально возможном использовании всех ресурсов в каждый период времени, то есть при реализации ТР2, ТРЗ, ТР4, ТР5, ТР6, ТР7, ТР8, ТР9, ТР10, ТР11, ТР12, ТР13, ТР14 и ТР17 затраты в каждый период времени не превосходят имеющегося лимита. Поэтому, введя ограничения по всем
результат. * ВЫШШШВ °П™МИЗац™й расчет, мы получаем тот же
Рис. 5: фрагмент результатов оптимизационного расчета при ограничении
затрат в период / = 2.
Представляет интерес рассмотрение наиболее эффективных по рентабельности вариантов наборов ТР. На рис. 6 показана зависимость совокупной прибыли от затрат 1-го года. На рис. 6 видно возрастание прибыли с увеличением затрат 1-го года. На рис. 7вИд„о, что с ростом заГт
Г^тиЗ?и"еУ"ТОНН0 ПаДаеТ' № ^афиКа « ™ наиболее эффективны и можно считать их даже абсолютно необходимыми являются
минимальные затраты. С ростом затрат рентабельность быстро п" но
достигнув известного предела темп падения существенно уменьшаем
в таблицеТ °ПГИШШЬН0Г0 ВарИаНта и лимиты затрат по периодам показаны
Зат рат ы 1-го года
Рис. 7: Зависимость отношения совокупной прибыли к затратам 1-го года
от затрат 1-го года __Таблица 3: Совокупные затраты и лимиты
Периоды времени 1 = 1 \ = 2 1 = 3 1 = 4 1 = 5
Затраты 145,00 178,08 156,08 152,76 163,36
Лимиты затрат 370,00 420,00 420,00 430,00 450,00
Выполненные расчеты позволяют заключить, что разработав исходный избыточный набор вариантов технических решений, сеть логических связей между ними и сформулировав ресурсные ограничения, мы получили набор вариантов, который максимизирует прибыль при заданном уровне затрат. Технология расчетов является достаточно гибкой и универсальной, применимой для комплектации системы защиты разнообразных локальных информационных систем.
Одна из важных особенностей рассматриваемой технологии оптимизации системы защиты состоит в том, что выполнение расчетов производится в режиме диалога. Следовательно, трудоемкость расчетов относительно невелика сравнительно с трудоемкостью формулировки вариантов технических решений и оценки их экономических показателей. Это дает возможность в итерационном режиме уточнять исходные варианты
технических решений и дополнять их. Благодаря этому значительно облегчается процесс подготовки исходной информации. Этот процесс становится взаимоувязанным с процессами уточнения и контроля исходных данных.
ВЫВОДЫ
1. Анализ источников показал, что из-за недостаточной научной проработанности фундаментальных проблем информационной безопасности и путей их решения современная практика создания систем защиты информации опережает процесс ее теоретического осмысления.
2. Проведен анализ основных бизнес-процессов функционирования распределенных информационных экономических систем, который показал, что наибольшей уязвимостью таких систем являются процессы организации документооборота бизнес-компаний. Информационная безопасность электронного бизнеса в них касается: юридически значимого оформления договоров в электронном виде; взаимодействия с клиентами, в том числе заказ товаров и услуг; системы расчетов за товары и услуги; управления предприятием; кредитования организаций и предприятий.
3. Выявлена основная совокупность объективных внешних и внутренних факторов, влияющих на состояние информационной безопасности, к числу которых относятся: вероятность возникновения и вероятность реализации ситуации потери информации или несанкционированного обращения к ней; уязвимость информационной системы или системы контрмер (системы информационной безопасности), влияющая на вероятность реализации угрозы; возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования (вероятные прямые или косвенные финансовые потери).
4. Проведенные исследования показали, что целесообразная стоимость системы защиты информации предприятия зависит от стоимости потерь предупреждаемых с помощью этой системы, а так же от способности системы защищать информационные продукты, поставляемые на рынок. В этой связи актуальными являются вопросы оптимизации систем защиты.
5. Разработана экономико-математическая модель булевого программирования оптимальной защиты распределенной локальной информационной системы. Модель позволяет компоновать технические решения, в частности, выбирать межсетевые экраны и позиции их установки в локальной сети таким образом, чтобы не выходя за установленные лимиты затрат по периодам обеспечить максимальную экономическую эффективность системы защиты информации.
6. Разработаны методические приемы сбора исходной информации для задачи оптимальной защиты распределенной локальной информационной системы. Подготовлена исходная информация для выполнения практических расчетов и вычислительных экспериментов.
7. Доказана, что предложенная модель принадлежит классу моделей булевого программирования и обладает следующими характерными признаками: имеет ресурсные ограничения; имеет, кроме независимых элементов, еще 3 типа логических связей, в частности, альтернативную дизъюнкцию, импликацию, а также логическую связь «должен присутствовать хотя бы один из ...».
8. Разработаны диалоговые процедуры для решения задачи составления оптимального набора технических решений и для исследования вариантов системы защиты информации.
Выполнены оптимизационные расчеты и вычислительные эксперименты, в которых сформулированы оптимальные варианты системы защиты и критерии выбора среди них предпочтительного.
По теме диссертации опубликованы следующие работы:
1. Киков B.C. Задача защиты экономических информационных систем/ В сборнике научных трудов III Всероссийской НТК «Информационные технологии в науке, образовании и экономике (ИТНОЭ-2008)», Якутия, 2008, 0,2 п.л.
