Оценка эффективности инвестирования в информационную безопасность предприятия на основе нечетких множеств тема диссертации по экономике, полный текст автореферата
- Ученая степень
- кандидата экономических наук
- Автор
- Белецкий, Владимир Александрович
- Место защиты
- Пермь
- Год
- 2012
- Шифр ВАК РФ
- 08.00.13
Автореферат диссертации по теме "Оценка эффективности инвестирования в информационную безопасность предприятия на основе нечетких множеств"
На правах рукописи
Белецкий Владимир Александрович
ОЦЕНКА ЭФФЕКТИВНОСТИ ИНВЕСТИРОВАНИЯ В ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ НА ОСНОВЕ НЕЧЕТКИХ МНОЖЕСТВ
Специальность 08.00.13 - математические и инструментальные методы экономики
АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата экономических наук
1 7 МАЙ 2012
Пермь 2012
005043316
Работа выполнена на кафедре прикладной математики ФГБОУ ВПО «Пермский национальный исследовательский политехнический университет» (ПНИПУ)
Научный руководитель:
Официальные оппоненты:
доктор технических наук, профессор
Первадчук Владимир Павлович
доктор физико-математических наук ООО «Информационные бизнес системы Пермь», генеральный директор
Румянцев Александр Николаевич
Ведущая организация:
доктор экономических наук, ФГБОУ ВПО «Пермский национальный исследовательский политехнический университет», профессор
Долгова Елена Владимировна
ФГБОУ ВПО «Ижевский государственный технический университет», г. Ижевск
Защита состоится «28» мая 2012 года в 10 часов на заседании диссертационного совета ДМ 212.189.07 при ФГБОУ ВПО «Пермский государственный национальный исследовательский университет» по адресу: 614990, г. Пермь, ул. Букирева, 15, 1 корпус, зал заседаний Ученого совета.
С диссертацией можно ознакомиться в библиотеке ФГБОУ ВПО «Пермский государственный национальный исследовательский университет». Автореферат размещен на официальном сайте ВАК Министерства образования и науки РФ: http://vak.ed.gov.ru/ и на сайте Пермского государственного национального исследовательского университета www.psu.ru
Автореферат разослан 27 апреля 2012 года.
Ученый секретарь диссертационного совета, доктор экономических наук, доцент
С-
" Т.В. Миролюбова
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность темы исследования. Информационная безопасность сегодня требует пристального внимания со стороны руководства, поскольку на многих предприятиях внедрены или планируются к внедрению системы автоматизации, компьютерного учета и автоматизированного планирования - все они имеют дело с базами данных, информацией, собранной централизованно и представляющей собой удобную мишень для злоумышленников. Но защита информации — это сложная и затратная задача. Помимо высоких инвестиций, необходимо решить противоречие между доступностью информационных ресурсов, то есть их удобством — одним из основных преимуществ информатизации - и необходимой степенью конфиденциальности.
Сегодня анализ рисков информационной безопасности является неотъемлемым элементом целостного обеспечения информационной безопасности. Федеральный закон № 152 «О персональных данных» признает данную процедуру обязательной для всех операторов персональных данных, а поскольку современное предприятие неразрывно связано с информационными технологиями, то можно сказать, что эта процедура обязательна для любого предприятия. Анализ рисков также обязателен в соответствии со стандартами ISO 27001 (ГОСТ Р ИСО/МЭК 27001) и NIST 800.
Информация является одним из наиболее ценных активов современного предприятия и ее защите уделяется порой немало внимания и средств. Но сколько инвестиций в информационную безопасность достаточно для обеспечения надежной защиты? Ответ на данный вопрос возможен лишь в том случае, если анализ рисков неразрывен с прогнозом, причем риски прогнозируются с учетом планируемых к внедрению средств защиты.
Исследования и результаты работ по этому направлению зачастую являются коммерческой тайной крупнейших современных предприятий. Однако доступные исследования, как, впрочем, и сам факт защиты информации о методиках оценки информационной безопасности, указывают на актуальность исследований в данной области.
Степень научной разработанности темы. Рождением математического аппарата нечетких множеств можно считать публикацию статьи Лотфи Заде «Fuzzy Sets» в 1965 г. в журнале Information and Control.
Развитие нечетко-множественного подхода рассматривается в трудах отечественных и зарубежных авторов: А.Н. Аверкина, Р.А.
Алиева, А.Е. Алтунина, А.Н. Борисова, М.П. Власова, С. Готвальда, Д. Дюбуа, Дж. Клира, А. Кофмана, А.И. Орлова, Д.А. Поспелова, X. Циммермана, где исследуются методы оптимизации и принятия решений в условиях неопределенности.
Нечетко-множественный аппарат в применении к задачам экономики и инвестирования рассматриваются в работах следующих иностранных и отечественных исследователей: Дж. Бакли, Дж. Бояджиева, А.О. Недосекина, Б.Б. Оразбаева, A.C. Птускина П.В. Севастьянова, A.M. Хил Лафуэнте, и других.
Оценка рисков информационной безопасности и методика оценки эффективности инвестирования в средства защиты нашли отражение в трудах ряда зарубежных авторов, таких как С. Вей, Дж. Гарибальди, И. Коскосас, М. Кремонини, А. Мицци, В. Соненрейх, С. Ху, Дж. Н. Шин, Г. Шрайен и других; кроме того, в отечественной литературе в трудах P.M. Алгулиева, А.Н. Атаманова, П.А. Балашова, П.М. Деревянко, В.И. Завгородного, H.A. Королевой, A.C. Мизнова, В.М. Нечунаева, Э.Р. Рагимова, А.Ф. Чипига и других.
Анализ фундаментальных трудов и периодической литературы по данной тематике позволяет сделать вывод о необходимости проведения дальнейших теоретических и практических исследований в области оценки эффективности инвестирования в информационную безопасность с применением аппарата нечетких множеств.
Большинство исследователей не акцентируют внимание на специфике неопределенности начальных условий при постановке подобных задач и не учитывают данную неопределенность при моделировании, в результате чего отсутствует комплексный подход к решению задач оценки эффективности инвестирования в информационную безопасность предприятия. Поэтому, данная диссертационная работа посвящена комплексной оценке эффективности инвестирования в информационную безопасность предприятия.
Целью диссертационного исследования является разработка теоретических и методических основ оценки эффективности инвестирования в информационную безопасность предприятия.
Данная цель исследования предопределила постановку и последовательное решение следующих взаимосвязанных задач:
1. Определить возможности применения методов теории нечетких множеств для моделирования системы оценки эффективности инвестирования в информационную безопасность;
2. Проанализировать исторические методы оценки эффективности инвестирования в информационную безопасность предприятия в условиях неопределенности и риска;
3. Классифицировать угрозы информационной безопасности предприятия, и разработать теоретическую модель реализации угроз;
4. Разработать метод оценки начальных условий с учетом теории нечетких множеств;
5. Разработать модель оценки эффективности инвестирования в информационную безопасность предприятия.
6. Алгоритмизировать модель оценки эффективности инвестирования в информационную безопасность предприятия;
7. Провести апробацию данной модели в условиях реального предприятия.
Объектом исследования является информационная безопасность предприятия, связанные с ней информационные активы предприятия и средства их защиты.
Предметом исследования является построение модели и алгоритма оценки эффективности инвестирования в информационную безопасность предприятия на основе теории нечетких множеств.
