Управление информационными рисками тема диссертации по экономике, полный текст автореферата
Автореферат- Ученая степень
- доктора экономических наук
- Автор
- Завгородний, Виктор Иванович
- Место защиты
- Москва
- Год
- 2009
- Шифр ВАК РФ
- 08.00.13
ДиссертацияАвтореферат диссертации по теме "Управление информационными рисками"
На нравах рукописи
□03490734
Завгородннй Виктор Иванович
УПРАВЛЕНИЕ ИНФОРМАЦИОННЫМИ РИСКАМИ
Специальность: 08.00.13 - Математические и инструментальные методы экономики
АВТОРЕФЕРАТ
диссертации на соискание ученой степени доктора экономических наук
2 8 ЯН В чпчд
Москва - 2009
003490734
Работа выполнена на кафедре «Информационные технологии» ФГОУ ВПО «Финансовая академия при Правительстве Российской Федерации»
Научный консультант: доктор экономических наук, профессор
Чистов Дмитрий Владимирович
Официальные оппоненты: доктор экономических наук, профессор
Емельянов Александр Анатольевич доктор экономических наук, профессор Лагоша Борис Александрович Заслуженный деятель науки РФ доктор экономических наук, профессор Чеботарёв Станислав Стефанович
Ведущая организация: Федеральное государственное уни-
тарное предприятие «Российский научно-технический центр информации по стандартизации, метрологии и оценке соответствия»
Защита состоится « 24 » февраля 2010 г. в 10-00 на заседании совета по защите докторских и кандидатских диссертаций Д 505.001.03 при ФГОУ ВПО «Финансовая академия при Правительстве Российской Федерации» по адресу: 125993, Москва, Ленинградский проспект, д. 55, аудитория 213.
С диссертацией можно ознакомиться в диссертационном зале библиотеч-но-информационного комплекса ФГОУ ВПО «Финансовая академия при Правительстве Российской Федерации» по адресу: 125993, Москва, Ленинградский проспект, д. 49, комн. 203.
Автореферат разослан « 19 » января 2010 года и размещен на официальном сайте Высшей аттестационной комиссии Министерства образования и науки Российской Федерации http://vak.ed.gov.ru.
Ученый секретарь совета Д 505.001.03, кандидат экономических наук, доцент
О.Ю. Городецкая
1. Общая характеристика работы
Актуальность избранной темы. Процесс повсеместного внедрения новых информационных технологий в бизнес-процессы предприятий является одним из основных факторов существенного повышения эффективности современной экономики. Информатизация экономики требует значительных инвестиций в информационную сферу. По данным исследовательской фирмы International data corporation,1 мировые расходы на информационные технологии в 2009 году даже в условиях экономического кризиса составят 1,8 триллиона долларов.
Возрастание значения информации и информационных технологий для каждого предприятия сопровождается усложнением задач управления информационной сферой. Важнейшими из них являются рациональное использование инвестиций в информационные технологии и снижение рисков, связанных с информационными процессами предприятия. В современной научной литературе, в национальных и международных стандартах уделяется большое внимание проблемам управления рисками, связанными с использованием информации в деятельности предприятий. Вместе с тем остается нерешенным целый ряд проблем.
Главная из них - отсутствие методологий управления информационными рисками предприятий, обеспечивающих системный подход к управлению информационной сферой предприятия, ориентированных на достижение конечного результата бизнес-процессов, согласованное использование методов и моделей.
Как правило, проблемы управления качеством и безопасностью информации не интегрируются в единую проблему управления информационной сферой предприятия, с едиными показателями качества и эффективности, ориентированными на конечные результаты деятельности предприятия. Под управлением информационными рисками понимается только процесс обеспечения безопасности информации. Такой подход затрудняет создание методического аппарата комплексного решения задачи обеспечения качества и безопасности информации, ведет к снижению эффективности управления рисками всей информационной сферы предприятия.
Недооценка важности комплексного подхода к управлению информационными рисками не позволяет установить взаимосвязи информационных и экономических рисков, сказывается на организационном и технологическом уровнях управления информационными рисками. Управлением занимаются, в основном, специалисты отделов информационной безопасности и отделов информационных технологий. Существующие организационные структуры предприятий и технологии управления не позволяют использовать в полной мере возможности руководства и менеджмента различных уровней в процессе управления информационными рисками.
Степень разработанности проблемы. Различные аспекты управления информационными рисками нашли отражение в работах отечественных и зарубежных ученых. Проблемы, связанные с экономическими рисками, исследова-
1 http://www.idc.com
ны в работах многих ученых, среди которых Балабанов И.Т., Бернстайн П., Бланк И.А., Блек Ф., Дункан Р., Ильенкова Н.Д., Красс М.С., Лаврушин О.И., Лагоша Б.А., Лиис Ф., Луман Н., Маркович Г., Мертон Р., Мильнер Б., Найт Ф.Х., Салин В.Н, Самуэльсон П., Сенчагов В.К., Фомичев А.Н., Чеботарев С.С., Шоулс М. Учеными разработаны общие закономерности и принципы управления экономическими рисками, проведен анализ, классификация и систематизация рисков, а также даются научно-методические и практические рекомендации по управлению рисками в различных областях экономики. Вместе с тем информационные риски как разновидность экономических рисков рассматриваются лишь в работах отдельных ученых. Результатом такого подхода является недооценка важности управления информационными рисками и экономических методов управления информационными рисками.
Современная информатика является теоретическим базисом построения информационных систем, обеспечения качества и безопасности информации. Основы информатики заложили следующие выдающиеся ученые: Берг А.И., Винер Н., Глушков В.М., Ершов А.П., Канторович Л. В., Келдыш М.В., Колмогоров А. Н., Лебедев С.А., Ляпунов A.A., Марчук Г.И., Мочли Д.У., Джон фон Нейман, Семенихин B.C., Соболев СЛ., Трапезников В.А., Экерт Д.П. и другие.
Методологической базой исследования сложных систем, к которым относятся информационные системы, является теория систем и системный анализ. Наибольший вклад в развитие этого научного направления внесли Акофф Р., Берталанфи Л., Волкова В.Н., Денисов A.A., Дрогобыцкий И.Н., Емельянов A.A., Клейнер Г.Б., Макол P.E., Месарович М., Оптнер С., Перегудов Ф.И., Поспелов Д.А., Прангишвили И.В., Черняк Ю.И., Черчмен У. и другие. Методы и нотации структурного системного анализа, а также поддерживающие их CASE-системы представлены в трудах Буча Г., Гейна К., Йордана Э., Каляно-ва Г.Н., Росса Д., Сарсона Т., Шеера А.-В., Якобсона И. и др.
Проблемы оценки качества информации и надежности аппаратных и программных средств рассматриваются в трудах Байхельта Ф., Герасименко В. А., Липаева В.В., Майерса Г., Ушакова И.А., Франкена П., Ясина Е.Г. и др.
Математические методы, модели и инструментарий анализа и оценки рисков представлены в работах Емельянова A.A., Костогрызова А.И., Кульбы В.В., Степанова П.В., Хрусталева Е.Ю. и многих других.
Тематика обеспечения информационной безопасности нашла отражение в работах таких ученых как Бородакий Ю.В., Галатенко В.А., Герасименко В.А., Грушо A.A., Зегжда П.Д., Кастельс М., Конявский В.А., Мафтик С., Мун С., Петренко С.А., Росс Г.В., Стенг Д.И., Тимонина Е.Е., Хоффман Л.Дж., Щербаков А.Ю. и др.
В настоящее время теория и практика создания аппаратно-программных средств и технологий их применения успешно развиваются. Сложнее решаются вопросы, связанные с обеспечением качества первичной информации, формальным представлением и оценкой эффективности взаимодействия человека с техническими системами. Не решена задача интегральной оценки влияния качества и безопасности информации на развитие других экономических рисков, на конечные результаты деятельности предприятий.
В последние годы особую остроту приобрели проблемы обеспечения безопасности информации. Этим и объясняется внимание к вопросам информационной безопасности со стороны отечественных и зарубежных ученых и специалистов. Наибольшее внимание ученые уделяют развитию механизмов обеспечения информационной безопасности, основанных на использовании аппаратных, программных и криптографических средств защиты. Следует также отметить отдельные исследования в области теории построения систем защиты информации, создания методического и инструментального аппарата анализа отдельных рисков. В то же время не развита методология оценки безопасности информации с позиций достижения конечных целей бизнеса и применения экономических методов управления информационными рисками.
Пока еще не создана концепция управления информационными рисками, в которой бы с системных позиций рассматривались все составляющие качества и безопасности информации, влияющие на эффективность ее использования в бизнес-процессах.
Существующие методы и средства анализа информационных рисков не объединены в рамках единой методологии, и могут применяться, как правило, только для исследования отдельных вопросов безопасности и качества информации. Не уделяется должного внимания использованию методов мягких вычислений для решения проблем анализа и синтеза систем управления информационными рисками.
В целом можно сделать вывод об актуальности и недостаточной степени разработанности проблемы управления информационными рисками на теоретическом, методологическом и методическом уровнях, что и обусловило выбор темы настоящего исследования и определило его цели и задачи.
Целью диссертационной работы является решение научной проблемы развития методологии управления информационными рисками.
В рамках поставленной цели выделено три основные подцели с соответствующими им задачами.
Подцель 1 - системное исследование основных свойств информационных рисков, определение их содержания и места среди экономических рисков.
Для достижения этой цели поставлены и решены следующие основные задачи:
- определение основного содержания информационных рисков, случайности и неопределенности;
- уточнение понятийного аппарата управления информационными рисками;
- определение взаимосвязи информационных и экономических рисков.