2. Киков B.C. Моделирование системы защиты информации распределенных экономических систем/ Сборник трудов Международной НТК «Комплексная защита информации», М.: ВНИИПВТИ, 2008 - 0,2 п.л.
3. Киков B.C. Модель проектирования распределенных экономических информационных систем оптимальных по способам защиты/ Журнал «Информационные технологии управления в социально-экономических системах», №2, М.: Росинформтехнологии, 2008 - 0,7 п.л.
4. Киков B.C. Оптимизация средств защиты в распределенных экономических информационных системах/ Журнал «Экономические науки», №49,2008 - 0,7 п.л. (рекомендован ВАК)
5. Киков B.C. Методика оптимизации защиты распределенных экономических информационных систем / В сборнике научных трудов Московской НТК «Технологии информационного общества», М.: Инсвязьиздат, 2009 - 0,3 п.л.
Диссертация: содержание автор диссертационного исследования: кандидата экономических наук, Киков, Виталий Сергеевич
Введение
ГЛАВА ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И
1. МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ
1.1. Системы защиты информации
1.2. Коммерческие секреты предприятия
1.3. Компьютерные вирусы, антивирусные программы и системы антивирусной защиты
Выводы к первой главе
ГЛАВА ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
2. ПРЕДПРИЯТИЯ
2.1. Информационная безопасность электронного бизнеса
2.2. Системы информационной безопасности предприятия
2.3 Стоимость владения системой информационной безопасности на предприятии и рынок средств защиты информации
Выводы к второй главе
ГЛАВА МОДЕЛЬ ПРОЕКТИРОВАНИЯ РАСПРЕДЕЛЕН
3. НЫХ ЭКОНОМИЧЕСКИХ ИНФОРМАЦИОННЫХ СИСТЕМ, ОПТИМАЛЬНЫХ ПО СПОСОБАМ ЗАЩИТЫ
3.1. Булева модель оптимальной защиты распределенной локальной информационной системы
3.2. Методические вопросы подготовки исходной информации
3.3. Реализация задачи в среде модуля Combinatorics инструментальной системы Decision
3.4 Оптимизационные расчеты и вычислительные эксперименты
Выводы к третьей главе
Выводы
Диссертация: введение по экономике, на тему "Методика выбора системы защиты экономической информации в распределенных системах"
Актуальность исследования. Информационно-коммуникационная сфера, становиться системообразующим фактором жизни общества. Эта сфера активно влияет на информационную безопасность предприятий и организаций и, в целом, государства.
В современном мире информация уже давно стала стратегическим ресурсом, одним из основных богатств, которым владеют физические и юридические лица. Быстрое совершенствование информатизации в России, проникновение ее во все сферы жизненно важных интересов личности, общества и государства повлекли, помимо несомненных преимуществ, появление ряда стратегических проблем. Одной из них стала необходимость защиты информации, которая, как показывает опыт, должна носить комплексный характер.
Объектами защиты могут быть: ПК; рабочие станции; компьютерные сети; узлы связи; хранилища и носители информации; средства документирования информации; сетевое оборудование; внешние каналы связи; накопители и носители информации.
Основными участниками рынка средств защиты информации являются государство, производители средств защиты и потребители. При этом государство является не только организатором инфраструктуры рынка, но так же и одним из важных потребителей средств защиты информации.
До недавнего времени цели защиты информации достигались в основном за счет реализации принципа "максимальной секретности", в соответствии с которым доступ ко многим видам информации был ограничен, причем не всегда обоснованно. В то же время не существовало каких-либо положений, определяющих защиту информационных прав граждан, конфиденциальность личной информации. В настоящее время ситуация существенно изменилась. Предприятия и организации в целях рекламы заинтересованы в распространении информации о своей деятельности, а доля секретной информации значительно сузилась и существенно видоизменилась. В условиях рынка технические и программные средства защиты информации производятся, как правило, не государственными компаниями и являются способом защиты не только государственных интересов, но и коммерческих интересов товаропроизводителей
Государство призвано организовывать и поддерживать инфраструктуру рынка средств защиты информации. При этом важно, чтобы государственное регулирование было основано на рыночных методах, таких как налогообложение, государственный заказ и специализированные способы государственной поддержки, например с помощью создания технопарков, где могли бы работать и производители средств защиты информации.
Вместе с тем, защита информации является важной сферой деятельности практически любого юридического лица, любого субъекта рынка, поставляющего на рынок некоторые товары и услуги. Каждая сфера деятельности имеет свою специфику. Например, информационная безопасность электронного бизнеса касается: юридически значимого оформления договоров в электронном виде; взаимодействия с клиентами; системы расчетов за товары и услуги; управления; кредитования.
Система информационной безопасности предприятия отражает совокупность объективных внешних и внутренних факторов, влияющих на состояние информационной безопасности. К числу таких факторов относится: вероятность возникновения и вероятность реализации ситуации потери информации или несанкционированного обращения к ней; уязвимость информационной системы или системы контрмер влияющих на вероятность осуществления угрозы; возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации или неправомерное ее использование.
Научная проработанность этих вопросов остается явно недостаточной. Более того, складывается такая ситуация, что современная практика создания систем защиты информации опережает процесс ее теоретического осмысления.