Область исследования соответствует паспорту специальности ВАК РФ 08.00.13 «Математические и инструментальные методы экономики» по следующим пунктам:
1.4. «Разработка и исследование моделей и математических методов анализа микроэкономических процессов и систем: отраслей народного хозяйства, фирм и предприятий, домашних хозяйств, рынков, механизмов формирования спроса и потребления, способов количественной оценки предпринимательских рисков и обоснования инвестиционных решений»
2.11. «Развитие экономических методов обеспечения информационной безопасности в социально-экономических системах»
Теоретической и методологической основой являются труды зарубежных и отечественных ученых, посвященные применению методов теории нечетких множеств для оценки эффективности инвестирования. Математический аппарат исследования основан на теории нечетких множеств и финансовом анализе. В процессе диссертационного исследования использовались методы анализа и синтеза, гипотетико-дедуктивные и индуктивные методы научного познания.
Практические расчеты в рамках настоящего исследования производились с использованием таких прикладных программных средств как MS Excel, Microsoft Visual Studio (C#), ARIS.
Информационную базу исследования составили открытые статистические данные, связанные с информационной безопасностью.
Наиболее существенными результатами, полученными лично автором, имеющими научную новизну и выносимыми на защиту, являются:
1. Классифицированы угрозы информационной безопасности предприятия и предложена модель выявления угроз, позволяющая найти базовые элементы начальных условий математической модели оценки инвестиций в информационную безопасность.
2. Впервые предложена математическая модель оценки инвестиций в информационную безопасность организации, основанная на расчете чистой приведенной стоимости с применением теории нечетких множеств.
3. Разработан новый метод оценки зависимости конфиденциальности и доступности информационных систем.
4. Разработан модифицированный метод оценки окупаемости инвестиций в информационную безопасность, расширяющий предложенную модель.
Теоретическая значимость результатов состоит том, что в диссертационной работе получила развитие концепция описания рисков информационной безопасности предприятия с применением теории нечетких множеств.
Практическая значимость результатов заключается в разработке математической модели, которая может быть использована в процессе управления финансовыми активами предприятия, в частности принятия инвестиционных решений об информационной безопасности.
Апробация результатов исследования. Основные положения и результаты исследования докладывались на 6-ой международной научно-практической конференции «Наука и социальные проблемы общества: информатизация и информационные технологии» (Харьков, 2011), Х1У-Й Международной научно-технической конференции «Информационно-вычислительные технологии и их приложения» (Пенза, 2011), У-й Международной научной заочной конференции «Отраслевые аспекты экономики, управления, права» (Москва, 2012) , на семинаре Лаборатории конструктивных методов исследования динамических моделей (г. Пермь, ПГНИУ, 2011 г.).
Предложенные в диссертации алгоритмы и модели используются на ОАО «Пермская научно-производственная приборостроительная компания» (г. Пермь) для поддержки принятия решений при инвестировании в информационную безопасность.
Внедрение результатов исследования в указанной организации подтверждено соответствующими документами.
Публикации. По теме диссертации автором опубликовано восемь работ общим объемом 2,8 п. л. (2,45 авт.), в том числе две работы в изданиях, рекомендованных ВАК для публикации результатов диссертации (0,7 п. л., в т.ч. 0,35 авт.).
Объем и структура диссертационной работы. Работа изложена на 130 страницах машинописного текста. Основные результаты исследования проиллюстрированы в 26 таблицах и на 28 рисунках. Список использованной литературы составляет 89 наименований.
Структура диссертации обусловлена целью, задачами и логикой исследования. Работа состоит из введения, четырех глав, заключения, списка использованной литературы и приложений.
Во введении обосновывается актуальность темы, производится постановка цели и задач научного исследования, освещаются наиболее существенные достижения, и приводится новизна полученных результатов.
В первой главе «Современные методы оценки эффективности инвестирования в информационную безопасность» рассматриваются существующие методы и подходы к оценке финансовых рисков и рисков информационной безопасности в частности, проводится их классификация, определяются предпосылки для использования нечетких множеств к описанию неопределенности.
Во второй главе «Проблемы разработки математических моделей экономики информационной безопасности» предлагается модифицированная методика построения информационной модели угроз и приводится стратегия управления информационной безопасностью предприятия.
В третьей главе «Нечетко-множественная математическая модель оценки инвестирования в информационную безопасность» предлагается новая модель оценки эффективности инвестирования в информационную безопасность предприятия на основе нечетких множеств, исследуется российский и региональный рынки информационной безопасности для определения начальных условий.
В четвертой главе «Расширение нечетко-множественной оценки инвестиций в информационную безопасность» выдвигается гипотеза о взаимосвязи доступности и конфиденциальности информационных систем и предлагается расширение модели, предложенной в третьей главе для учета данной зависимости, предложено нечетко-множественное описание окупаемости инвестиций в информационную безопасность и окупаемости атаки информационной системы.
В заключении содержатся основные результаты и выводы диссертационного исследования, оценка практического значения работы.
В списке используемой литературы приведены основные источники, использованные при написании диссертации.
Приложение включает исходный код программного продукта, используемого в расчетах по данной работе.
ОСНОВНЫЕ ПОЛОЖЕНИЯ И РЕЗУЛЬТАТЫ
ИССЛЕДОВАНИЯ, ВЫНОСИМЫЕ НА ЗАЩИТУ
1. Классифицированы угрозы информационной
безопасности предприятия и создана модель реализации этих угроз, позволяющая найти базовые элементы начальных условий математической модели оценки инвестиций в информационную безопасность.
Угроза - серия событий, которая может нанести урон системе, скомпрометировав конфиденциальность, целостность или доступность информации, находящейся в данной системе.
Также как и безопасность, средства защиты должны восприниматься в контексте. Когда мы рассматриваем вопрос о внедрении очередного средства защиты (СЗ), то скорее всего будем размышлять насчет того, против какой угрозы направлено данное СЗ. Именно поэтому процесс должен начинаться с описания серии событий, который могут повлечь за собой нежелательные последствия, которые мы хотим предотвратить. В литературе об оценке рисков информационной безопасности, понятие «угроза» относится, как правило, не к ее источнику, но к серии событий, начинающейся от источника («источника угрозы»). Мы также будем понимать под угрозами именно серии событий, которые могут нанести урон системе.
Моделирование и классификацию источников угроз и их проявлений целесообразно проводить на основе взаимодействия логической цепочки:
источники угроз — уязвимости — реализация угроз -последствия
Данная событийная цепочка состоит из элементов, которые необходимо выявить для полного описания угрозы.
Источники угроз - это носители угроз, то есть носители намерения компрометации информационной безопасности. Их можно условно подразделить на антропогенные, стихийные и техногенные.
Уязвимости - это изъяны в информационной безопасности.
Реализация угроз — это методы компрометации уязвимостей информационной безопасности.
Последствия - это ущерб предприятию от реализации угроз.
В работе предлагается классифицировать угрозы, в зависимости того, на какую категорию информационной безопасности они оказывают воздействие:
о Угрозы конфиденциальности; в Угрозы целостности; в Угрозы доступности.
Выявление угроз — субъективный процесс и зависит от специфики информационной системы. Как правило, необходимо нахождение базовых угроз, которым подвержена система. Далее, базовые угрозы должны быть декомпозированы на различные сценарии реализации угроз, которые можно подразделить на способы атаки, мотивы, типу источника, целевому активу и т.д. С каждой итерацией формируются новые сценарии, и таким образом производится построение дерева угроз с базовыми угрозами в корне, и угрозами-деривативами в производных узлах. Данный процесс повторяется и строится разветвленное дерево угроз.