Подцель 2 - разработка концепции информационного риск-менеджмента.
Для достижения этой цели поставлены и решены следующие основные задачи:
- определение целей и задач информационного риск-менеджмента, обоснование структуры информационного риск-менеджмента;
- обобщение и адаптация методологии системного подхода к исследованию информационных рисков;
- определение целей, задач и стратегий управления информационными рисками, формирование методологических принципов анализа и создания систем управления информационными рисками;
- построение таксономии информационных рисков;
- классификация и характеристика механизмов управления информационными рисками предприятия.
Подцель 3 - разработка методологии управления информационными рисками.
Для достижения этой цели поставлены и решены следующие основные задачи:
- разработка методики системного анализа информационных рисков;
- разработка методов и моделей выбора механизмов управления информационными рисками и подсистем информационной системы с применением экономических методов управления;
- структуризация расходов и определение полных расходов предприятия на управление информационными рисками;
- определение эффективности затрат на управление информационными рисками.
Объект и предмет исследования. Объектом исследования является процесс управления предприятиями и организациями различных отраслей и организационно-правовых форм собственности.
Предметом исследования являются методы и модели управления информационными рисками хозяйствующих субъектов.
Теоретические и методологические основы работы. Проведенные исследования базируются на применении системного структурного анализа, теории множеств, теории нечетких множеств и нечеткой логики, теории графов, нечетких сетей Петри, генетических алгоритмов, марковских процессов, теории вероятностей, теории рисков.
В процессе исследования были проанализированы и использованы нормативные и методические документы, стандарты, специальная и периодическая литература, справочно-статистические материалы, результаты разработок отечественных и зарубежных ученых, материалы периодической печати, информация официальных веб-сайтов, материалы научных и научно-практических конференций, семинаров в области теории информации, информационных систем, информационной безопасности и риск-менеджмента.
Содержание работы соответствует основным положениям п. 1.4. Разработка и исследование моделей и математических методов анализа микроэкономических процессов и систем: отраслей народного хозяйства, фирм и предприятий, домашних хозяйств, рынков, механизмов формирования спроса и потребления, способов количественной оценки предпринимательских рисков и обоснования инвестиционных решений и п. 2.6. Развитие теоретических основ методологии и инструментария проектирования, разработки и сопровождения ин-
формационных систем субъектов экономической деятельности: методы формализованного представления предметной области, программные средства, базы данных, корпоративные хранилища данных, базы знаний, коммуникационные технологии Паспорта специальности ВАК 08.00.13 - «Математические и инструментальные методы экономики».
Научная новизна исследования заключается в разработке теоретико-методологического базиса управления информационными рисками в рамках нового научного направления - информационного риск-менеджмента.
Научную новизну содержат следующие положения работы, которые выносятся на защиту:
1) расширено представление о научной категории «информационный риск»:
- под информационным риском понимается возможность наступления случайного события в информационной сфере предприятия, оказывающего негативное влияние не только на безопасность, но и на качество управляющей информации;
- изменение представления об информационном риске позволяет рассматривать управление информационными рисками как системное управление всеми рисками, связанными с получением, обработкой, хранением, передачей и использованием информации в управлении бизнес-процессами;
2) анализ информационного риска как случайного события, позволил обосновать следующие положения:
- наряду с объективной случайностью существует субъективная случайность риска, которая вносится при использовании недостоверной, неактуальной, неполной информации в процессе управления любыми социально-экономическими или человеко-машинными системами (процессами);
- информационный риск рассматривается как мегариск в социально-экономических системах, присутствующий в виде информационной составляющей во всех рисках, в том числе и в экономических;
- понятие «управление информационными рисками» распространяется на область управления информационными рисками в условиях статистической неопределенности;
3) развиты основные теоретико-методологические положения информационного риск-менеджмента, как нового направления в риск-менеджменте:
- сформирована концепция информационного риск-менеджмента, включающая понятийный аппарат, цели, задачи, принципы управления информационными рисками и построения систем управления информационными рисками;
- разработана методика системного анализа информационных рисков, в основу которой положено представление процесса функционирования предприятия с помощью моделей потоков данных и событий. Она
включает частные методики и направлена на определение общих расходов на управление информационными рисками, которые складываются из затрат на управление рисками и суммарного ущерба от них;
- особое внимание уделяется получению и обеспечению качества входной информации, взаимодействию с внешней средой, связи информационных рисков с бизнес-процессами, изменению роли менеджмента предприятий в управлении информационными рисками;
4) предложена двухкомпонентная классификация информационных рисков, которая отличается от существующих классификаций:
- наличием индексированной схемы классификации и таблицы, обеспечивающих полноту представления характеристик рисков и удобство использования;
- возможностью автоматизированной обработки характеристик и дополнения таблицы новыми данными о результатах анализа рисков;
5) обобщены принципы построения систем управления информационными рисками и предложены новые принципы, учитывающие особенности целей и задач использования таких систем:
- анализ и создание системы управления информационными рисками (СУИР) осуществляется на основе представления информационной сферы предприятия в виде .метасистемы;
- обеспечение возможности активного воздействия информационной системы предприятия на внешнюю среду;
- создание новых информационных технологий, позволяющих специалистам и менеджерам предприятия перейти на системный уровень управления качеством и безопасностью информации;
6) разработан методический инструментарий анализа информационных рисков:
- иерархическая нечеткая модель и инструментальные средства оценки качества информационных ресурсов, основанные на применении лингвистических переменных и отличающиеся повышенной точностью и информативностью;
- модель для исследования динамических процессов систем управления информационными рисками, особенность которой заключается в использовании нечетких временных сетей Петри с ингабиторными связями;
- модель, построенная на основе нечетких сетей Петри, для получения нечетких заключений об эффективности системы управления информационными рисками или ее подсистем;
7) создан методический аппарат выбора механизмов управления информационными рисками и подсистемы хранения данных:
- методы и инструментальные средства выбора механизмов управления информационными рисками, которые отличаются возможностью учета совместимости механизмов и включают два метода, построенные на
основе модифицированного жадного алгоритма и генетического алгоритма;
- методы выбора механизмов управления информационными рисками, допускающие совместное использование отдельных и агрегированных механизмов, а также наличие условия об обязательном включении в СУИР определенных механизмов;
- модель выбора подсистемы эффективного хранения данных, основанная на использовании аппарата цепей Маркова;
8) разработано методическое обеспечение определения и оптимизации расходов на управление информационными рисками:
- модель оптимизации затрат на управление значимыми информационными рисками с применением механизмов страхования информационных рисков, которую отличает возможность моделирования без ограничения средств на управление и в условиях лимита денежных средств;
- структурированы расходы и предложена модель определения полных расходов предприятия на управление информационными рисками, которую отличает от известных учет затрат на обеспечение качества информации и системных затрат.
Практическая значимость исследования состоит в возможности широкого использования полученных методических и инструментальных средств в процессе анализа и оценки информационных рисков, а также при построении и совершенствовании систем управления информационными рисками предприятий.
Материалы исследований могут применяться также при подготовке и переподготовке кадров на занятиях по экономическим дисциплинам, при подготовке специалистов по экономической и информационной безопасности в процессе изучения таких дисциплин, как «Информационная безопасность компьютерных систем», «Информационная безопасность», «Информационная безопасность бизнеса», «Управление информационными рисками».
Самостоятельное практическое значение имеют:
1) методика и инструментальные средства выбора механизмов управления информационными рисками;
2) методика и инструментальные средства оценки качества информационных ресурсов;
3) методика получения нечетких заключений об эффективности системы управления информационными рисками;
4) методика исследования динамических процессов системы управления информационными рисками;
5) методика выбора системы хранения данных;
6) предложения по совершенствованию организационной структуры системы управления информационными рисками;
7) практические рекомендации по созданию компьютера защищенной архитектуры.
Апробация и внедрение результатов исследования. Материалы диссертационной работы внедрены в деятельность ряда научно-исследовательских
институтов и предприятий: НИИ автоматической аппаратуры им. академика B.C. Семенихина, Московского научно-исследовательского телевизионного института, Военной страховой компании, Горьковского автомобильного завода, Расчетной палаты Московской межбанковской валютной биржи. Результаты внедрения результатов работы подтверждены соответствующими документами.
Материалы исследований используются в образовательном процессе по дисциплинам «Информационная безопасность компьютерных систем», «Информационная безопасность», «Информационная безопасность бизнеса» в Фи-накадемии.
Полученные теоретические и методологические результаты докладывались на 20-ти международных, всероссийских и региональных конференциях и семинарах в том числе на IV Всесоюзном совещании по распределенным вычислительным системам массового обслуживания (Душанбе, 1991), на II научно-технической конференции Московского военного университета радиоэлектроники (Кубинка, 1997), на Международной конференции «Развитие вычислительной техники в России и странах бывшего СССР: история и перспективы» (Петрозаводск, 2006), на II Международной научно-технической конференции «Информационные технологии в науке, образовании и производстве» (Орел, 2006), на Национальном форуме по информационной безопасности «Инфофо-рум 2007» (Москва, 2007), на Международной конференции «Бизнес информатика» (София, 2007), на XV Всероссийской научно-практической конференции «Проблемы информационной безопасности в системе высшей школы» (Москва, МИФИ 2008), на Международной научно-практической конференции «Информационные технологии в образовании, науке и производстве» (Серпухов, 2009).
Публикации. Основные результаты диссертации отражены в 45-ти научных публикациях, авторский объем в которых составляет 54,28 п.л. В число опубликованных работ входят три монографии и 10 статей в периодических изданиях из Перечня ВАК, а также две публикации в зарубежных издательствах.