Целесообразная стоимость системы защиты информации предприятия зависит от целого ряда факторов, в частности, от стоимости предупреждаемых потерь и от способности системы защищать информационные продукты, поставляемые на рынок.
Особенно актуальными являются вопросы оптимизации систем защиты экономической информации предприятий и организаций, обладающих распределенными локальными сетями с ограниченным числом входов во внешние сети. Качество защищенности такой распределенной экономической информационной системы (РЭИС) определяется несколькими составляющими: качеством сегментации топологии РЭИС; адекватностью выбора базовых составляющих системы защиты РЭИС исходя из характеристик потенциальных угроз; стойкостью базовых элементов системы защиты при тестировании известными атакующими алгоритмами; технической и экономической эффективностью; возможностью совершенствования.
Система безопасности РЭИС должна предусматривать средства защиты на каждом возможном пути несанкционированного проникновения в неё. А учитывая, что элементы РЭИС возможно будут удалены друг от друга, и от управляющего центра, то структуру РЭИС должна определять модель системы безопасности с полным перекрытием.
Основные положения в теории и практике по различным направлениям защиты информации и информационной безопасности изложены в работах отечественных ученых: Мельникова В.В., Безкоровайного М.М., Львова В.М., В.А. Садовничего, В.П. Шестюка, В.А. Герасименко, В.Н. Лопатина, Л.М. Ухлинова, Э.В. Попова, А.А. Стрельцова, В.А. Конявского и многих других. Усилиями этих ученых была сформирована научная база для дальнейшего обобщения результатов и развития моделей и методов экономических аспектов информационной безопасности России.
Крупный вклад в развитие теории и прикладных методов анализа сложных социально-экономических систем внесли многие отечественные ученые. В их числе: А.Г. Аганбегян, В.М. Глушков, СВ. Емельянов, Л.В. Канторович, Н.Н. Моисеев, Г.С. Поспелов, В.А. Трапезников, Н.П. Федоренко, а также К.А. Багриновский, В.Л. Бурков, О.В. Волкович, О,В. Голосов, В.В. Кульба и другие.
Актуальность темы диссертационной работы определяется следующими основными позициями:
- важностью для предприятий и организаций разработки эффективных и доступных в финансовом отношении систем защиты экономической информации;
- большим разнообразием вариантов технических решений и множеством конкретных ситуаций; недостаточной разработанностью методов формирования наборов технических решений по построению системы защиты РЭИС.
Целью диссертационного исследования является разработка методики проектирования оптимальных по эффективности систем защиты информации распределенных экономических информационных систем.
Для достижения указанной цели в диссертации поставлены и решены следующие задачи:
- проведен анализ использования современных оптимизационных компьютерных технологий для проектирования систем защиты РЭИС;
- исследована модель с полным перекрытием множества отношений объект-угроза, представляющая двудольный граф, ребро которого определяет угрозу получения доступа к заданному объекту заданным методом;
- обоснован выбор методологии проектирования систем информационной защиты РЭИС, базирующейся на методах булевого программирования;
- разработана экономико-математическую модель защиты информации и методика сбора исходной информации для проектирования РЭИС;
- проведены экспериментальные исследования работоспособности модели проектирования РЭИС, выполнить практические расчеты.
Объектом исследования являются предприятия и организации, имеющие распределенные экономические информационные системы.
Предметом исследования являются модели и методы проектирования систем информационной защиты РЭИС.
Методология исследования. Теоретической и методологической основой диссертационной работы послужили исследования по важнейшим направлениям экономической теории, в том числе по основным положениям в области защиты информации, а также теории принятия решений.
При решении конкретных задач использовались труды отечественных и зарубежных ученых в области экономических аспектов информационной безопасности, государственного регулирования экономики, математического программирования, теории вероятностей, математической статистики, теории графов и теории игр.
Источниковедческую базу исследования составили материалы научной периодики, конференций и семинаров, а также данные статистических сборников и проектные разработки ведущих научных школ в области информационной безопасности.
Диссертационная работа по своему содержанию соответствует пунктам 2.2 и 2.3 Паспорта специальности 08.00.13.
Наиболее существенные научные результаты, полученные лично соискателем и содержащие научную новизну. Новизну содержат следующие положения:
- разработана экономико-математическая модель булевого программирования защиты РЭИС, отличительной особенность которой является наличие логических связей между техническими решениями (альтернативная дизъюнкция, импликация, а также логическая связь «должен присутствовать хотя бы один из .».). Использование этого условия позволяет учесть возможность компоновки TP из различных модулей средств защиты информации;
- разработаны методические приемы сбора и расчета исходной информации для задачи оптимальной защиты распределенной локальной информационной системы. Подготовлена исходная информация для выполнения практических расчетов и вычислительных экспериментов.
- разработаны диалоговые процедуры для работы с моделью, позволяющие проводить моделирование различных набора технических решений с целью выбора оптимальных вариантов защиты информации;
- экспериментальные исследования позволили получить оптимальные варианты системы защиты и критерии выбора среди них предпочтительного.
На основе полученных результатов диссертационного исследования разработано методическое обеспечение менеджера подразделения информационной безопасности компании.