1>азопая угрозе
31
Угроза-, леринашв 1
1 - Угроза- ', деритатип 2
У1роза-дериватив 3.
(><) Исключающее ИЛИ (\/)'. ИЛИ (/\). И
Угроза-дериватив'3.1
Уг рою-дерикапш 3,2
У|рою-дсрипатпв4 ■
У17>оза-дериватив 3,3.
Рис. 1. Дерево угроз и логика ветвления На рисунке 1 представлен пример дерева угроз в виде связного ациклического графа. Каждый узел представляет собой базовую угрозу для своих дочерних узлов. Как правило, мы считаем, что если реализовалась хотя бы одна угроза из ветвей дерева, то реализовались все «родительские» угрозы, то есть те узлы, на основании которых производилось ветвление. На рисунке представлено дерево по пути базовая угроза - 3 - 3.1-3.3, но ветвление может быть осуществлено по любому другому пути. Отметим также, что для оценки риска мы должны определить для каждого узла вероятность реализации угрозы и количественные последствия данной реализации.
Однако, также возможны ситуации, когда для реализации родительской угрозы необходима реализация всех дочерних. В таком случае мы можем обозначать угрозу, как показано на примере узла 3.3. В общем случае мы можем использовать логику «И», «ИЛИ», «исключающее ИЛИ» для описания ветвления.
Если рассматривать данный граф в рамках методологии моделирования ARIS, то каждый его узел является также «функцией» информационной системы. Это означает, что мы можем декомпозировать данную угрозу, используя весь инструментарий ARIS, в том числе используя тип диаграммы «Расширенная событийная цепочка» (Extended Event-driven process chain). Это позволит рассмотреть основные угрозы с необходимой степенью детализации, содержащей не только угрозы-деривативы, но и другие связанные с угрозой объекты, которые необходимы для ее количественной оценки и адресации. Кроме того, использование данной методологии моделирования позволяет легче находить общий язык с лицами, принимающими решения, поскольку эта методология зачастую применяется при моделировании бизнес-процесса (в этом смысле мы рассматриваем сценарий реализации угрозы, как нежелательный бизнес-процесс или как элемент бизнес-процесса). Данные деревья могут быть разбиты на части и использованы для различных систем при последующем анализе.
Отметим, что узлы приложения СЗ - зачастую являются предметом споров. Одной из проблем в данном случае является тот факт, что внедренные СЗ сами являются носителями уязвимостей, а, следовательно, расширяют уже построенное дерево. Считается, что приложение СЗ до завершения анализа — плохая практика, поскольку анализ лишь усложняется. Нам необходимо помнить, что закрывая один сценарий с помощью СЗ, мы привносим новые,- тем не менее, как правило, при этом вероятность компрометации системы в целом снижается, то есть реализация угроз становится менее вероятной.
2. Впервые предложена математическая модель оценки инвестиций в информационную безопасность организации, основанная на расчете чистой приведенной стоимости с применением теории нечетких множеств.
Если организация взвешивает целесообразность реализации того или иного проекта, то, в простейшем случае она может рассчитать чистую приведенную стоимость NPV прибыли и затрат, которые принесет проект и сравнит их. Другими словами, прибыль от инвестиций должна превосходить затраты, а уровень доходности компания устанавливает самостоятельно.
ROI = NPV,~NPVc
Точно такой же базовый подход может быть применен и для расчета целесообразности инвестиций в информационную безопасность. Основное отличие при оценке инвестиций в средства безопасности заключается в том, что они никогда не приносят прибыль (возможно, косвенно), а лишь предотвращают гипотетические затраты. Таким образом, любые средства защиты должны предотвратить затрат на большую сумму, чем средства, затраченные на их внедрение, что и будет говорить о рентабельности инвестиций в средства защиты (ROSÍ).
ROSI = NP Vu - NP Vm (1)
Где NPVU - затраты на устранение компрометации безопасности без внедренных средств защиты
NPVm - затраты на устранение компрометации безопасности с внедренными средствами защиты
При этом чистая приведенная стоимость (NPV) будет рассчитываться следующим образом
mO+j-J /=i(i + r)
где N - число интервалов инвестирования; ALE¡ — ожидаемые потери в / -периоде (см. далее); г — ставка дисконтирования; /0- стоимость средств защиты.
Также можно учитывать ликвидационную стоимость средств защиты (С), приобретенных в процессе инвестирования.
,=l(l+r) (1+/-J Риски вычисляются оценкой вероятности реализации предполагаемого события и взвешиванием последствий такого хода событий. Таким образом, риск определяется как множество упорядоченных пар последствий (О) и их вероятностей их реализации (L).
Risk^{{Ll,Ox),...,{L,,Oi\...,{LrnOn)} К сожалению, эта модель не позволяет различить часто реализующиеся события с последствием малой стоимости и редкие события с последствиями высокой стоимости.
При оценке риска информационной безопасности, применяется методика расчета Annual loss expectancy - ALE, то есть ожидаемых потерь в каждый период оценки.
ALE^lipfc , /=i
где {О} - множество угроз;
I(O) — стоимостные последствия реализации угрозы;
F - частота (возможность) реализации угрозы;
ALE - ожидаемый урон от реализации.
Полный ALE для организации - это сумма всех ALEk, являющихся результатом каждого сценария реализации угроз.
Изначально эта модель была не лишена недостатков. Во-первых, предполагалась генерация всевозможных событийных сценариев, для каждого из которых производился расчет ALE, а это задача невероятной величины. Модели на основе ALE фокусировались на максимально возможной детализации, а не на эффективности описания моделируемого объекта. Второй изъян лежит в бинарном взгляде на безопасность. Полагалось, что все количественные значения могут быть вычислены исключительно точно. Последний существенный недостаток - это зависимость модели от информации, которой явно недостаточно. Модель хороша лишь тогда, когда хорошая информация лежит в ее основе.
В случае статистической оценки F и i (О), данный показатель прогнозирует будущие убытки с достаточной степенью достоверности, однако в случае информационной безопасности исследователь не может гарантировать статичность начальных условий, поскольку угрозы эволюционируют с каждой последующей итерацией. Даже в том случае, если бы мы могли закрыть глаза на данный фактор, то перед нами встала бы проблема отсутствия (или недостаточного количества) исторических данных по реализации угроз. Поэтому, начальные условия целесообразно представлять в виде нечетких чисел, поскольку они позволяют агрегировать различные источники данных и описывать неизбежную в случае информационной безопасности неопределенность.
Из (1) видно, что перед нами стоит задача сравнения NPVU и
NPVm . В случае, если NPVU > NPV„, - инвестиции эффективны.
В первой главе диссертационной работы было показано, что если NPV задана треугольным нечетким числом, то эффективность инвестиций:
I а, 1
V&M = j ср(а)с/а = | ср(а)сЛх + J tp(a)¿a , где (2)
О О а,
ф(а) =-2-
(NPVu2-NPVul)x(NPVm2-NPVm,y
Sa - здесь площадь фигуры, образованная на пересечении нечетких чисел NPVu и NPVm .
ALE будет рассчитано следующим образом:
/1¿£* = ¿ (я, )о0 (В, )П [О - Ef [В,, Sj )lk {S, ))(l - Elt (д,, Sj )/, (5, ))]J (3)
где, b¡ - угрозы i=l,n. Например, кража информации, уничтожение информации;
Sj - средства защиты/=1,т;
рк - выбор политики безопасности &=0Д;
í(Sj) - бинарная функция, отражающее наличие в рк;
га (В,) - начальная оценка частоты реализации в,;
О0 (й,) - начальная оценка урона от реализации угрозы b¡ ;
Ef(B,,Si) - снижение частоты (возможности) реализации в, в случае внедрения Sj;
Et/ (В,, Sj) - снижение последствий от в, в случае внедрения
C(S¿) - стоимость внедрения 5,.