2. ОСНОВНЫЕ ПОЛОЖЕНИЯ ДИССЕРТАЦИИ
В соответствии с целью и задачами исследования в работе рассматриваются шесть групп проблем.
Первая группа проблем связана с системным исследованием основных свойств информационных рисков и определением их места среди экономических рисков.
Важной проблемой исследования информационных рисков является анализ понятия «риск». По мнению большинства ученых, оно означает возможность наступления событий с отрицательными последствиями в результате определенных решений или действий. Такой взгляд на сущность риска закреплен в Федеральном законе «О техническом регулировании»: «риск - вероятность причинения вреда жизни или здоровью граждан, имуществу физических или
юридических лиц, государственному или муниципальному имуществу...»1. Существует и другая распространенная точка зрения на содержание риска. Ее сторонники под риском понимают случайное событие, вызывающее негативные последствия.
При этом всеми признается, что рисковое событие - событие случайное. В соответствии с сущностью процессов, явлений и объектов, порождающих случайности, различают объективную и субъективную случайности. Объективная случайность связана с природой материи, ее сущностью. В наиболее явной форме объективная случайность проявляется в микромире на уровне молекул, атомов, элементарных частиц. Субъективная случайность определяется неполнотой информации о причинах и сущности случайных событий.
Таким образом, все рисковые события являются случайными событиями, и случайность определяется их случайной природой и недостатком качественной информации об этих событиях. Один из первых исследователей неопределенности Ф.Х. Найт разделял ее на измеряемую и не измеряемую. В современной интерпретации различают статистическую и нестатистическую неопределенность.
В условиях статистической неопределенности с необходимой точностью могут быть определены законы распределения случайных величин. Это позволяет успешно использовать методы теории вероятностей и математической статистики при управлении рисками. В отношении значительной части информационных рисков не удается получить статистическую информацию. В этом случае исследователи вынуждены прибегать к использованию «квазистатистики» или нестрогой статистики, которая основывается не только на частотном определении характеристик случайных величин, но и на широком применении экспертных оценок. Для работы с нестатистическими данными в последние годы успешно применяются методы мягких вычислений, такие, как интервальный метод, нейронные сети, нечеткие множества и нечеткая логика, генетические алгоритмы и др.
Некоторые ученые понятие «управление риском» относят только к управлению в условиях статистической информации, а если информация является нестатистической, употребляют термин «управление в условиях неопределенности». Автор считает, что понятие «управление рисками» должно применяться как при работе со статистической, так и нестатистической информацией. Различия заключаются лишь в методах управления. При наличии статистической информации следует использовать методы, основанные на теории вероятностей и математической статистике. В условиях вынужденного использования нестатистической информации необходимо снижать степень неопределенности данных и использовать методы мягких вычислений.
Информационная неопределенность является либо единственной основой случайности события для человека, либо сопровождающей и дополняющей объективную случайность. Следствие такого вывода - необходимость признания информационной составляющей рисков любой природы. В информацион-
' Федеральный закон «О техническом регулировании» от 27.12.2002 № I $4 - ФЗ.
11
ной составляющей могут быть выделены общие элементы, которые должны систематизироваться и учитываться в процессе управления рисками.
Центральной проблемой первой группы является исследование содержания информационных рисков. Системный подход к проблеме позволил предложить новую трактовку понятия «информационный риск». Основные отличия заключаются в учете не только свойств безопасности информации, но и ее качества, а также в расширении сферы реализации рисковых событий и более тесной связи информационных рисков с конечными результатами бизнес-процессов.
Понятие «качество информации» рассматривается применительно к использованию информации в бизнес-процессах. То есть исследуются потребительские свойства информации на выходе информационных процессов, которые оказывают непосредственное влияние на эффективность основных бизнес-процессов предприятия.
Для системного рассмотрения вопросов управления информационными рисками вводится понятие «информационная сфера предприятия». С позиций рассмотрения сущности информационных рисков предлагается выделить две системы: информационную систему предприятия (внутренняя среда) и внешнюю информационную среду. Объединение этих двух систем позволяет получить системный комплекс или метасистему. Такую метасистему и предлагается рассматривать как информационную сферу предприятия. Информационная сфера предприятия не может быть представлена в виде системы из-за наличия иррационального взаимодействия между информационной системой предприятия (НСП) и внешней средой. Под иррациональным взаимодействием понимается наличие неупорядоченности, нецелесообразности, неопознаваемости, непредсказуемости и парадоксальности во взаимодействии систем.
Понятие «предприятие» рассматривается в широком смысле независимо от форм собственности, вида деятельности, организационно-экономической формы и т. д. При необходимости учета особенностей управления информационными рисками на определенных предприятиях это оговаривается особо.
С позиций системного анализа информационная система предприятия представляет собой открытую систему, образуемую множеством взаимосвязанных информационных элементов, которые обеспечивают получение, обработку, хранение и передачу необходимой информации в целях эффективного функционирования предприятия. В качестве информационных элементов рассматриваются сотрудники предприятия, информационные ресурсы, компьютерные системы различных классов, средства и системы сбора, обработки, хранения, передачи и представления информации, участвующие в информационном процессе или обеспечивающие информационный процесс.
Внешнюю информационную среду предприятия образуют объекты, субъекты, процессы и явления внешней среды, оказывающие влияние на элементы информационной системы предприятия и на информацию во внешней среде, имеющую отношение к предприятию, его бизнес-процессам.
На самом высоком уровне представления метасистемы, с учетом целей исследования информационных рисков, понятие информационной сферы пред-
приятия может быть сформулировано следующим образом. Под информационной сферой предприятия следует понимать взаимосвязанные элементы информационной системы предприятия и внешней информационной среды предприятия, а также систему регулирования отношений субъектов информационных процессов во внутренней и внешней среде предприятия. Таким образом, к информационной сфере предприятия относятся все элементы внутренней и внешней среды в их взаимодействии, имеющие отношение к получаемой, используемой, обрабатываемой, хранящейся и распространяемой информации, влияющей на бизнес-процессы предприятия, независимо от форм представления информации, видов объектов и субъектов, а также временных и пространственных рамок информационных процессов.
Используя дефиницию информационной сферы предприятия понятие «информационный риск» может быть определено следующим образом: информационный риск - это возможность наступления случайного события в информационной сфере предприятия, в результате которого предприятию будет нанесен ущерб. Причем информационные риски рассматриваются как случайные события во внутренней или внешней среде предприятия, оказывающие негативное влияние не только на безопасность информации, но и на ее качество. При этом учитываются все события, которые могут произойти на всех этапах информационного процесса - от получения информации до ее использования в бизнес-процессах.
Информационные риски приводят к ущербам предприятия. Поэтому они с полным правом могут быть отнесены к экономическим рискам. При выделении информационных рисков в отдельный вид экономических рисков важно определить соотношение и взаимосвязи информационных и других экономических рисков.
Проведенный анализ содержания рисков любой природы позволил сделать вывод о наличии информационной составляющей в любом риске. Это утверждение полностью распространяется и на экономические риски. Отсюда следуют выводы:
1) при анализе любого экономического риска необходимо рассматривать информационные риски, которые являются возможными причинами и факторами экономических рисков;
2) управление экономическими рисками должно предполагать управление и информационными рисками.
Часть экономических рисков, по существу, является полностью информационными рисками. К ним относятся, например, управленческий и инвестиционный риски.
В значительной степени информационными являются такие риски, как банковский, валютный, процентный, производственный риск предприятий, оказывающих информационные услуги, и другие риски, в которых основное место занимает риск принятия управленческого решения или производственные процессы являются информационными процессами.
Вторая группа проблем связана с разработкой теоретико-методологического базиса информационного риск-менеджмента.
Управление информационными рисками осуществляется с учетом основных положений общего менеджмента, а также с использованием результатов, полученных в рамках риск-менеджмента. Вместе с тем управление информационными рисками имеет много особенностей и требует доработки методологии, принятой в риск-менеджменте. Учитывая особенности и значимость системного управления информационными рисками, предлагается выделить управление информационными рисками в отдельный раздел риск-менеджмента - информационный риск-менеджмент.
Кроме того, наличие информационной составляющей в любом экономическом риске позволяет сделать вывод о необходимости управления этой информационной составляющей. При всем многообразии и различии экономических рисков в информационной составляющей этих рисков могут быть выделены общие элементы, требующие применения единых методологических подходов к управлению рисками.
В качестве методологической основы информационного риск-менеджмента предлагается использовать системный подход. Системное управление информационными рисками в рамках информационного риск-менеджмента позволяет выйти на качественно новый уровень управления:
1) учитываются все негативные события, влияющие на безопасность и качество информации, которые могут произойти на всех этапах информационного процесса - от получения информации до ее использования в бизнес-процессах, независимо от форм представления информации, видов объектов и субъектов информационных процессов, а также временных и пространственных рамок использования информации;
2) появляется возможность согласованного применения всего комплекса механизмов управления, направленного на достижение конечных целей бизнес-процессов;
3) для исследования информационных рисков могут согласованно применяться научные методы из различных областей науки, которые не используются вне рамок системного подхода;
4) в полной мере становятся доступными экономические механизмы управления, повышается значение правовых и организационных методов управления;
5) рассматриваемый подход к пониманию информационных рисков позволяет сделать вывод о коренном изменении роли и значения менеджмента предприятия: менеджеры всех уровней принимают активное участие в управлении информационными рисками;
6) архитектура информационной системы предприятия и, прежде всего, архитектура системы управления информационными рисками должна быть адаптирована к управлению рисками на более высоком системном уровне.