Практическая ценность работы заключается в том, что основные положения, выводы и рекомендации диссертации ориентируют информационную среду предприятия и организации на необходимость создания эффективных систем информационной безопасности на базе широкого применения экономико-математических методов и инструментальных средств. Использование этих средств позволяет значительно повысить качество защиты экономической информации.
Разработанные модели и методы проектирования эффективных систем информационной защиты РЭИС направлены на решение практической задачи обеспечения информационной безопасности экономических информационных систем. Результаты исследований доведены до конкретных методик, алгоритмов и рекомендаций по использованию разработанных инструментальных средств.
К основным результатам исследования, имеющим практическое значение, относятся:
- экономико-математическая модель защиты РЭИС;
- методические приемы сбора и расчета исходной информации для задачи оптимальной защиты распределенной локальной информационной системы;
- диалоговые процедуры для работы с моделью, позволяющие проводить моделирование различных набора технических решений с целью выбора оптимальных вариантов защиты информации.
Проведенные в диссертационной работе исследования и полученные в ней результаты совершенствуют существующие подходы к проектированию систем информационной безопасности компаний.
Апробация и внедрение результатов исследования. Проведенные в диссертации исследования непосредственно связаны с выполнением планов научно-исследовательских работ ВНИИПВТИ по информатизации финансово-кредитных организаций.
Материалы диссертационного исследования использовались в НИР «Проверка обоснованности технико-экономических показателей разработки и ввода в действие ЕИТКС ОВД» (Шифр темы «ЕИТКС-ТЭО») при анализе проектных решений по созданию компонент «Единая система информационной безопасности» (ЕСИБ) единой информационной телекоммуникационной системы органов внутренних дел (ЕИТКС ОВД). Использование методики на основе ОКТ позволило существенно повысить эффективность систем защиты и ожидаемого уровня потерь из-за несанкционированного доступа к ней, а также существенно снизить уровень ожидаемых потерь.
Теоретические и практические результаты диссертации были использованы при чтении лекций по курсу «Информационные системы в экономике», «Информационные технологии управления» на факультете защиты информации и экономическом факультете для студентов РГГУ.
Основные положения диссертации докладывались и получили одобрение на Международных НТК «Проблемы регионального и муниципального управления» (Москва, РГГУ, 2007) и «Информатизация и глобализация социально-экономических систем» (Москва, РГГУ, 2007); НТК «IT-технологии: развитие и приложение» (Владикавказ, Государственный технологический университет, 2008); III Всероссийской НТК «Информационные технологии в науке, образовании и экономике (ИТНОЭ-2008)» (Якутия, 2008), а также на научных семинарах кафедр «Автоматизированной обработки .экономической информации» ВЗФЭИ, «Математического моделирования экономических процессов» Финансовой академии при Правительстве РФ, «Финансы и кредит» РГТУ, ВНИИПВТИ.
Публикации. По теме диссертации опубликовано 7 научных работ общим авторским объемом 2,5 п.л.
Структура и объем работы. Диссертация состоит из введения, трех глав, выводов и результатов исследования, списка литературы, включающего 167 источник, и приложения, содержащего акты о внедрении результатов работы. Общий объем диссертационной работы 126 страниц, содержащих машинописный текст, 19 таблиц и 23 рисунков.
Диссертация: заключение по теме "Экономика и управление народным хозяйством: теория управления экономическими системами; макроэкономика; экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда", Киков, Виталий Сергеевич
выводы
1. Из-за недостаточной научной проработанности фундаментальных проблем информационной безопасности и путей их решения современная практика создания систем защиты информации опережает процесс ее теоретического осмысления.
2. Информационная безопасность электронного бизнеса касается: юридически значимого оформления договоров в электронном виде; взаимодействие с клиентами, в том числе заказ товаров и услуг; систем расчетов за товары и услуги; управлением предприятием; кредитованием организаций и предприятий.
3. Схема системы информационной безопасности предприятия отражает совокупность объективных внешних и внутренних факторов, влияющих на состояние информационной безопасности, к числу относятся: вероятность возникновения и вероятность реализации ситуации потери информации или несанкционированного обращения к ней; уязвимость информационной системы или системы контрмер (системы информационной безопасности), влияющая на вероятность реализации угрозы; возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования (вероятные прямые или косвенные финансовые потери).
4. Целесообразная стоимость системы защиты информации предприятия зависит от стоимости предупреждаемых потерь с помощью этой системы, а так же от способности системы защищать информационные продукты, поставляемые на рынок. В этой связи актуальными являются вопросы оптимизации систем защиты.
5. Разработана экономико-математическая модель булевого программирования оптимальной защиты распределенной локальной информационной системы. Модель позволяет компоновать технические решения, в частности, выбирать межсетевые экраны и позиции их установки в локальной сети таким образом, чтобы не выходя за установленные лимиты затрат по периодам обеспечить максимальную экономическую эффективность системы защиты информации.
6. Разработаны методические приемы сбора исходной информации для задачи оптимальной защиты распределенной локальной информационной системы. Подготовлена исходная информация для выполнения практических расчетов и вычислительных экспериментов.
7. Доказана программная реализуемость сформулированной модели в среде модуля Combinatorics инструментальной системы Decision. В частности, доказано, что предложенная модель принадлежит классу моделей булевого программирования и обладает следующими характерными признаками: имеет ресурсные ограничения; имеет, кроме независимых элементов, еще 3 типа логических связей, в частности, альтернативную дизъюнкцию, импликацию, а также логическую связь «должен присутствовать хотя бы один из .».