Отход от перебора сценариев предлагается осуществить с помощью описания небольшого перечная политик, определяющих тот или иной выбор СЗ. Другими словами, мы рассмотрим лишь несколько наборов средств защиты. После этого мы рассчитаем эффективность внедрения каждого из таких наборов по формуле (1).
При управлении рисками возможно решение не только об их уменьшении, но и о передаче, то есть переносе их на стороннюю организацию, как правило, страховую. Это означает, что критерием эффективности будет сравнение не двух нечетких чисел, как в случае решения инвестиций в средства защиты, а нечеткого числа («статус-кво») и действительного числа (стоимость страхования). В данном случае речь идет о частном случае предложенной модели.
Итак, нами была построена модель оценки эффективности инвестирования в информационную безопасность. В основе ее лежит сравнение чистой приведенной стоимости затрат на устранение последствий реализации угроз (например, вирусной атаки) при внедренных средствах защиты и без них. Неопределенность моделируется с помощью нечетких множеств и методики ALE.
3. Разработан новый метод оценки зависимости конфиденциальности и доступности информационных систем.
Изменение конфиденциальности системы характеризуется показателями ЕДЯ,,Я,) и £¿(£,,5,), точнее как их комбинация для
всех средств защиты в данной политике ИБ:
к=п((' - Ф^МФ - (4)
Конфликт конфиденциальности и доступности позволяет предположить, что данные характеристики находятся в зависимости друг от друга. Например, использование блокировки экрана, отнимает у сотрудника как минимум тридцать секунд рабочего времени на разблокировку. Более того, необходимость регулярной замены пароля и связанные с этим неудобства, влечет еще большие последствия, которые можно легко выразить в рабочих часах. Другим примером может служить конфликт антивирусного программного обеспечения и межсетевого экрана, который может привести не только к простою ИС, но и к ее полному отказу. Кроме того, в случае возникновения подобного конфликта, в ИС возможны изменения доступности, которые могут повлечь за собой полную перенастройку всей ИС. В каждом случае мы имеем дело с изменениями доступности, которые приводят к вполне ощутимым материальным затратам.
Итак, увеличение конфиденциальности приводит к снижению доступности, причем небольшой прирост защищенности может повлечь за собой значительное снижение доступности. Заметим, что нельзя рассматривать снижение доступности как один из рисков ИБ (как угрозу), поскольку данный фактор не только противопоставлен конфиденциальности по определению, но и «реагирует» на внедрение средств защиты иначе. Эта идея отражена на рисунке 2. к .................................................................
/ область /пластичности ИС
/
/ область
эластичности
(; снижение доступности 1
Рис. 2. Зависимость конфиденциальности и доступности
Область эластичности - характеризуется тем, что ИС возвращается в исходное состояние после замены или свертывания средств защиты. Область пластичности - это зона необратимых изменений в ИС. Доступность не возвращается в исходное состояние даже после свертывания ИС. Отказ - точка необратимого конфликта внедряемых средств защиты или внедряемого средства защиты и ИС, который приводит к недоступности ИС.
Отметим, что данная модель также может быть использована для описания зависимости последствий атаки ИС и ее доступностью — в случае «эластичной» атаки ИС возвращается в исходное состояние после устранения угрозы, в случае «пластичной» атаки ИС деформируется и после устранения угрозы имеет остаточное снижение доступности (то есть не равное исходному состоянию).
Мы можем предположить, что снижение можно выразить как m-f(K). Однако необходима экспериментальная проверка для установления закономерности. В частном случае мы можем применить экспертные оценки. Коэффициент от в конечном счете должен отражать снижение доступности как стоимостную оценка простоя системы. В случае полного отказа системы т = \, предприятие будет вынуждено понести потери равные полной стоимости ИС. Заметим, что варианты конфигурации защитных систем, приводящих к отказу ИС должны рассматриваться как некие экстремальные случаи. Как правило, снижение доступности не приведет к столь серьезным последствиям и будет оставаться в зоне эластичности. Скорректируем расчет ALE:
Здесь 5 - стоимость ИС, которые являются объектами внедрения средств защиты.
Средства защиты могут быть частью единственной ИС или же влиять на доступность сразу нескольких ИС (связь «один ко многим», см. рис. 3), в таком случае данная связь должна найти отражение в величине 5. Отметим, что доступность также может рассчитываться с учетом вероятности, однако это возможно лишь при наличии данных об устойчивости ИС в случае внедрения того или иного набора средств защиты.
п
/
Рис. 3. Отношение средств защиты и информационных систем
4. Разработан модифицированный метод оценки
окупаемости инвестиций в информационную безопасность, расширяющий предложенную модель.
Описывая нечетко-множественную модель оценки инвестиций в ИБ мы говорили, что любые средства защиты должны предотвратить затрат на большую сумму, чем средства, затраченные на их внедрение, что и будет говорить об окупаемости инвестиций в средства защиты
В данном случае мы утрировали понятие коэффициента, так как он описывал лишь идеологическую основу модели. Определим теперь ROI, как отношение доходов от внедрения средств защиты к затратам на их внедрение. Отметим, что доходы могут и должны включать прибыль от возможностей, которые получает предприятие, внедрив новые средства защиты. Предприятие не смогло бы воспользоваться данными возможностями, не инвестировав в информационную безопасность. Например, электронная коммерция невозможна без использования шифрования. Таким образом, расчитаем ROI как:
В В, + Bv
ROI = - = -±--
С С
ALEq - ALEk + Bv С
(6)
где В - все доходы, полученные предприятием в результате внедрения средств защиты;
С - все затраты, которые понесло предприятие в результате внедрения средств защиты;
Д, - доходы от снижения стоимости компрометации информационной системы (т.е. ALE0 - ALEk );
Bv - доходы от новых возможностей.
ROI - это довольно распространенная метрика оценки эффективности инвестиций. Используя методику, предложенную выше, мы можем производить оценку эффективности инвестиций по данному показателю. Мы также определяем политики Рк, после чего
оцениваем ROIk относительно RO!0. Необходимость использование ROI в дополнение к NPV обусловлено тем, что, во-первых, лицам, принимающим решение необходимо рассматривать систему с нескольких точек зрения, во-вторых, показатель ROI позволяет наглядно выявить политики, позволяющие с наименьшими затратами добиваться большей «отдачи» от инвестиций.
Выводы
1. Проанализированы современные методы оценки эффективности инвестирования в информационную безопасность. Сделан вывод о целесообразности применения аппарата нечетких множеств для описания неопределенности при решении данной задачи.
2. Классифицированы угрозы информационной безопасности предприятия.
3. Предложен модифицированный способ построения дерева угроз для определения начальных условий задачи.
4. Предложена математическая модель оценки инвестирования в информационную безопасность на основе нечетких множеств.
5. Модель алгоритмизирована, положена в основу программного продукта, позволяющего принимать инвестиционные решения.
6. Выдвинута гипотеза о взаимосвязи доступности и конфиденциальности информационных систем и проиллюстрирована на примере предложенной модели.
7. Предложенная математическая модель дополнена описанием окупаемости инвестиций и окупаемости атаки информационной системы.