Предлагается в информационном риск-менеджменте выделить три подраздела: управление информационной безопасностью; управление качеством информации; информационное взаимодействие с внешней средой предприятия.
Первые два подраздела информационного риск-менеджмента объединяют направления управления внутренней информационной сферой. В рамках этих направлений рассматриваются также вопросы взаимодействия с внешней средой, но они касаются, в основном, технологии информационных процессов. Это взаимодействие носит, как правило, пассивный характер по отношению к внешней среде.
Выделение проблем информационного взаимодействия с внешней средой предприятия в отдельное направление объясняется необходимостью активного информационного воздействия на внешнюю среду, которое осуществляется, в основном, с помощью правовых и организационных методов. Главными задачами такого воздействия являются информационное обеспечение бизнес-процессов во внешней среде, защита интеллектуальной собственности предприятия и других законных прав предприятия в информационной сфере, взаимодействие, с государственными структурами, средствами массовой информации, потребителями продукции предприятия и партнерами по бизнесу.
В условиях становления информационного риск-менеджмента важное значение имеет решение концептуальных вопросов управления информационными рисками. Прежде всего, необходимо определить понятие «управление информационными рисками». Под управлением информационными рисками понимается система согласованных действий, операций и процедур, осуществляемых персоналом предприятия в целях минимизации расходов на противодействие информационным рискам и устранение их последствий.
Целью управления информационными рисками является минимизация суммы расходов предприятия на противодействие информационным рискам и суммарного ущерба от этих рисков.
Управление информационными рисками предполагает решение следующих задач: анализ рисков; выработка политики управления информационными рисками; создание системы управления информационными рисками; устранение причин и факторов значимых рисков; создание механизмов снижения ущерба от возможных рисков; оценка ущерба; ликвидация последствий рисковых событий; постоянный мониторинг и периодический аудит системы управления рисками; анализ эффективности системы управления информационными рисками; совершенствование системы управления информационными рисками.
На основании всестороннего анализа возможных стратегий управления информационными рисками предлагаются следующие стратегии управления: принятие риска; предотвращение риска; снижение возможного ущерба от риска; предотвращение риска и снижение возможного ущерба от него.
Применительно к задаче построения систем управления информационными рисками предлагается использовать следующие методологические принципы, основанные на принципах системного анализа и синтеза систем, а также на принципах разработки информационных систем. К ним могут быть отнесены: принцип соответствия целей создания каждой подсистемы общей цели создания СУМР; принцип создания СУИР как подсистемы информационной системы предприятия; принцип построения адаптивной СУИР, обеспечивающей ее эффективность и устойчивость; принцип синтеза многоуровневой, многозвенной,
комплексной системы защиты от информационных рисков; принцип централизованного иерархического управления; принцип открытости системы; итеративный процесс построения СУИР, основу которого составляют этапы анализа и синтеза.
Перечень приведенных общепринятых принципов построения информационных систем предлагается дополнить следующими принципами: анализ и создание системы управления информационными рисками осуществляется на основе представления информационной сферы предприятия в виде метасистемы; обеспечение возможности активного воздействия информационной системы предприятия на внешнюю среду; создание новых информационных технологий, позволяющих специалистам и менеджерам предприятия перейти на системный уровень управления качеством и безопасностью информации.
Общий алгоритм системного анализа применительно к исследованию информационных рисков может быть представлен в виде следующей последовательности этапов: определение целей анализа информационных рисков; общая постановка задачи исследования; построение информационной модели; идентификация информационных рисков; определение механизма воздействия информационных рисков на ИСП; выявление источников, факторов рисков и причин их порождающих; определение взаимосвязи информационных рисков; классификация рисков; выбор показателей оценки рисков; выбор методов и средств оценки рисков; построение моделей; оценка рисков; определение тенденций развития информационных рисков.
Одной из наиболее важных проблем анализа информационных рисков является проблема создания классификации информационных рисков.
Информационные риски предлагается группировать в соответствии с их природой и механизмом действия. Это позволяет оптимально использовать средства и методы защиты информации для блокирования целой группы рисков, сходных по механизму действия.
Для классификации информационных рисков предлагается использовать индексированную схему классификации (рис.1) и таблицу 1. Схема показывает разделение информационных рисков на группы по одному из пяти классификационных признаков.
Каждой группе присваивается свой индекс. В таблицу сведены все основные риски. С помощью индексов для каждого информационного риска возможно определение его места в классификации по всем классификационным признакам.
При необходимости такая таблица может быть дополнена еще одним столбцом. В нем могут быть размещены индексы тех информационных рисков, наступлению которых способствует соответствующий риск из первого столбца.
Данная классификация обладает еще одним достоинством. Таблицу легко дополнить вычисленными значениями вероятности информационного риска, величинами ущерба и другими показателями риска, которые получаются в результате анализа информационных рисков. То есть таблица классификации, дополненная столбцами с вычисленными показателями отобранных значимых рисков, является таблицей результатов анализа информационных рисков.
Рис. 1. Индексированная схема классификации информационных рисков
Важной проблемой является классификация и характеристика механизмов управления информационными рисками предприятия. Управление информационными рисками предполагает согласованное комплексное применение методов и средств различной физической природы в рамках единой технологической цепи для достижения целей управления. В отношении средств и методов принято использовать общий термин - механизм управления информационными рисками. Многообразие методов и средств, сложные отношения взаимодействия, необходимость согласования по месту и времени их применения вызывают необходимость использования возможностей таксономии на концептуальном уровне исследования проблем управления информационными рисками.
Исходя из целей таксономии механизмов управления информационными рисками, предлагается классификация, в которой все множество механизмов разделено на два подмножества: средства и методы управления информационными рисками.
Методы, в свою очередь, могут быть разделены на нормативные правовые, организационные и экономические. К экономическим методам управления от-
носятся следующие методы: определения затрат на систему управления информационными рисками; оценки ущербов от информационных рисков; оптимизации общих расходов на управление информационными рисками; страхования информационных рисков; создания резервов для минимизации ущербов.
Таблица 1
Фрагмент классификационной таблицы информационных рисков
Информационный риск Индекс
Механизм воздействия Источник риска Характер риска Вид ущерба Результат воздействия
Пожары 1 АВ о ПК а3 а4 с*5 сх 2
Наводнения 1 В о ПК а3 а4 сц а2
Землетрясения 1 В о ПК аз а4 щ а.2
Ураганы 1 В о ПК а3 а4 <Х5 а.2
Взрывы 2 АВ а ПК а3 а4 а5 а2
Аварии в системе 2 АВ о ПК а3 а4 а5 а2
электропитания, водоснабжения,
отопления
Средства управления информационными рисками в соответствии с особенностями решаемых задач могут быть разделены на три группы средств: средства сбора и первичной обработки информации; средства обеспечения качества информации в информационной системе; средства обеспечения безопасности информации в информационной системе.
К третьей группе относятся проблемы создания методического аппарата анализа информационных рисков. Центральной проблемой этой группы является разработка методики системного анализа информационных рисков. Методика базируется на использовании системного структурного анализа и предполагает выполнение следующих шагов.
Шаг 1. Уточняются цели и задачи исследования, определяются исполнители и выполняется планирование работ.
Шаг 2. Проводится обследование предприятия.
2.1. Выделяются во внешней среде элементы (объекты, субъекты, процессы и явления), с которыми предприятие взаимодействует в процессе производственной деятельности. Все внешние элементы могут быть распределены по двум группам: элементы взаимодействия и элементы воздействия. К элементам воздействия следует относить те из них, которые оказывают одностороннее влияние на работу информационной системы предприятия.
2.2. Определяются все существенные информационные потоки и их характеристики как между предприятием и внешней средой, так и внутри предприятия.
2.3. Изучаются процессы преобразования, хранения и передачи информации.
2.4. Определяется перечень событий, оказывающих влияние на работу информационной системы предприятия.
Шаг 3. Создается модель потоков данных БН). Могут использоваться как классические нотации Йордана, Гейна-Сарсона, так и нотации ЗБАВМ, АМБ и др. В результате получается иерархическая модель потоков данных, в которую входят диаграммы, словари данных и спецификации процессов.
Шаг 4. На основе построенной модели потоков данных создается модель состояний (рис.2). Состояния процессов на каждом уровне иерархии рассматриваются в соответствии с принятой нумерацией процессов в модели ОРБ. В дополнение к нотации АШБ предлагается при отображении события показывать показатели риска.
Шаг 5. Осуществляется определение показателей рисков на каждом уровне модели. Показатели рисков определяются с помощью частных методик, основу которых составляют модели различных видов.
Шаг 6. Анализ результатов моделирования.
Рис. 2. Модель состояний
На шаге 5 продвижение по модели осуществляется с нижних уровней к верхним. Для каждого вида рисков выбираются модели, обеспечивающие необходимую точность и возможность получения характеристик, позволяющих вычислять прямые и косвенные ущербы. Данные о событиях, оказывающих воздействие на соответствующий процесс, обобщаются на уровне этого процесса и передаются для учета на верхних уровнях. Например, три события оказывают влияние на непрерывность процесса. Эти события обрабатываются, и на процесс следующего уровня иерархии передается сообщение с обобщенными характеристиками простоя процесса от воздействия всех рассматриваемых событий. Обрабатываются только данные о косвенных рисках. Значения величин прямых ущербов передаются на верхние уровни без изменения для их суммирования. Для этого в прямоугольниках-событиях отображаются величины ущербов от прямых рисков.