8. Разработаны диалоговые процедуры с модулем Combinatorics для решения задачи составления оптимального набора технических решений и для исследования вариантов формирования системы защиты информации.
9. Выполнены оптимизационные расчеты и вычислительные эксперименты, в которых сформулированы оптимальные варианты системы защиты и критерии выбора среди них предпочтительного.
Диссертация: библиография по экономике, кандидата экономических наук, Киков, Виталий Сергеевич, Москва
1. Амиров Ю. Д. Научно-техническая подготовка производства. М.: Экономика, 1989.
2. Амиров Ю. Д. Основы конструирования: творчество, стандартизация, экономика. М.: Изд-во стандартов, 1991.
3. Андреев Г. И., Витчинка В. В., Остапенко С. Н. Особенности построения методического обеспечения управления развитием сложных систем специального назначения в современных условиях // Экономика и математические методы, 1999, 35, № 2.
4. Ансофф И. Стратегическое управление. М.: Экономика, 1989.-519 с.
5. Ансофф И. Стратегическое планирование. М.: Экономика, 1993.
6. Аренков И. А., Багиев Е. Г. Бенчмаркетинг и маркетинговые решения. СПб.: Изд-во СПбУЭФ, 1997.
7. Астахов. A. COBIT для ИТ аудиторов. «Директор информационной службы», №№ 7-8,9 2003 г.
8. Астахов. А. ИТ-аудит в соответствии со стандартом СОВ IT. «Директор информационной службы», №10 2003 г.
9. Афанасьев М.П. Маркетинг: стратегия и практика фирмы. М.: Финстатинформ, 1995, 513 стр.
10. Базилевич Л. А., Соколов Д. В., Франева Л. К. Модели и методы рационализации и проектирования организационных структур управления. Л.: ЛФЭИ, 1991.
11. Безкоровайный М.М., Костогрызов А.И., Львов В.М. Инструментально-моделирующий комплекс для оценки качества функционирования информационных систем «КОК», М.: Вооружение, политика, конверсия, 2001.
12. Волкова В. Н., Денисов А. А. Основы теории систем и системного анализа. СПб.: Изд-во СПбГТУ, 1999.
13. Волчинская Е.К. Законодательство Российской Федерации о доступе к информацию Краткий обзор и анализ / Российский комитет программы ЮНЕСКО «Информация для всех», 2004.
14. Волчинская Е.К. Защита персональных данных. Опыт правового регулирования / Фонд защиты гласности, М.: Издательство «ГАЛЕРИЯ», 2001.
15. Герике Р. Контроллинг на предприятии. Берлин. АБУ-консальт ГмбХ, 1992.
16. Герчикова И.Н. Маркетинг. Организация. Технология. -М.: Издательство школы международного бизнеса МГИМО, 1990. 158 с.
17. Голубева С. Менеджмент сбыта (опыт Германии)// Российский экономический журнал.-1994.-№9.-С.37-41.
18. Голубков Е.П., Голубкова Е.Н., Секерин В.Д. Маркетинг: Выбор лучшего решения. -М.: Экономика, 1993.-222с.
19. Гольдштейн Г. Я. Адаптивное управление инвестициями в сфере НИОКР // Труды АТУ, 1991, вып. 6.
20. Гольдштейн Г. Я. Оценка ожидаемой эффективности инвестиционных проектов в сфере НИОКР // Труды АГУ, 1989, вып. 5.
21. Гольдштейн Г. Я., Ольшевский В. В. Вопросы оценки эффективности научно-технических предложений // Сб. докладов симпозиума "Методы представления и аппаратурный анализ случайных процессов и полей". Вильнюс: 1972.
22. Гордон М.П. Логистика товародвижения. М.: Центр экономики и маркетинга, 1999. -194с.
23. ГОСТ 15971-90. Системы обработки информации. Термины и определения.
24. ГОСТ 17657-79. Передача данных. Термины и определения.
25. ГОСТ 18421-93. Аналоговая и аналого-цифровая вычислительная техника. Термины и определения.
26. ГОСТ 19781-90. Обеспечение систем обработки информации программное. Термины и определения.
27. ГОСТ 20886-85. Организация данных в системах обработки данных. Термины и определения.
28. ГОСТ 24402-88. Телеобработка данных и вычислительные сети. Термины и определения.
29. ГОСТ 25492-82. Устройства цифровых вычислительных машин запоминающие. Термины и определения.
30. ГОСТ 25868-91. Оборудование периферийное систем обработки информации. Термины и определения.
31. ГОСТ 26883-86. Внешние воздействующие факторы. Термины и определения.
32. ГОСТ 27833-88. Средства отображения информации. Термины и определения.
33. ГОСТ 29099-91. Сети вычислительные локальные. Термины и определения.
34. ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Термины и определения.
35. ГОСТ 34.310-95. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма.
36. ГОСТ 34.311-95. Информационная технология. Криптографическая защита информации. Функция кэширования.
37. ГОСТ 34.320-96. Информационные технологии. Система стандартов по базам данных. Концепции и терминология для концептуальной схемы и информационной базы.
38. ГОСТ 34.321-96. Информационные технологии. Система стандартов по базам данных. Эталонная модель управления данными.
39. ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.
40. ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма.
41. ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования.
42. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
43. ГОСТ Р 50922-96. Защита информации. Основные термины и определения.
44. ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.
45. ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
46. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения.
47. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования.
48. ГОСТ РИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
49. ГОСТ РИСО/МЭК 15408-2-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
50. Гузик. С. Аудит информационных технологий. Стандарт COBIT. Электронная версия презентации от 05.12.06 г.
51. Дракер П.Ф. Управление, нацеленное на результаты. -М.: Технологическая школа бизнеса, 1992.- 192с.
52. Дружинин В. В., Конторов Д. С. Проблемы системологии. М.: "Сов. радио", 1976.
53. Дубов Ю. А., Травкин С. И., Якимец В. Н. Многокритериальные модели формирования и выбора вариантов систем. М.: Наука, 1986.
54. Дятленко В.В., Волчинская Е.К. Законодательство о защите персональных данных: проблемы и решения / «Информационное право», 2006, № 1.
55. Егоров А.Ю. Комплексный анализ в системе маркетинговой деятельности. -М.: Вся Москва, 1994.-155с.
56. Ефремов В. С, Классические модели стратегического анализа и планирования. // Менеджмент в России и за рубежом, 1997, №№ 4, 5, 6.
57. Ефремов В. С. Классические модели стратегического анализа и планирования: модель ADL/LC. // Менеджмент в России и за рубежом, 1998, №1.
58. Завьялов П.С., Демидов В.Е. Формула успеха: маркетинг. М.: Международные отношения, 1991. - 416 с.
59. Заде Л. А. Основы нового подхода к анализу сложных систем и процессов принятия решений. В кн. Математика сегодня. М.: Знание, 1974.
60. Зиндер Е. 3. Новое системное проектирование: информационные технологии и бизнес-реинжиниринг. // СУБД, 1995, № 4.
61. Зиндер Е. 3. Новое системное проектирование: информационные технологии и бизнес-реинжиниринг. Ч. 2. Бизнес-реинжиниринг. // СУБД, 1996, №1.
62. Зиндер Е. 3. Новое системное проектирование: информационные технологии и бизнес-реинжиниринг. Ч. 3. Методы нового системного проектирования. // СУБД, 1996, № 2.
63. Иванова И. Концепция технологической безопасности и задачи научно-технической политики России. //. Проблемы теории и практики управления. 1994, №5.
64. Ивашковский С.Н. Макроэкономика. М.: Дело, 2002. -415с.
65. Ивашковский С.Н. Микроэкономика. М.: Дело, 2002. -471с.
66. Информатика, М.: ПОЛИМЕД, 2006.
67. Калятин В.О. Персональные данные в Интернете / «Журнал российского права», 2002, № 5.
68. Карлоф Б. Деловая стратегия. М.: Экономика, 1991.-238с.
69. Карпов В. Стратегический маркетинг в условиях отечественного рынка// Маркетинг. 1993.-№3.-С.42-54.
70. Карпунин М. Г., Любинецкий Я. Г., Майданчик Б. И. Жизненный цикл и эффективность машин. М.: Машиностроение, 1989.
71. Кендалл М. Д. Гайявата ставит эксперимент. // American Statistician, 1953, v.13, pp. 23-24. (перевод Дмоховского).
72. КонсультантПлюс: Аналитический обзор от 19.09.2006. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
73. Котлер Ф. Основы маркетинга. -М.: Прогресс, 1990.-73 6с.
74. Левин М. Ш. Комбинаторика проектирования систем. // Автоматизация проектирования, 1997, № 4.
75. Лихтенштейн В.Е. Неопределенность, рынок и план. //. Наука и человечество. Международный ежегодник. Издается совместно с ЮНЕСКО. М.: Знание, 1994.Стр. 204-221
76. Лихтенштейн В.Е., Росс Г.В. Информационные технологии в бизнесе. Применение системы Decision в микро- и макроэкономике М.: Финансы и статистика, 2008.
77. Лихтенштейн В.Е., Росс Г.В. Информационные технологии в бизнесе. Применение системы Decision в микро- и макроэкономике М.: Финансы и статистика, 2009.
78. Лунин В.И. Маркетинг, менеджмент и ценообразование на предприятиях в условиях рыночной экономики. М.: Международные отношения, 1993. - 112 с.
79. Лунин В.И. Маркетинг, менеджмент и ценообразование на предприятиях в условиях рыночной экономики. М.: Международные отношения, 1993. - 112 с.
80. Макаров И.М„ Виноградская Т.М., Рубчинский А.А, Соколов В.Б. Теория выбора и принятия решений. М.: Наука, 1982, 325 стр.
81. Маркетинг во внешнеэкономической деятельности предприятия. М.: Внешторгиздат, 1990.
82. Маркетинговый подход к управлению (попытка схематизации)// Российский экономический журнал.-1992.-№ 10.-С.65-68.
83. Мельников В.В. Безопасность информации в автоматизированных системах. М.: Финансы и статистика, 2003.
84. Конвенция Совета Европы ETS № 108 «О защите физических лиц при автоматизированной обработке персональных данных» (г. Страсбург, 28.01.1981 г.)
85. Никитин Е.Л., Тимошенко А.А. К вопросу о правовой природе персональных данных работника / «Журнал российского права», 2006, № 7.