ПУБЛИКАЦИИ ПО ТЕМЕ ИССЛЕДОВАНИЯ
Публикации в изданиях, рекомендованных ВАК Министерства образования и науки РФ:
1. Первадчук В.П., Белецкий В.А. Оценка эффективности инвестирования в информационную безопасность предприятия на
основе нечетких множеств // Вестник Ижевского государственного технического университета. 2011. № 1 (49). - 0,3 п.л. (авт. 0,15)
2. Первадчук В.П., Белецкий В.А. Расчет эффективности инвестирования в информационную безопасность предприятия на основе нечетких множеств // Вестник Ижевского государственного технического университета. 2011. № 3. - 0,4 п.л. (авт. 0,2)
Публикации в других изданиях:
3. Белецкий В.А. Информационная безопасность предприятия. Инвестиционный климат в условиях неопределенности // Актуальные проблемы гуманитарных и естественных наук. 2011. №8(31). -0,4 п.л.
4. Белецкий В.А. Доступность и конфиденциальность информационных систем // Экономика. Управление. Право. 2011. №11(23).-0,6 пл.
5. Белецкий В.А. Рынок информационной безопасности Пермского края // Экономика. Управление. Право. 2011. №10(22). - 0,4 п.л.
6. Белецкий В.А. Алгоритм модели оценки инвестиций в информационную безопасность // Информационно-вычислительные технологии и их приложения: сборник статей XV Международной научно-технической конференции / МНИЦ ПГСХА. - Пенза: РИО ПГСХА, 2011. - 164 с. - 0,2 п.л.
7. Белецкий В.А. Нечетко-множественная оценка инвестиций в средства защиты информации // VI Международная научно-практическая конференция «Наука и социальные проблемы общества: информатизация и информационные технологии». Сборник научных трудов. - Харьков: ХНУРЭ. 2011. - 421 с. - 0,2 п.л.
8. Белецкий В.А. Модель зависимости доступности и конфиденциальности информационных систем // Сборник докладов V Международной научной заочной конференции «Отраслевые аспекты экономики, управления и права». - Москва: Издательство ИНГН, 2012. - 0,3 п.л.
Подписано в печать 24.04.2012. Формат 60x84/16 Усл. печ. л. 1,1. Тираж 130 экз. Заказ ГЪ~Ъ. Типография ПГНИУ. 614990. Пермь, ул. Букирева, 15
Диссертация: содержание автор диссертационного исследования: кандидата экономических наук, Белецкий, Владимир Александрович
ВВЕДЕНИЕ.
1. Современные методы оценки эффективности инвестирования в информационную безопасность.
1.1 Понятие информационной безопасности предприятия и модель реализации угроз.
1.2 Современные методы оценки эффективности инвестиций.
1.3. Нечетко-множественное описание неопределенности при оценке эффективности инвестиций.
1.4. Развитие научной мысли в оценке эффективности инвестирования в информационную безопасность.
1.5. Краткие выводы.
2. Проблемы разработки математических моделей экономики информационной безопасности.
2.1. Построение информационной модели угроз.
2.2. Отображение стратегии оценки рисков информационной безопасности в виде компьютерной модели.
2.3. Построение функции принадлежности на основе экспертных оценок
2.4. Краткие выводы.
3. Нечетко-множественная математическая модель оценки инвестирования в информационную безопасность.
3.1. Оценка эффективности инвестирования в информационную безопасность предприятия на основе нечетких множеств.
3.2. Российский рынок информационной безопасности. Инвестиционный климат в условиях неопределенности.
3.3. Рынок информационной безопасности Пермского края.
3.4. Расчет эффективности инвестирования в информационную безопасность предприятия на основе нечетких множеств.
3.5. Краткие выводы.
4. Расширение нечетко-множественной оценки инвестиций в информационную безопасность.
4.1. Доступность и конфиденциальность информационных систем.
4.2. Нечетко-множественная модель окупаемости инвестиций в информационную безопасность.
4.3. Модель окупаемость атаки информационной системы.
4.4. Краткие выводы.
Диссертация: введение по экономике, на тему "Оценка эффективности инвестирования в информационную безопасность предприятия на основе нечетких множеств"
Информационная безопасность сегодня требует пристального внимания со стороны руководства, поскольку на многих предприятиях внедрены или планируются к внедрению системы автоматизации, компьютерного учета и автоматизированного планирования - все они имеют дело с базами данных, информацией, собранной централизованно и представляющей собой удобную мишень для злоумышленников. Но защита информации - это сложная и затратная задача. Помимо высоких инвестиций, необходимо решить противоречие между доступностью информационных ресурсов, то есть их удобством - одним из основных преимуществ информатизации - и необходимой степенью защиты. Так как защитные меры приводят к снижению удобства использования информационных ресурсов и несут неявную и зачастую плохо вычисленную выгоду, решения в пользу безопасности принимаются лишь в случае личностного влияния сторонника защиты информации. Другим стимулом может послужить компрометация безопасности - пока угрозы не реализуются, убедить руководство инвестировать в информационную безопасность очень сложно. Но если инцидент уже случился, то строить системы безопасности, как правило, бесполезно.
Сегодня требуется количественная, оценка рисков и преимуществ, основанная на рациональных математических моделях. В данной работе предложена методика оценки эффективности инвестиций в информационную безопасность на предприятии, основанная на нечетких множествах. Актуальность темы диссертационного исследования
Актуальность работы обусловлена растущими информационными активами предприятий и автоматизацией производственных процессов. Эти факторы обуславливают необходимость принятия решений об инвестировании в информационную безопасность в условиях неопределенности.
Зачастую решения в данном случае принимаются без достаточных сведений об угрозах из-за отсутствия статистических данных и даже информации о стоимости информационного актива, а, следовательно, и последствия компрометации информационной безопасности, известны лишь в некотором приближении. Из-за этого неизбежны экспертные оценки, добавляющие еще одну грань к неопределенности. Аппарат нечетко-множественной оценки позволяет учитывать все эти факторы при построении математической модели.
Можно сказать, что такая субъективизация неопределенности приводит нас к понятию риска. При объективно существующей неопределенности риски для каждого предприятия отличны. Именно поэтому и необходима оценка рисков.
Сегодня анализ рисков информационной безопасности является неотъемлемым элементом целостного обеспечения информационной безопасности. Федеральный закон № 152 «О персональных данных» признает данную процедуру обязательной для всех операторов персональных данных, а поскольку современное предприятие неразрывно связано с информационными технологиями, то можно сказать, что эта процедура обязательна для любого предприятия. Анализ рисков также обязателен в соответствии со стандартами ISO 27001 (ГОСТ Р ИСО/МЭК 27001) и NIST 800.
Информация является одним из наиболее ценных активов современного предприятия и ее защите уделяется порой немало внимания и средств. Но сколько инвестиций в информационную безопасность достаточно для обеспечения надежной защиты? Ответ на данный вопрос возможен лишь в том случае, если анализ рисков неразрывен с прогнозом, причем риски прогнозируются с учетом планируемых к внедрению средств защиты. Безусловно, необходимы достоверные данные об активах самого предприятия и о его окружении, что и составит начальные условия при оценке эффективности инвестирования в информационную безопасность.
Хотя к настоящему времени проблема информационной безопасности не является чем-то новым, общепринятых подходов к оценке и прогнозированию рисков до сих пор не существует. Исследования и результаты работ по этому направлению зачастую являются коммерческой тайной крупнейших современных предприятий. Однако доступные исследования, как, впрочем, и сам факт защиты информации о методиках оценки информационной безопасности, указывают на актуальность исследований в данной области.