Методологии структурного анализа для исследования информационных рисков реализованы в целом ряде инструментальных САБЕ-систем (АШБ,
UML, CASE.Аналитик, BPwin и др.). Динамические процессы в системах моделируются в некоторых CASE-технологиях с помощью аппарата сетей Петри (Design/CPN, CPN-AMI, INCOME Mobile).
В диссертации порядок применения предложенного метода анализа информационных рисков показан на примере создания модели коммерческого банка. На основе типовой структуры бизнес-процессов банка создана модель потоков данных и для выбранной ветви модели выполнена детализация с построением модели событий на уровне банкомата.
Для анализа информационных рисков в условиях нестатистических данных с учетом динамики процессов предложено использовать модифицированные нечеткие временные сети Петри с ингибиторными связями. Формально нечеткая временная сеть Петри с ингибиторными связями может быть представлена следующим образом:
NPT = (Р, Т, I, Id, О, m0, Z, S),
где P=[pi, P2, Pn) - конечное множество позиций; T={ti, t2, ..., tK} - конечное множество переходов; I- входная функция переходов, определяемая как отображение I: P*T—>R°; Id - бинарная функция ингибиторных связей, которая определяется как отображение Id: РхТ—>{0,1}\ О - выходная функция переходов, определяемая как отображение О: TxP~>R°; m° - (wf, тя®,..., m°N) (/я® е R°, n=l,N) - вектор начальной маркировки сети, компонент которого т\ представляет собой некоторую неотрицательную нечеткую величину; Z=(z/, z2, .... Zjy) - вектор параметров временных задержек маркеров в позициях, компонент которого zn представляет собой некоторую неотрицательную нечеткую величину; S=(«/, s2, ..., Sk) - вектор параметров времен срабатывания разрешенных переходов, компонент которого sk представляет собой некоторую неотрицательную нечеткую величину; R0 - множество натуральных чисел и ноль.
Динамика перемещения маркеров по сети определяется следующими правилами Д, /=1,4.
Я/ - правило определения текущей маркировки. Любое состояние сети определяется вектором т = (mt, т2,..., mN), п=1, N, компоненты которого задаются с помощью трапецеидальных нечетких интервалов т, - (а\, а[, а'2, а\) и означают функции принадлежности нечеткого наличия маркера в соответствующей позиции pteP относительно времени с момента запуска данной сети. Начальное состояние сети определяется вектором начальной разметки (маркировки) т°.
П2 - правило активности перехода. Переход tk е Г является активным (разрешенным) при некоторой доступной маркировке т, если выполняются следующие условия:
т,> О ((Vр, 6Р) л {1{р,, tk)>0 ))л ((VPd 6Р)л (Id(Pd,tk) = 1))•
Причем, Id(pd,tk) = l,ecnumi =<0,0,0,0>.
То есть, во всех входных позициях рассматриваемого перехода tkeT в определенный момент времени должны быть маркеры с соответствующей функцией принадлежности, отличной от нуля, и на всех входящих ингибиторных дугах поддерживается режим разрешения срабатывания перехода.
Пз - правило нечеткого срабатывания перехода. Если переход tk е Т является активным (выполняется условие П2) по условиям маркировки, то переход срабатывает за время sk и маркировка от изменяется на маркировку т^ по
следующему правилу:
1) для каждой входной позиции р, е Р при условии I(p„tk)> О
маркировка позиции pi изменяется на mf=<0, 0,0,0>;
2) все выходные позиции pj е Р при условии 0{tk pj)> 0 изменяют состояние по формуле:
OT^=min{ max {ml}+sk,mj}
(i = ÜN)A(I{p„tk)>0) (Vр,еР)л (0(tk, Pj)> 0) л(mj ^<0,0,0,0>)
(примечание: первая строка условий относится к шах, а вторая - к min, то есть операция минимум применяется только если да у Ф < 0, 0,0, 0 >);
3) для позиций Pi е Р, не являющихся ни входными, ни выходными по отношению к переходу tk, маркировка не изменяется:
т*=т, \/ pi е Р \ I(Pi, tk) - 0 д 0(tk, р,) = 0.
Если позиция является одновременно входной и выходной, то сначала производится расчет для входной позиции, а затем - для выходной.
Л4 - правило нечеткой задержки в позициях. После нечеткого срабатывания активных переходов по правилу П3 новая разметка т? устанавливается с задержкой, которая определяется нечетким интервалом для каждой позиции. Доступная маркировка определяется по формуле:
т] VpjeP | 0(rltPj) > 0 л т* 0,0,0,0 >.
Исходные данные для моделирования процесса включают данные о начальной маркировке (разметке), о задержке маркеров в позициях и времени срабатывания переходов, которые представляются множествами трапецеидальных нечетких интервалов. Применение правил срабатывания переходов с учетом исходных данных позволяет получить информацию о времени начала и завершения событий в моделируемом процессе. Вычисленное значение времени в виде трапецеидального интервала при необходимости может быть приведено к обычному четкому значению с помощью одного из правил дефаззификации.
Методика определения нечетких временных характеристик динамических процессов может быть представлена следующей последовательностью шагов:
Шаг 1. Получение исходных данных для моделирования.
Шаг 2. Последовательное применение правил активных переходов, срабатывания переходов и изменений маркировки до достижения финальных состояний.
Шаг 3. Анализ результатов и их преобразование, при необходимости, к четкому виду.
Методика апробирована на примере моделирования динамических процессов работы банкомата.
Для представления правил нечетких продукций может быть использована нечеткая сеть Петри вида:
NPr(NJ,)., J),
где N~(P, Т, 1, О) - структура нечеткой ординарной сети Петри с входной функцией 1: {0,1} и выходной функцией О: Т*Р —> {0,1 )\f=(fufb-fd -
вектор значений функции принадлежности нечеткого срабатывания переходов, при fk е[ОД]; ~ вектор значений порога срабатывания переходов,
при Лк е[0Д]; т° =(тп°,ml, ...,m°N)- вектор начальной маркировки сети, компонент которого т°„ представляет собой значение функции принадлежности нечеткого наличия одного маркера в п - й позиции сети, при тйп е [ОД].
Маркировка сети меняется в соответствии с правилами,
Я; - правило определения текущей маркировки. Текущее состояние сети определяется вектором т ={mx,m2,...,mN), компонент которого тп е[0,1] интерпретируется как функция принадлежности нечеткого нахождения одного маркера в позиции рп. Начальное состояние сети определяется вектором начальной маркировки т°.
Иг - правило, определяющее условие активности перехода. Переход tk е Т
считается активным (разрешенным), если при текущей маркировке тп выполнено условие:
min {тп}>Як,
(Л=Щл(/(м)>0)
где Лк - значение порога срабатывания перехода tk е Г.
Пз - правило нечеткого срабатывания активного перехода. Если переход tk е Т является активным при текущей маркировке т„, то осуществляется
мгновенный переход к новому вектору маркировки т* = (т\ ,ml,...,mrN), каждый компонент которого определяется в соответствии со следующим выражением:
/и; = тах{/и., min{m„,/t} } (У pjeP)A(0(tt,pJ)>Q),
(я = ÜV)A (/(/>„,/,)> 0)
где fk - значение функции принадлежности или мера возможности срабатывания перехода tk еГ. Значения функции fk для всех переходов задаются
при определении параметров сети. Эта формула используется для определения маркировки как входных, так и выходных позиций.
Правила нечеткой продукции применительно к сетям Петри реализуются следующим образом. Правило нечеткой продукции «Правило I : Если А, то В» представляется как переход 1к е Т сети ЛР/. Входной позиции рп этого перехода соответствует условие А, а выходной позиции Pj - заключение В.
Если условием правила нечеткой продукции определяется использование нескольких логически связанных подусловий или подзаключений, то это учитывается соответствующим образом в сети.
Методика получения нечетких продукций (нечетких заключений) предполагает выполнение следующих шагов.
Шаг 1. Устанавливаются правила нечетких продукций.
Шаг 2. Для каждого правила задаются веса или коэффициенты определенности Fj правил нечетких продукций, которые рассматриваются в нечетких сетях Петри как значения функций принадлежности нечеткого срабатывания переходов - /¡.
Шаг 3. Нечетким высказываниях! ставятся в соответствие позиции сети
А'Р/.
Шаг 4. Для части позиций задаются исходные степени истинности высказываний, которые определяют начальную маркировку сети тп°.
Шаг 5. Используются правила срабатывания переходов для изменения маркировки сети до достижения финальных состояний.
Шаг 6. Анализируются результаты, в качестве которых рассматриваются степени истинности финальных высказываний.
Возможность использования моделей на основе нечетких сетей NPf показана в диссертационной работе на примере анализа возможностей антивирусной подсистемы противостоять заражению информационной системы новым вирусом.
Экспертам и лицу, принимающему решение в условиях высокой степени неопределенности, удобно использовать лингвистические переменные. Использование лингвистических переменных в моделях анализа эффективности и качества механизмов управления информационными рисками позволяет получать интегрированный (агрегированный) показатель, опираясь на систему взаимосвязанных иерархических показателей.
Поэтому для оценки качества ресурсов, механизмов, подсистем системы управления информационными рисками предлагается использовать иерархическую нечеткую модель, основанную на применении лингвистических переменных.
Качество информационного ресурса описывается следующей нечеткой моделью:
<2 = <С7,1, Р, А>, где (7 - граф дерева с вершинами g¡ (/ = О, И), каждой из которых поставлено в соответствие одно из возможных лингвистических значений переменной х1 е Ь , характеризующих показатель качества г-го меха-
низма; £ = {£;, (¡ = 0, И)} - набор лингвистических значений (качественных оценок) каждого показателя; Р - система отношений предпочтения одних показателей другим для одного уровня иерархии показателей; А - алгоритм агрегирования информации, позволяющий получать обобщенный показатель качества на текущем уровне иерархии путем обработки значений оценок качества подчиненных вершин.