86. Никитин С. Монополия, олигополия и конкуренция// МЭ и МО, № 3, 1989;
87. Никитин С.М., Глазова Е.С., Диярханов Ф.С. Ценообразование крупных компаний в рыночной экономике// Деньги и кредит. -1994.-№2.-С. 15-22.
88. Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) / Утверждены приказом Гостехкомиссии России от 30.08.2002 г. № 282.
89. Основы предпринимательского дела/ Под ред. Ю.М. Осипова. -М., 1994.-432с.
90. Петров Д.Н. Современные компьютерные технологии оптимизации маркетинговых решений. Сборник материалов VIII международной конференции «Комплексная защита информации» , Минск, 2004
91. Петров Д.Н. Оптимизационные компьютерные технологии маркетинговых исследований рынка средств защиты информации. Ж-л: Консультант директора, № 5, 2006
92. Положение об обработке и защите персональных данных работников / М.:ЗАО «Финансовые консультации, аудит», 2005
93. Проняхин В. Цена товара и ценовая политика предприятия// РИСК.-1994.-№№4-5.-С.4-14.
94. Прохоров А. Ф. Системное проектирование технических средств. // Автоматизация проектирования, 1998, № 1.
95. Распоряжение Президента РФ от 10.07.2001 № 366-рп «О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных».
96. Робинсон Д.В. Экономическая теория несовершенной конкуренции. М.: Прогресс, 1986.-741с.
97. Рудаков. П. Стандарты управления ИТ. «Директор информационной службы», № 7-8 2002 г.
98. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации / Решение председателя Гостехкомиссии России от 30.03.1992 г.
99. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий / Приказ председателя Гостехкомиссии России от 19.06.2002 г. № 187.
100. Руководящий документ. Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности / Гостехкомиссия России, 2003.
101. Руководящий документ. Безопасность информационных технологий. Руководство по регистрации профилей защиты / Гостехкомиссия России, 2003.
102. Руководящий документ. Безопасность информационных технологий. Руководство по формированию семейств профилей защиты / Гостехкомиссия России, 2003.
103. Руководящий документ. Безопасность информационных технологий. Руководство по разработке профилей защиты и заданий по безопасности / Гостехкомиссия России, 2003
104. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения / Решение председателя Гостехкомиссии России от 30.03.1992 г.
105. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации / Решение председателя Гостехкомиссии России от 30.03.1992 г.
106. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации / Решение председателя Гостехкомиссии России от 30.03.1992 г.
107. Саркисян С., Акопов П., Мельникова Г. Научно-техническое прогнозирование и программно-целевое планирование в машиностроении. М.: Машиностроение, 1987.
108. Современный менеджмент: принципы и правила/ Под ред. В.И.Данилова-Данильяна.-Н.Н.: НКЦП, 1992.-232с.
109. Соколова О.С. Персональные данные как информация ограниченного доступа: проблемы правового регулирования / «Современное право», 2004, № 2.
110. Соловьев Б. Цена в системе маркетинговых средств// Бизнес.-1994.-№5. -С. 1416.
111. Тищенко Е.Н. Сегментирование распределенных информационных систем: критерии и методы реализации// Научная мысль Кавказа. 2003, Приложение №3.
112. Третьяк О.А. Маркетинг: взаимосвязь производства, торговли и потребления. -СПб.: Изд-во С.-Пб. ун-та, 1992.-160с.
113. Указ Президента Российской Федерации «Об утверждении Перечня сведений конфиденциального характера» от 06.03.1997 № 188 с прилагаемым «Перечнем сведений конфиденциального характера».
114. Указ Президента Российской Федерации от 12.05.2004 №611 «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена».
115. Указ Президента Российской Федерации от 30.05.2005 №609 «Об утверждении положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела».
116. Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц, при автоматизированной обработке персональных данных» (принят ГД ФС РФ 25.11.2005).
117. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (принят ГД ФС РФ 08.07.2006).
118. Флейшман Б. С. Основы системологии. М.: Радио и связь, 1982.
119. Хайман Д. Современная микроэкономика: анализ и применение. М.: Экономика, 1992.-288 с
120. Хруцкий В. Какой маркетинг нам нужен// Маркетинг. -1993. -№2.-С.22-30.
121. Четыркин Е. Методы финансовых и коммерческих расчетов. М.: Дело, 1992.
122. Шикин Е.В., Чхартишвили А.Г. Математические методы и модели вуправлении, М.: 2000.
123. Шмален Г. Математические модели в экономических исследованиях на предприятии. // Проблемы теории и практики управления, 1998, № 3.
124. Aguilar Т. J. Scanning the business environment. N. Y.: Macmillan, 1967.
125. Archibugi D., Miche I. Technological globalization or national systems of innovations. // Future, 1997, v. 25, № 2.
126. Board I. F., Balachandra R., Kaufman P. E. An interactive approach to R&D project selection and termination. // IEEE Transactions of Engineering Management, 1988, v.35, pp. 139-146.
127. Clemons E. C. Using scenario analysis to manage the strategic risks of reengineering. // Sloan Management Review, 1995, v.36, № 4.
128. COBIT 4.0, IT Governance Institute, ISBN 1-933284-37-4.
129. COBIT. Резюме для руководителя. 3-е издание. COBIT Steering Committee and the IT Governance Institute, July 2000, русский перевод ISACA.RU.