Степень разработанности проблемы
Рождением математического аппарата нечетких множеств можно считать публикацию статьи Лотфи Заде «Fuzzy Sets» в 1965 г. в журнале Information and Control.
Развитие нёчетко-множественного подхода рассматривается в трудах отечественных и зарубежных авторов: А.Н. Аверкина, Р.А. Алиева, А.Е. Алтунина, А.Н. Борисова, М.П. Власова, С. Готвальда, Д. Дюбуа, Дж. Клира, А. Кофмана, А.И. Орлова, Д.А. Поспелова, X. Циммермана, где исследуются методы оптимизации и принятия решений в условиях неопределенности.
Нечетко-множественный аппарат в применении к задачам экономики и инвестирования рассматриваются в работах следующих иностранных и отечественных исследователей: Дж. Бакли, Дж. Бояджиева, А.О. Недосекина, Б.Б. Оразбаева, А.С. Птускина П.В. Севастьянова, А.М. Хил Лафуэнте, и других.
Оценка рисков информационной безопасности и методика оценки эффективности инвестирования в средства защиты нашли отражение в трудах ряда зарубежных авторов, таких как С. Вей, Дж. Гарибальди, И. Коскосас, М. Кремонини, А. Мицци, В. Соненрейх, К. Су Ху, Дж. Н. Шин, Г. Шрайен и других; кроме того, в отечественной литературе в трудах Р.М. Алгулиева, А.Н. Атаманова, П.А. Балашова, П.М. Деревянко, В.И. Завгородного, Н.А. Королевой, А.С. Мизнова, В.М. Нечунаева, Э.Р. Рагимова, А.Ф. Чипига и других.
Анализ работ по данной тематике позволяет сделать вывод о необходимости проведения дальнейших теоретических и практических исследований в области оценки эффективности инвестирования в информационную безопасность с применением аппарата нечетких множеств.
Большинство исследователей не акцентируют внимание на специфику неопределенности начальных условий при постановке подобных задач и не учитывают данную неопределенность при моделировании, в результате чего отсутствует комплексный подход к решению задач оценки эффективности инвестирования в информационную безопасность предприятия. Поэтому, данная диссертационная работа посвящена комплексной оценке эффективности инвестирования в информационную безопасность предприятия.
Цель исследования
Целью диссертационного исследования является разработка теоретических и методологических основ оценки эффективности инвестирования в информационную безопасность предприятия.
Данная цель исследования предопределила постановку и последовательное решение следующих взаимосвязанных задач:
1. Определить возможности применения методов теории нечетких множеств для моделирования системы оценки эффективности инвестирования в информационную безопасность;
2. Проанализировать исторические методы оценки эффективности инвестирования в информационную безопасность предприятия в условиях неопределенности и риска;
3. Классифицировать угрозы информационной безопасности предприятия, и разработать теоретическую модель реализации угроз;
4. Разработать модель оценки начальных условий с учетом теории нечетких множеств;
5. Разработать модель оценки эффективности инвестирования в информационную безопасность предприятия.
6. Алгоритмизировать модель оценки эффективности инвестирования в информационную безопасность предприятия;
7. Провести апробацию данной модели в условиях реального предприятия.
Объектом исследования является информационная безопасность предприятия, связанные с ней информационные активы предприятия и средства их защиты.
Предметом исследования является построение модели и алгоритма оценки эффективности инвестирования в информационную безопасность предприятия на основе теории нечетких множеств.
Методологической и теоретической основой исследования являются труды зарубежных и отечественных ученых, посвященные применению методов теории нечетких множеств для оценки эффективности инвестирования. Математический аппарат исследования основан на теории нечетких множеств и финансовом анализе. В процессе диссертационного исследования использовались методы анализа и синтеза, гипотетико-дедуктивные и индуктивные методы научного познания.
Практические расчеты в рамках настоящего исследования производились с использованием таких прикладных программных средств как MS Excel, Microsoft Visual Studio (C#), ARIS.
Тема и содержание диссертации принадлежат к области исследований научной специальности ВАК 08.00.13 - Математические и инструментальные методы в экономике (раздел 1. «Математические методы», подраздел 1.4. «Разработка и исследование моделей и математических методов анализа микроэкономических процессов и систем: отраслей народного хозяйства, фирм и предприятий, домашних хозяйств, рынков, механизмов формирования спроса и потребления, способов количественной оценки предпринимательских рисков и обоснования инвестиционных решений», а также радел 2. «Инструментальные средства», подраздел 2.11. «Развитие экономических методов обеспечения информационной безопасности в социально-экономических системах»).
Информационная база исследования включает открытые статистические данные, связанные с информационной безопасностью.
Научная новизна диссертационной работы состоит в развитии концепции применения теории нечетких множеств для оценки эффективности инвестирования в информационную безопасность.
Научную новизу составляют следующие основные результаты, выносимые на защиту:
1. Классифицированы угрозы информационной безопасности предприятия и предложена модель выявления этих угроз, позволяющая найти базовые элементы начальных условий математической модели оценки инвестиций в информационную безопасность.
2. Впервые предложена математическая модель оценки инвестиций в информационную безопасность организации, основанная на расчете чистой приведенной стоимости с применением теории нечетких множеств.
3. Разработан новый метод оценки зависимости конфиденциальности и доступности информационных систем.
4. Разработан модифицированный метод оценки окупаемости инвестиций в информационную безопасность, расширяющий предложенную модель.
Теоретическая значимость исследования состоит том, что в диссертационной работе получила развитие концепция описания рисков информационной безопасности предприятия с применением теории нечетких множеств.
Практическая значимость исследования заключается в разработке математической модели, которая может быть использована в процессе управления финансовыми активами предприятия, в частности принятия инвестиционных решений об информационной безопасности.
Апробация результатов исследования
Основные положения и результаты исследования докладывались на 6-ой международной научно-практической конференции «Наука и социальные проблемы общества: информатизация и информационные технологии» (Харьков, 2011), Х1У-Й Международной научно-технической конференции «Информационно-вычислительные технологии и их приложения» (Пенза, 2011), У-й Международной научной заочной конференции «Отраслевые аспекты экономики, управления, права» (Москва, 2012) , на семинаре Лаборатории конструктивных методов исследования динамических моделей (г. Пермь, ПГНИУ, 2011 г.).
Предложенные в диссертации алгоритмы и методики используются на ОАО «Пермская научно-производственная приборостроительная компания» (г. Пермь) для поддержки принятия решений при инвестировании в информационную безопасность.
Публикации
Основные результаты исследования опубликованы в 8 научных работах, в том числе 5 статьях. Общий объем изданных работ составил 2,1 п. л., в том числе две работы в изданиях, рекомендованных ВАК для публикации результатов диссертации (0,7 п. л.).
Диссертация: заключение по теме "Математические и инструментальные методы экономики", Белецкий, Владимир Александрович
ЗАКЛЮЧЕНИЕ
Программные и технические средства, на которые опирается деятельность многих современных предприятий, зачастую разрабатываются и тестируются без достаточных мер обеспечения информационной безопасности. Сегодня необходима количественная оценка защищенности тех или иных информационных систем. Однако данная оценка всегда связана с неопределенностью. Даже в том случае, если мы уверены в своей оценки в данный момент, у нас отсутствуют гарантии о появлении новых угроз в будущем. Поскольку все данные об информационной безопасности так или иначе связаны с «квази» статистической информацией (зачастую данные должны быть привязаны к конкретному предприятию), или же с экспертными оценками, то описание неопределенности целесообразно осуществлять, основываясь на аппарате нечетких множеств.