Если в отношении всех лингвистических переменных принять пятиуровневый классификатор с Li ={«Очень низкий» (ОН), «Низкий» (Н), «Средний» (С), «Высокий» (В), «Очень высокий» (ОВ)}, то каждому г'-му значению лингвистической переменной можно поставить в соответствие трапецеидальную функцию принадлежности //,•(*), определенную на 01 носителе с набором нейтральных точек с координатами (0,2; 0,4; 0,6; 0,8).
Агрегирование осуществляется по уровням, продвигаясь от нижних уровней графа (7 к верхним. Предварительно определяются значения лингвистических переменных х,- для конечных вершин графа С. Эта задача может быть решена с помощью экспертных методов оценивания.
По графу определяется подмножество вершин (показателей) gk е С} при к - уровня и, которые связаны с ¿-той вершиной старшего уровня и-1. Для каждого подмножества вершин определяется взвешенная сумма соответствующих функций принадлежности. Для этого может быть использован 0\УА-н„
оператор Ягера: цк{х)= £/"*/(*)#> гДе А- вес ¿- го показателя, Л^ - количество
показателей нижнего уровня, связанных с показателем'£ следующего по иерархии уровня. В качестве весов показателей качества использованы коэффициенты Фишберна.
Коэффициент Фишберна зависит от взаимного соотношения показателей качества, входящих в подмножество связанных показателей одного уровня. Показатели и и- го уровня, определяющие значение к-то показателя старшего уровня и-1, могут находиться друг к другу в отношении нестрогого предпочтения (>-) или безразличия («). Формально система предпочтений может быть представлена следующим образом:
Если ПкиХуПки2У...>П^
для всех то коэффициенты Фишберна определяются по формуле:
р,= * —1 = 1,N..
Если Я*, »Л*2 Я*^ для всех #*•, то коэффициенты Фишберна равны и вычисляются следующим образом:
При смешанном характере предпочтений показателей одного подмножества следует использовать выражения:
г [ г„еслиП1^Пки1; ___
М b + 1,если >- п\. , rNk = 1, i = Nk,2;
Nk
Р,=Г,/1. Г;.
¡=1
При вычислении функции /^fo) используется возможность перехода от действий с трапецеидальными функциями принадлежности к операциям над абсциссами вершин трапеций (а/, а2, а*):
nk nk nk nk nk
1Лх(аи,а2,ав,ай) = (£р,хап, 1р;Хаи, Ip, xal3,1р; xaw ).
i-l i=l ¡=1 i=) i=l
Вычисленное значение функции принадлежности fi^xj необходимо сравнить с функциями принадлежности [¿¡(х), г = 1,5 для получения оценки о лингвистическом уровне показателя gk. Для показателя gk выбирается лингвистическое значение х( е L , если и{(х) наиболее близка к Близость функций
принадлежности может определяться с помощью квадратичного расстояния Евклида или абсолютного (относительного) расстояния Хемминга.
Если использовать абсолютное расстояние Хемминга и учесть трапецеидальную форму функций Hi(x) и ftk(x), то близость функций sik определяется следующим образом:
ötl =тах {j<2,4-b[\,\al ~Ь1г\,\а\ -b\\,\a\ -b'4j }, / = 1,5,
где Slk - абсолютное расстояние Хемминга; b'u, akd - абсциссы соответственно функций ц{х), i = 1,5 и вычисленной функции Ць(х). В качестве лингвистической переменной выбирается та из X/, которой соответствует функция р/х) с координатами, обеспечивающими min Sjk.
Алгоритм вычисления обобщенного показателя сопровождается проверкой условия на допустимость частных показателей качества информационного ресурса. Если значение х,- g £* , где I* - множество разрешенных для i- го показателя значений лингвистической переменной, то качество информационного ресурса считается неудовлетворительным.
По сравнению с существующими методами нечеткого моделирования процесса определения агрегированных показателей качества предлагаются следующие изменения: решение о качестве информационного ресурса принимается не только на основании обобщенного показателя, но и с учетом ограничений на значения отдельных показателей, в том числе и показателей, вычисляемых в ходе моделирования; для повышения точности алгоритма координаты трапецеидальных функций принадлежности, вычисляемые на каждом шаге, проверяются на близость к одной из пяти «эталонных» функций с идентификацией значения лингвистической переменной, но в дальнейших расчетах используются полученные значения координат, а не координаты соответствующей «эталонной» функции; степень совпадения полученных функций характеризуется
не только близостью четырех координат с координатами «эталонных» функций, выраженной в процентах, но и направлением смещения этих функций относительно «эталонных» по 01 оси определения функций; применяется характеристика, показывающая степень совпадения (перекрытия) верхних оснований трапеций, соответствующих проверяемой и «эталонной» функциям. Предлагаемый подход к моделированию позволяет повысить информативность полученных данных, а также точность вычислений до 20%.
Разработанная программа «Агрегирование показателей» позволяет автоматизировать все процессы вычисления лингвистических переменных и приведенных выше характеристик точности.
Методика получения агрегированного показателя состоит из последовательности следующих шагов.
Шаг 1. Определяются показатели качества, для которых не требуется выполнение операции агрегирования.
Шаг 2. Строится граф иерархической зависимости показателей с указанием признаков предпочтения показателей.
Шаг 3. Вычисляются функции принадлежности на каждом уровне, и определяется значение агрегированного показателя на текущем уровне. Осуществляется продвижение к следующему по иерархии уровню вверх.
Шаг 4. Вычисляется агрегированный показатель первого уровня.
К четвертой группе относятся проблемы определения множества механизмов системы управления информационными рисками и построения подсистем информационной системы.
При создании системы управления информационными рисками и ее совершенствовании решается задача выбора рационального множества механизмов управления информационными рисками, обеспечивающего минимум суммы затрат на эти механизмы и общего ущерба от информационных рисков. Задача относится к нелинейным дискретным бинарным задачам переборного типа. Точное решение задач такого класса возможно методами полного перебора, ветвей и границ, динамического программирования. Результаты, приемлемые для практических целей, могут быть получены при использовании методов, позволяющих получать субоптимальные значения. К таким методам относятся методы, основанные на использовании жадных и генетических алгоритмов.
Формальная постановка задачи может быть представлена в следующем виде. Известно множество значимых рисков Я = {г,,г,...,гЛ,}. Для каждого риска гп определен ущерб в денежной форме иг . Тогда множество ущербов может
быть представлено в порядке убывания значения ущерба следующим образом: I/ = (ип, и^,..., иГы). Каждый ущерб определен при условии, что в отношении
и- го риска не применяются никакие механизмы управления информационными рисками.
Определено множество механизмов управления информационными рисками М = (т1,т2,...,тг) , элементы которого могут использоваться в системе управления информационными рисками. Каждый к- й механизм управления
информационными рисками характеризуется множествами параметров Кк и Ек, а также параметром ск.
Множество Як ~ (г,, г2) составляют информационные риски, которым противодействует к- й механизм управления информационными рисками.
С помощью множества показателей Ек =(еИ,ек2,...,еКМ) оценивается эффективность к- го механизма. Элемент множества еы показывает какая часть ущерба от п- го информационного риска будет предотвращена при использовании к- го механизма. Величина еь изменяется в пределах 0 < еь < 1. Эффективность всех механизмов может характеризоваться с помощью матрицы Е размерности KxN.
При подсчете общей эффективности снижения ущерба от риска п, при условии включения в СУИР всех К рассматриваемых механизмов, может использоваться мультипликативный показатель:
П(1-еь) = (1-е1„)(1-е2п)...(1-еЛй).
Этот показатель характеризует общую часть ущерба от риска п, которая сохранится при применении всех К механизмов управления информационными рисками.
Параметр ск представляет собой затраты предприятия на приобретение или на изменение, разработку, создание, а также на внедрение и эксплуатацию к~ го механизма. Часто руководство предприятия не может направить на совершенствование СУИР денежные средства, которые превышают определенную сумму
г
^тах•
Известны также элементы матрицы совместимости механизмов управления информационными рисками Б. Значение элемента матрицы с/у определяется следующим условием:
Г1, если ¡-йи ] — й механизмы совместимы; = «
' [ 0-е противном случае.
Несовместимыми считаются механизмы, которые не допускают совместного использования в одной системе управления информационными рисками механизмов без существенного изменения их структур.
Множество механизмов, входящих в систему управления информационными рисками, задается с помощью бинарного вектора конфигурации:
X— (XХ2, ..., Хк).
Компоненты вектора принимают следующие значения:
Г1, если к~й механизм включен в СУИР;
хк
[ 0-е противном случае.
Механизмы управления информационными рисками х,,х1 еХ совместимы, если выполняется условие: < <1у, / = 1,К,) = 1, К.
Общий ущерб СГ, который ожидается после введения в СУИР механизмов управления информационными рисками, назовем остаточным. Остаточный ущерб определяется бинарным вектором конфигурации. С учетом введенных
обозначений выражение для вычисления остаточного ущерба может быть представлено в следующем виде:
лг к
и0{х1,х2,...,хк)=^иг П0-е*Л)-
. и=1 /1=1
С учетом выбранных обозначений и введенных зависимостей постановка задачи оптимального выбора механизмов управления информационными рисками может быть представлена следующим образом.