130. Coffin M. A., Taylor B. W. R&D project selection and scheduling with a filtered beam search approach. // HE Transactions, 1996, v. 28, № 2.
131. Coutwell J., Fai F. Firms as the source of innovation and growth: the evolution of technological competence. // J. of Evolutionary Economics, 1999, №9.
132. Cusumano M. A. How Microsoft makes large teams work like small teams. // Sloan Management Review, 1997, v. 39, № 1.
133. Cusumano M. A., Selby B. W. Microsoft secrets: how the world's most power software company greates technology, shapy markets and manages people. N.Y.: Simon&Schuster \ Free Press, 1995.
134. Diffenbach J. Corporate environmental analysis in large US corporation. // Long Rang Planning, 1983, v. 16, № 3.
135. Erickson T. J. Managing the link to corporate strategy. // Management Review, 1993, v. 82, №12.
136. Frankwick G. L. at al. Evolving patterns of organizational beliefs in the formation of strategy. // Journal of Marketing, 1994, v. 58, № 2.
137. Galbraith J. K. Economics, Peace and Laughter. N.Y.: Macmillan, 1971.
138. Geoffrion A. M. Proper Efficiency and the Theory of Vector Maximization. // J. Math. Ann. and Appl., 1968, № 22.
139. Goldstein G., Ivanov O. Optimization of Design of Fish-Finder Sonar. Arlington Va.: JPRS-65383, 1975.
140. Goldstein G., Olshevsky V. A. R&D Projects Efficiency Ranging. Arlington Va.: JPRS-65383, 1975.
141. Gupta S. K., Kyparisis J., Ip C. Project selection and sequencing to maximize net present value of the total return. // Management Science, 1992, v.38, № 5.
142. Gutenberg E. Zum Methodenstreit. // Zeitschrift fur handelswissen schaffliche Forschung, 1953, № 5, S. 327-355.
143. Hammer M. Reengineering the corporation. A manifesto for business revolutions. Harper Business, 1993.
144. Hammer M. Reengineering work: don't automate, obliterate.// Harvard Business Review, 1990, July-August.
145. Hill C. W. L., Jones G. R. Strategic Management. Boston: Houghton Mifflin Co., 1992.
146. Hutt M. D., Walker B. A., Frankwick G. L. Hurdle the cress-functional barriers to strategic change. // Sloan Management Review, 1995, v.36, № 3.
147. Jin К. H., Namwoon K, Rajendra K. S. Market orientation and organizational performance: is innovation a missing link? // Journ. of Marketing, 1998, v. 62, № 4.
148. Mercer D. Marketing. Oxford UK: Blackwell Pb., 1992.
149. Morton Т. E., Pentico D. W. Heuristic Scheduling Systems with Applications to Production Systems and Project Management. N.Y.:Wiley, 1993.
150. Oral M., Kettani O., Lang P. A metodology for collective evaluation and selection of industrial R&D projects. // Management Science, 1991, v. 37, pp. 871-885.
151. Pasckal L. D., Ben-Israel A. Vectorvalued criteria in geometric programming. // Oper. Res., 1971, v. 19, № 1.
152. Piercy N. F., Harris L. C., Peters L. D, Lane N. Marketing management, market strategy and strategic management: domain realignment and redifinition. // Journal of Strategic Marketing, 1997, № 5.
153. Porter M. The competitive avantage of nations. L.Besingstock: McMillan press, 1990.
154. Retting M., Simons G. A project planning and development process for small teams. // Communications of the ACM, 1993, v. 36, № 10.
155. Schmidt R. L., Freeland J. R. Recent progress in modeling R&D project-selection processes. // IEEE Transactions in Engineering Management, 1992, v. 39, pp. 189— 201.
156. Schoemaker P. J. H. Scenario planning: a took of strategic thinking. // Sloan Management Review, 1995, v. 36, № 2.
157. Sitter L. U., Hertog J. F., Dankbaar B. From complex organizations with simple jobs to simple organizations with complex jobs. // Human Relations, 1997, v. 50, № 5.
158. Thompson A. A. Jr., Strikland A. J. Strategic Management. Homewood II.: Irwin inc., 1990.
159. Киков B.C. Задача защиты экономических информационных систем/ В сборнике научных трудов III Всероссийской НТК «Информационные технологии в науке, образовании и экономике (ИТНОЭ-2008)», Якутия, 2008, 0,2 п.л,
160. Киков B.C. Моделирование системы защиты информации распределенных экономических систем/ Сборник трудов Международной НТК «Комплексная защита информации», М.: ВНИИПВТИ, 2008 0,2 п.л.
161. Киков B.C. Модель проектирования распределенных экономических информационных систем оптимальных по способам защиты/ Журнал «Информационные технологии управления в социально-экономических системах», №2, М.: Росинформтехнологии, 2008 0,7 п.л.
162. Киков B.C. Методика оптимизации защиты распределенных экономических информационных систем/ Журнал «Экономические науки», №1, 2009 0,7 п.л. (рекомендован ВАК)
163. Киков B.C. Оптимизация средств защиты в распределенных экономических информационных системах/ В сб. тезисов докладов Московской НТК «Технологии информационного общества», М.: Инсвязьиздат, 2008-0,3 п.л.