Хотя безопасность вряд ли возможно будет оценить предельно точно когда-нибудь в обозримом будущем, в данной диссертационной работе показано каким образом мы можем адресовать неопределенность, опираясь лишь на разрозненные доступные данные. Однако, необходимы дальнейшие исследования - экономические модели угроз должны быть более тесно интегрированы с моделями оценки рисков безопасности, мы должны более точно определять начальные условия для этих моделей и иметь возможность отслеживания инцидентов для формирования статистики.
В данном исследовании получил дальнейшее развитие подход к оценке эффективности инвестирования в информационную безопасность предприятия, основанный на нечетких множествах. Подводя итог проделанной работы, сформулируем основные результаты исследования:
1. Проанализированы современные методы оценки эффективности инвестирования в информационную безопасность. Сделан вывод о целесообразности применения аппарата нечетких множеств для описания неопределенности при решении данной задачи.
2. Классифицированы угрозы информационной безопасности предприятия.
3. Предложен модифицированный способ построения дерева угроз для определения начальных условий задачи.
4. Предложена математическая модель оценки инвестирования в информационную безопасность на основе нечетких множеств.
5. Модель алгоритмизирована положена в основу программного продукта, позволяющего принимать инвестиционные решения.
6. Выдвинута гипотеза о взаимосвязи доступности и конфиденциальности информационных систем и проиллюстрирована на примере предложенной модели.
7. Предложенная математическая модель дополнена описанием окупаемости инвестиций и окупаемости атаки информационной системы. Автор считает, что цели исследования достигнуты, а полученные результаты свидетельствуют о значительном потенциале применения теории нечетких множеств к . оценке эффективности инвестирования в информационную безопасность. Полученные результаты полностью согласуются с целью и задачами диссертационного исследования.
Создание нового метода оценки эффективности инвестирования в средства защиты, стало возможным благодаря комплексному использованию как математического аппарата теории нечетких множеств, так и учета экономической специфики рынка информационной безопасности. Полученные результаты предлагается использовать в практической деятельности как крупных предприятий, так и инвестиционных и консалтинговых компаний. Предлагаемый метод нашел свое применение в соответствующих департаментах ОАО «Пермская научно-производственная приборостроительная компания».
Автор выражает признательность научному руководителю, доктору технических наук, профессору Владимиру Павловичу Первадчуку, за неоценимые советы и идеи, использованные при осуществлении исследования, а также руководство всем исследовательским процессом.
Автор также выражает признательность всем коллегам, наставникам, преподавателям, при осуществлении исследования оказывавшим значительную помощь, которую сложно переоценить.
Диссертация: библиография по экономике, кандидата экономических наук, Белецкий, Владимир Александрович, Пермь
1. Национальный стандарт РФ «Защита информации. Основные термины и определения» (ГОСТ Р 50922-2006)
2. Национальный стандарт РФ «Информационная технология. Практические правила управления информационной безопасностью» (ГОСТ Р ИСО/МЭК 17799—2005)
3. Национальный стандарт РФ «Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» (ГОСТ Р ИСО/МЭК 13335-1 —2006)
4. Рекомендации по стандартизации «Информационные технологии. Основные термины и определения в области технической защиты информации» (Р 50.1.053-2005)
5. Рекомендации по стандартизации «Техническая защита информации. Основные термины и определения» (Р 50.1.056-2005).
6. Государственный стандарт РФ «Аспекты безопасности. Правила включения в стандарты» (ГОСТ Р 51898-2002)
7. Найт Ф.Х. Риск, неопределенность и прибыль. М.: Дело, 2003.
8. Недосекин А.О. Нечетко-множественный анализ риска фондовых инвестиций. СПб, тип. Сезам, 2002.
9. Шарп У., Александер Г., Бейли Дж. «Инвестиции». Пер. с англ. — М.: ИНФРА-М, 1999. — 1028 с.
10. Оценка проектов в условиях неопределенности / П.М. Деревянко — Электрон, дан. — 2006. — Режим доступа:http://www.cfin.ru/finanalysis/invest/fuzzyanalysis.shtml, свободный. — Загл. с экрана.
11. П.Царев В.В. «Оценка экономической эффективности инвестиций». — СПб.: «Питер», 2004. — 464 е.: ил.
12. Бирман Г., Шмидт С. «Экономический анализ инвестиционных проектов». — М.: ЮНИТИ, 1997. — 345 с.
13. Ендовицкий Д.А. «Комплексный анализ и контроль инвестиционной деятельности: методология и практика». Под ред. проф. JI.T. Гиляровской. — М.: Финансы и статистика, 2001. — 400 е.: ил.
14. Федеральный закон «Об инвестиционной деятельности в РФ,осуществляемой в форме капитальных вложений» от 25 февраля 1999 г. №39-Ф3
15. Чернов В.А. Инвестиционная стратегия. — М.: ЮНИТИ-Дана, 2003. -158 с.
16. Кельтон В., Лоу А. Имитационное моделирование. — «Классика CS». 3-е изд. — СПб.: «Питер»; Киев: Издательская группа BHV, 2004. — 847 с.
17. Количественные методы в экономических исследованиях» / Под ред. М.В. Грачевой и др. — М.: ЮНИТИ-ДАНА, 2004. — 791 с.
18. Виленский П.Л., Лившиц В.Н., Смоляк С.А. Оценка эффективности инвестиционных проектов. Теория и практика. — М.: «Дело», 2004. — 888 с.21 .Hurwicz L. Optimality Criteria for Decision Making under Ignorance // Cowles commission papers, 1951, № 370
19. Zadeh L.A. Fuzzy Sets // Information and Control, 1965, Vol. 8, № 3, pp. 338353.
20. Степанов Л.В. Моделирование конкуренции в условиях рынка. М. : Академия Естествознания, 2009.
21. Классификация угроз информационной безопасности / Вихорев C.B. — Электрон, дан. — 2001. — Режим доступа:http://www.masters.donntu.edu.ua/2005/fVti/vorotyntsev/library/class.pdf, свободный. — Загл. с экрана.
22. Как определить источники угроз? / Вихорев C.B., Кобцев Р.Ю. — Электрон, дан. — 2001. — Режим доступа:http://citforum.ru/security/articles/threats/, свободный. — Загл. с экрана.
23. В.В.Репин, В.Г.Елиферов. Процессный подход к управлению. Моделирование бизнес-процессов. Москва: Стандарты и качество, 2004.
24. Алтунин А.Е., Семухин М.В. Модели и алгоритмы принятия решений в нечетких условиях. — Тюмень: Изд-во «ТГУ», 2000. — 352 с.
25. Дюбуа Д., Прад А. Теория возможностей. Приложения к представлению знаний в информатике. — М: «Радио и связь». 1990. — 288 е.: ил.
26. Севастьянов П.В., Севастьянов Д.П. Оценка финансовых параметров и риска инвестиций с позиций теории нечетких множеств // Надежные программы, 1997, №1, с. 10-19.
27. Кравец A.C. Природа вероятности. — М.: «Мысль», 1976. — 173 с.
28. Виленский П.Л., Лившиц В.Н., Смоляк С.А. Оценка эффективности инвестиционных проектов. Теория и практика. — М.: «Дело», 2004. — 888 с.
29. Количественные методы в экономических исследованиях / Под ред. М.В. Грачевой и др. — М.: ЮНИТИ-ДАНА, 2004. — 791 с.