Определить бинарный вектор X* = (х],х'г,...,х'к), обеспечивающий минимум суммы расходов на применение механизмов управления информационными рисками и остаточного ущерба от всех значимых рисков:
к ы к
£(с***)+1иг,П(1-еьЛ)0)
*=1 л=1 4=1
при выполнении условий:
к
£(сЛ)<Стах.
¿=1
Для решения поставленной задачи может быть использован следующий модифицированный метод, который относится к классу жадных алгоритмов. Сущность метода заключается в выборе на каждом шаге одного из возможных механизмов, обеспечивающего получение максимального эффекта. Эффект определяется величиной снижения затрат на управление рисками в результате применения очередного механизма и упущенной выгодой от невозможности использования на последующих шагах механизмов, несовместимых с включаемым в систему очередным механизмом. Таким образом, на каждом шаге анализируются не только локальный эффект от включения в систему механизма, но и рассматриваются последствия этого шага в дальнейшей работе алгоритма. В алгоритме учитываются ограничения на расходы, связанные с применением механизмов управления информационными рисками.
Для формального представления алгоритма вводятся следующие обозначения:
Ь - номер выполненного шага алгоритма;
Х^хнь хН2, ...-Х/,а') - состояние вектора конфигурации после /г-го шага алгоритма;
Ш* (к) - множество механизмов, включенных в число используемых на ком шаге алгоритма;
Б1 (к) - множество механизмов еще не включенных в число используемых на А-ом шаге алгоритма, но совместимых с механизмами множества Ж1 (к);
О'(к) — множество механизмов, несовместимых с множеством ^(к), т.е. исключаемых из дальнейшего рассмотрения;
11° (к)- остаточная величина ущерба от и-го риска после выбора механизмов на первых к шагах.
Таким образом, значения х>,к~1 соответствуют механизмам, уже отобранным на первых А шагах алгоритма, т. е. входящим в множество IV1 (Ъ).
Пусть 1пкт\ е в'(И)- механизм, выбираемый на А+7- ом шаге из множества ^(к). Выбор механизма ти+\ означает, что соответствующий компонент в хк2, •■■гС/ид становится равным единице. Предположим, что выбранному механизму «ш в векторе Х^ соответствует компонент с номером к.
Тогда величина, на которую уменьшится ущерб от п- го риска при выборе на шаге к+1 механизма тмс номером к, равна Д£/П(А + 1Д) и определяется следующим образом:
Оставшаяся величина ущерба от п- го риска при этом будет равна:
ад+1,*)=гада-о.
Суммарное уменьшение ущербов от рисков всех видов при выборе на А-И-ом шаге к- го механизма Д С/(А + 1Д), равна:
А С/(й + 1,к) = ¿А ТО + й) = 1ТОК •
п=1 п~\
Упускаемая возможность снижения ущербов на последующих шагах алгоритма Д[/~(А + 1,к), обусловлена исключением применения на следующих шагах механизма т, несовместимого с механизмом к (те Я!(Ъ)).
Выражение для вычисления величины А (А +1, к) имеет вид:
ДТО Н*) = 2ТО)0 - ,
где (1кт ~ инверсное значение ш матрицы совместимости О (если <1>а~1, то ¿*г=0 и наоборот); множитель ,?'1Г=11 если те^й) и если г е 5'(А).
Присутствие множителя в выражении позволяет учитывать на шаге Н+1 механизм т, который стал несовместным только на шаге А+/ в результате включения механизма к. Величина и°(к)(1 -еы) есть остаточный ущерб от 77-го риска после применения механизма к на шаге й+1.
Суммарная упускаемая возможность снижения ущербов, в случае выбора на /г+7- ом шаге к- го механизма, за счет исключения несовместимых с ним механизмов, равна:
дто+1 ,к)=££то)о - ^ •
г=1я=1
Для оценки эффекта от включения на шаге А+1 к- то механизма управления информационными рисками введем величину Э(И+1,к):
Э(й +1, к) = Д{/(А + 1Д) - (Д1Г (А +1, к) + ск).
Эффект от включения механизма к в систему управления информационными рисками определяется как разность между суммарной величиной снижения ущербов за счет использования механизма к и суммой затрат на к - й механизм и общей величины ущерба, на которую не может быть уменьшен ущерб
предприятия из-за невозможности использования механизмов, несовместимых с механизмом к.
В соответствии с введенными обозначениями модифицированный жадный алгоритм состоит из следующих шагов. На каждом шаге к для тие5'(й) вычисляется Э(И+1,к) и выбирается такой механизм ш* с номером к*, для которого Э(к+1,к*) имеет наибольшее значение и при этом не исчерпываются выделенные средства. Если такого механизма нет, то работа алгоритма прекращается и в качестве оптимального принимается вектор Х'{х\,х'2,...,хК).
Проведенные испытания точности модели показали, что с увеличением количества переменных точность метода снижается. Это объясняется тем, что величина Аи~(И + 1,к) подсчитывается для всех механизмов, которые еще не включены в состав субоптимального подмножества. Причем учитываются и те механизмы, которые не попадут в окончательное субоптимальное подмножество механизмов.
Для повышения точности алгоритма изменен порядок расчета величины &и~(И + \,к). При ее вычислении используется величина gl, получившая название «глубина просмотра». Она определяет максимальное количество механизмов, которые участвуют в подсчете величины Д£/~(А + 1,£). На каждом шаге определяется gl механизмов, которые могут стать несовместимыми после выбора механизма к. Причем в число механизмов, характеристики которых будут использованы при подсчете величины Л£/~(й + 1,£), включаются не более gl механизмов с наилучшими значениями Аи(И + 1,к)-ск. Глубина просмотра ограничивает количество анализируемых механизмов сверху. При выполнении алгоритма количество несовместимых с к механизмов может быть меньше gl.
Переменная величина gl зависит от количества механизмов К. Экспериментально было установлено, что наивысшая точность метода достигается, если величина ¿1 находится в интервале ^К < gl .
В диссертации приводится также две разновидности рассмотренного метода: при совместном использовании отдельных и комплексных (агрегированных) механизмов управления информационными рисками, а также при условии обязательного включения в систему отдельных механизмов.
Задача в представленной постановке может быть решена также с помощью генетического алгоритма. Теория генетических алгоритмов определяет лишь общие положения построения алгоритмов такого класса. Конкретный вид алгоритма определяется условиями решаемой задачи. Для решения задачи выбора механизмов управления информационными рисками предложен метод на основе генетического алгоритма, включающий следующие шаги.
Шаг 1. Формируются исходные данные для моделирования. Целевая функция, матрицы совместимости и коэффициентов снижения рисков, а также ограничения полностью соответствуют приведенным в постановке задачи выбора механизмов управления информационными рисками. Применительно к терминологии генетических алгоритмов в качестве особи рассматривается век-
тор Х=(х/, х2, хк). Задается также число повторений и мощность начального множества особей (популяции).
Шаг 2. Случайным образом генерируется исходная популяция.
Шаг 3. Производится операция скрещивания особей (выполняется оператор кроссовер). Сначала случайным образом образуются пары особей. В соответствии с классическим оператором кроссовера используется одна, случайно выбранная, точка разрыва п. Биты с номерами с 1 поп одной особи в паре замещаются битами с соответствующими номерами другой особи. Обмен битами не выполняется в паре особей с номерами битов, большими п, то есть они остаются без изменений.
Шаг 4. Выполняется оператор мутации. Значение каждого бита особи изменяется на инверсное с установленной вероятностью. Для каждой особи вычисляется целевая функция (1), называемая функцией приспособленности.
Шаг 5. Отбираются особи для нового поколения. Из множества возможных принципов отбора выбран элитный принцип формирования новой популяции. Особи в популяциях сортируются в порядке возрастания функции приспособленности особей. Новая популяция формируется из особей, входящих в первую половину предыдущей и текущей популяций. Проверяются условия окончания работы алгоритма. Выход из цикла осуществляется при достижении заданного числа повторений шагов 3-5.
Модели модифицированного жадного алгоритма и генетического алгоритма реализованы в программе «Выбор механизмов». Для определения практических границ использования метода полного перебора и оценки точности рассмотренных алгоритмов в программу включен модуль полного перебора механизмов. По результатам моделирования получены следующие основные результаты.
Практические границы применимости метода полного перебора ограничиваются количеством механизмов <30-35. Выявлены предельные возможности использования генетического алгоритма в зависимости от степени несовместимости механизмов при фиксированных значениях количества механизмов в популяции и циклов алгоритма. Алгоритм эффективен в диапазоне 10-80 механизмов при количестве несовместимых механизмов <10%. При малых значениях несовместимости механизмов (<1%) во всем рабочем диапазоне генетический алгоритм превосходит жадный алгоритм по точности, при удовлетворительных значениях времени моделирования.
Жадный алгоритм существенно превосходит все остальные алгоритмы по времени моделирования (<1 мин. при количестве механизмов равном 100). Средняя относительная погрешность не превышает 5% на всем рабочем диапазоне исходных данных. Наихудшие реализации по точности с учетом адекватного подбора глубины просмотра gl не превышают 15%. Полные результаты сравнительного анализа представлены в диссертации в графическом виде.
Наряду с задачей выбора механизмов СУИР могут решаться задачи построения (выбора) подсистем информационной системы, обеспечивающих минимальную сумму расходов на создание (приобретение) подсистемы и величи-
ны общего ущерба от информационных рисков, которые могут иметь место при эксплуатации этой подсистемы.
Примером может служить задача выбора подсистемы хранения данных информационной системы. Задача формулируется следующим образом. При существующем уровне надежности аппаратных и программных средств, известных характеристиках информационных рисков, а также заданных ограничениях на быстродействие и емкость системы необходимо выбрать (создать) систему хранения данных, которая обеспечивала бы минимальные суммарные расходы, связанные с ее приобретением (созданием) и эксплуатацией, а также ущербом от наступления рисковых событий, нарушающих целостность и доступность информации. Для решения этой задачи создана модель, основанная на использовании аппарата цепей Маркова.