30. Кофман А., Хил Алуха X. Введение теории нечетких множеств в управлении предприятиями. Пер. с исп. —Мн.: «Вышэйшая школа», 1992. —224 с.
31. Kahraman С., Ruan D., Tolga Е. Capital Budgeting Techniques Using Discounted Fuzzy versus Probabilistic Cash Flows // Information Sciences, 2002, № 142, pp. 57-76.
32. Li Calzi M. Towards a General Setting for the Fuzzy Mathematics of Finance // Fuzzy Sets and Systems, 1990, № 35, pp. 265-280.
33. Ward T.L. Discounted Fuzzy Cashflow Analysis // Proceedings of Fall Industrial Engineering Conference, 1985, pp. 476-481.
34. Вощинин А.П. Задачи анализа с неопределенными данными — интервальность и/или случайность? // Интервальная математика и распространение ограничений: Рабочие совещания. — МКВМ-2004, с. 147-158.
35. Ноо S., 'How much is enough? A risk management approach to Computer Security', 200041 .National Bureau of Standards, Guideline for Automatic Data Processing Risk Analysis, FIPS PUB 65 (Washington, DC: U.S. General Printing Office, 1979).
36. Куканова H. Современные методы и средства анализа и управления рисками информационных систем компаний. — Электрон, дан. — Режим доступа: http://www.dsec.ru/about/articles/arcompare/, свободный. — Загл. с экрана.
37. Cremonini М., Martini P., Evaluating Information Security Investments from Attackers Perspective: the Return-On-Attack (ROA) / 4th Workshop on the Economics on Information Security, 2005
38. Wei H., Frinke D. Cost-Benefit Analysis for Network Intrusion Detection Systems / CSI 28th Annual Computer Security Conference, 2001
39. Wes Sonnenreich, Return on security investment (ROSI). A practical quantitative model // Journal of Research and Practice in Information Technology, Vol. 38, No. 1, February 2006
40. Adrian Mizzi. Return on information security investment — Электрон, дан. — 2005. — Режим доступа:http://www.infosecwriters.com/textresources/pdf/ROISI.pdf, свободный. — Загл. с экрана.,
41. Ioannis V. Koskosas Ray J. Paul. Information Security Management in the Context of Goal-Setting // Risk Management, Vol. 6, No. 1 (2004), pp. 19-29
42. Мизнов А.С., Шевяхов М.Ю. Некоторые подходы к оценкеинформационных рисков с использованием нечётких множеств // Электронный журнал «Системный анализ в науке и образовании» № 1, 2010, с. 54-60
43. Чипига А.Ф., Плешенко B.C. Оценка эффективности защищённости автоматизированных систем от несанкционированного доступа // Вестник СевКавГТУ Серия «Физико-химическая», №1 (8), 2004
44. Нечунаев В.М. Оценка рисков информационной безопасности корпоративной информационной системы / Доклады ТУСУРа, № 1 (19), часть 2, 2009
45. Sheen J.N. Information Security Investment Decision-making based on Fuzzy Economics // WSEAS transactions on systems, v.9 №6, 2010
46. Guido Schryen. A Fuzzy Model for IT Security Investments // Felix C. Freiling, ed., 'Sicherheit', GI,, pp. 289-304
47. Kurt Aubuchon, Applying NPV and ROI to Security Investment Decisions — Электрон, дан. — Режим доступа:http://defaultdenyjournal.com/blog/2009/10/30/extended-article-applying-npv-and-roi-to-security-investment-decisions/, свободный. — Загл. с экрана.
48. Глобальное исследование утечек за 2010 год / Info Watch — Электрон, дан. — 2009. — Режим доступа: http://www.infowatch.ru/report/462, свободный. — Загл. с экрана.55.2008 CSI Computer Crime & Security Survey / R. Richardson, CSI Director
49. Электрон, дан. — 2009. — Режим доступа:http://i.cmpnet.com/v2.gocsi.com/pdf/CSIsurvey2008.pdf, свободный. — Загл. с экрана.
50. Hans-Jurgen Zimmermann. Fuzzy set theory—and its applications 4th ed., 2001, 544 p.
51. Gottwald, S. Universes of Fuzzy Sets and Axiomatizations of Fuzzy Set Theory. Part I: Model-Based and Axiomatic Approaches // Studia Logica 82 (2): 211-244, 2006
52. Попков В.П., Семенов В.П. Организация и финансирование инвестиций.
53. СПб.: «Питер», 2001. — 224 с.
54. Румянцева Е.Е. Новая экономическая энциклопедия . — М.: «Инфра-М», 2010. —826 с.
55. Круглов В. В., Борисов В. В. Искусственные нейронные сети. Теория и практика. М., Горячая линия - Телеком, 2001.
56. Вилкас Э. И., Майминас Е. 3. Решения: теория, информация, моделирование. М., Радио и связь, 1981
57. Кузьмин В.Б. Параметрическое отношение лингвистических значений переменных и ограничений // Модели выбора альтернатив в нечеткой среде, Рига, 1980, с.75-76
58. Ротштейн А.П. Интеллектуальные технологии идентификации — Электрон, дан. — Режим доступа:http://matlab.exponenta.ru/fuzzylogic/book5/index.php. — Загл. с экрана.
59. Штовба, С. Д. Введение в теорию нечетких множеств и нечеткую логику
60. Электрон, дан. — Режим доступа: http: // matlab.exponenta.ru / fuzzy-logic / bookl / index.php — Загл. с экрана.
61. Штовба, С. Д. Идентификация нелинейных зависимостей с помощью нечеткого логического вывода в системе MATLAB / С. Д. Штовба // Exponenta Pro: Математика в приложениях 2003. № 2. - С. 9-15.
62. Aswath Damodaran. Strategic risk taking: a framework for risk management -Pennsylvania: Wharton School Publishing, 2007
63. ISO 31000:2009, «Менеджмент рисков. Принципы и руководящие указания»
64. Астахов А. Внедрение СУИБ: как управлять рисками? — Электрон, дан.2006. — Режим доступа:http://www.cnews.ru/reviews/index.shtml72006/! 1/24/218588 1, свободный.1. Загл. с экрана.
65. Phillip J. Brooke and Richard F. Paige. Fault trees for security system design and analysis // Computers & Security, 22(3):256-264, 2003.
66. Michael Howard and David LeBlanc. Writing secure code. Microsoft Press, Redmond, Washington, 2nd edition, 2002
67. Dorothy E. Denning. The limits of formal security models. National Computer Systems Security Award Acceptance Speech, October 18, 1999.
68. Bob Blakley. An imprecise but necessary calculation // Secure Business Quarterly: Special Issue on Return on Security Investment, 1(2), Q4, 2001
69. Shawn A. Butler, P. Chalasani, Somesh Jha, Orna Raz, and Mary Shaw. The potential of portfolio analysis in guiding software decisions / In Proceedings of the First Workshop on Economics-Driven Software Engineering Research (EDSER- 1), 1999.
70. Robert V. Jacobson. What is a rational goal for security? Security Management, v. 44, №12, 2000
71. Findings from the 2011 Global State of Information Security Survey / G. Loveland, M. Lobel — Электрон, дан. — 2010. — Режим доступа: http://www.pwc.com/giss2011, свободный. — Загл. с экрана.
72. Как измерить То, О Чем Нельзя Говорить / Д. Викторов — Электрон, журн. — 2011. — Режим доступа: http://www.ibusiness.ru/10528, свободный. — Загл. с экрана.