Для определенности в качестве подсистем хранения данных рассматриваются подсистемы, построенные с использованием RAID технологии.
Расходы на хранение и обеспечение доступа к данным исчисляются как сумма расходов на создание и модернизацию подсистемы хранения данных в пересчете этих расходов на год предполагаемой эксплуатации, а также затрат на эксплуатацию подсистемы хранения. Общий ущерб, связанный с рисками в сфере хранения данных предприятия, может быть определен следующим образом:
их=ид+ив + иу,
где Ud - ущерб от превышения времени доступа к данным; U„ - ущерб, связанны^ с ремонтом (заменой) и восстановлением данных с использованием контрольной или резервной информации; Uy - ущерб от полной утраты информации. Величины соответствующих ущербов подсчитываются следующим образом:
и мм
м м м
где М - количество рисковых событий, имевших место за год; и\ (i'J -функция ущерба от i- го риска, зависящая от времени пребывания подсистемы хранения в недоступном состоянии t'e\ u's - затраты на восстановление работоспособности блока и утраченных в результате i- го риска данных с использованием резервной (контрольной) информации; и'у - ущерб от утраты единицы
объема данных, при которой информация утрачивается безвозвратно или требуется повторить весь процесс ее получения; v - емкость блока в единицах объема данных.
Оценка общего ущерба Ux, связанного с использованием системы хранения, может быть получена с помощью математических ожиданий величин в выражениях (2). Тогда
Ux = udm0 +utm0 + uykym0v, где ud,ua,uy - математические ожидания величин соответствующих ущербов, т0 - математическое ожидание количества рисковых событий за год, ку<\
- коэффициент, определяющий, какую часть рисков от М составляют риски полной утраты информации.
Для определения вероятностно-временных характеристик подсистемы хранения данных использован аппарат марковских цепей.
Поскольку для анализа ЯАЮ-системы, состоящей из п независимых блоков с интенсивностями наступления рисковых событий к0 и восстановления работоспособности блоков Ли достаточно различать только работоспособное и неработоспособное состояния, то граф состояний подсистемы может быть укрупнен ( рис. 3).
Работоспособное состояние Бр соответствует состоянию, в котором работоспособны все блоки или неработоспособен только один блок. Все остальные состояния подсистемы соответствуют неработоспособному состоянию 5«. Интенсивности переходов соответствуют интенсивностям переходов состояний из полного графа для граничных состояний переходов между работоспособными и неработоспособными состояниями.
Рис. 3. Укрупненный граф состояний подсистемы хранения данных
В теории эксплуатации ЭВМ доказано, что случайные величины времени наступления отказов и времени восстановления электронных устройств подчиняются экспоненциальному закону распределения. Поток случайных событий разной природы, приводящих в неработоспособное состояние подсистему хранения данных, можно рассматривать как суперпозицию потоков независимых событий, интенсивность которых мала по сравнению с интенсивностью суммарного потока. Известно, что характеристики такого потока близки к характеристикам простейшего потока.
Тогда математическое ожидание та количества отказов независимых блоков за время / составит т0=(п-1 )Ла(. А среднее время восстановления
отказа и определяется следующим образом: = .
К
Финальная веротность нахождения системы в работоспособном состоянии Р„ определяется из системы уравнений Колмогорова:
Интенсивности отказов определяются из статистических данных и документации на систему. Оценка характеристик ущерба производится на
(и- 1К
2Лу
-Рр(«-1Н+Р„2Л,=0 Рр = Рр+Рн= 1.
2 Л,
(п - 1)Л0 + 2Лу
основе анализа ценности информации на конкретном предприятии одним из выбранных методов.
Предполагаемые приведенные затраты на создание и эксплуатацию подсистемы хранения данных определяются достаточно просто. Общие расходы подсчитываются для каждой анализируемой подсистемы с возможными для нее уровнями RAID. С учетом ограничений на быстродействие и емкость подсистем, количество сочетаний подсистема-уровень не велико и позволяет организовать полный перебор перспективных вариантов. Для сокращения вычислительной сложности алгоритма возможно проведенение предварительного отбора вариантов с помощью экспертов.
Пятая группа проблем связана с оценкой и оптимизацией расходов на управление информационными рисками, комплексным применением экономических методов управления информационными рисками предприятий.
Предложенный подход к пониманию содержания информационных рисков требует разработки методологии определения расходов на управление рисками и активного использования экономических методов управления этими рисками. Для снижения ущерба при наступлении рискового события используются нефинансовые и финансовые механизмы. К нефинансовым механизмам относятся создание резервных запасов материальных средств, включая резервное оборудование, дублирование информации, создание средств оперативного обнаружения рисковых событий и локализации их воздействия на ИСП, создание организационных структур (возможно, нештатных) для оценки и устранения последствий информационных рисков, разработка планов действий и инструкций в условиях наступления рисковых событий.
Финансовые механизмы сокращения ущерба, нанесенного информационными рисками, предполагают создание резервов денежных средств и страхование информационных рисков. Расходы на управление определенным информационным риском зависят от того, какая стратегия управления риском выбрана для этого риска: принятие риска; предотвращение информационного риска; минимизация ущерба от риска; предотвращение информационного риска и минимизация ущерба от него.
Выражение для вычисления расходов на управление i- м информационным риском при выборе в отношении него стратегии принятия риска имеет следующий вид: с] = PjUj, где pt - вероятность г- го риска, и, - ожидаемая величина ущерба в денежном исчислении при наступлении г- го риска.
Если в отношении информационного риска выбрана вторая стратегия, то расходы на управление таким риском могут быть подсчитаны следующим образом: c2j = Vj + pjUj , где pj и uj имеют тот же смысл, что и для первой стратегии, а V; - затраты на предотвращение j- го информационного риска.
При выборе третьей стратегии выражение для определения расходов на управление информационным риском имеет вид: = т]к+ ркик. Кроме известных уже обозначений рии,ъ выражении используется величина % , которая обозначает затраты на снижение ущерба от к- го информационного риска.
Если для управления информационным риском выбрана четвертая стратегия, то затраты на управление /- м риском следует определять следующим образом:^4 = + 77/ + р1и1. Все обозначения в выражении совпадают с ранее использованными обозначениями с точностью до индекса.
Если для снижения величины ущерба от к- го информационного риска используются нефинансовые механизмы, а также страхование, то для подсчета затрат на эти механизмы может быть использовано выражение: т]к-ак+\, где а к - затраты на нефинансовые механизмы, 1гк - страховой взнос при страховании от к- го информационного риска.
При страховании информационных рисков расходы предприятий сокращаются на величину страховой суммы <рк в случае наступления к- го рискового события. Иными словами, ущерб щ уменьшается на величину <рк.
Если денежные резервы используются не полностью за рассматриваемый период, то расходы на их создание и использование могут вычисляться следующим образом: Ае = км£-£0 , где Де - расходы на создание и использование собственных и заемных денежных резервов, к > 1 - коэффициент учета затрат на создание и обслуживание резерва, е - сумма резерва, г„ - остаток резервного фонда.
Учитывая все введенные обозначения и приведенные соотношения, затраты предприятия на управление всеми значимыми информационными рисками представим следующим образом:
N } К I
с = I р,«, + ГV + 2•+2№ - рт)+, (3)
м ы ы
где N - общее количество значимых рисков, 7 - количество информационных рисков, для которых используются механизмы предотвращения рисковых событий, К - количество информационных рисков, для минимизации ущерба от которых применяются нефинансовые механизмы, I - количество страхуемых информационных рисков.
В практике страхования общепринято использование коэффициентов для подсчета страхового взноса от страховой суммы. Поэтому в (3) выполним подстановку /г, = к*(р1, где к* - коэффициент, учитывающий вероятность /- го риска:
с = + 2>у + I>* + + Д<г. (4)
Ы у=1 1 /=]
Проведем анализ выражения полных расходов на управление информационными рисками предприятия. Для этого представим нефинансовые величины выражения (4) в виде функциональных зависимостей от затрат. Вероятность информационного риска р^ч) является функцией от затрат на предотвращение этого информационного риска. Величина ущерба зависит от затрат на нефинансовые механизмы снижения ущерба и затрат на создание и обслуживание резерва собственных денежных средств и(«;,Д£,), где &в, - часть собственных
денежных резервов, используемая для снижения ущерба от г- го информационного риска.
Страховая сумма есть функция от ожидаемого ущерба и зависит от тех же затрат, что и ущерб. Страховой взнос зависит от величины страховой суммы и вероятности наступления страхового события.
Снижение вероятности рискового события, величины ожидаемого ущерба, страхового взноса при использовании соответствующих механизмов предотвращения информационного риска и снижения ущерба от него могут учитываться с помощью коэффициентов. Предположим, что при использовании комплекса антивирусных программ коэффициент снижения вероятности недоступности информации в ИСП равен 1/3. Тогда при установке пакета антивирусных средств в ИСП получим значение вероятности недоступности информации:
где р™ - вероятность перехода системы в состояние недоступности информации при наличии антивирусной защиты за определенный период времени (например - за год), кт- коэффициент учета эффективности антивирусного средства и доли вирусов в данном информационном риске, р, - вероятность информационного риска без учета антивирусной защиты.
Зависимость величины ущерба от затрат на механизмы его снижения может быть учтена также с помощью коэффициентов эффективности вводимых механизмов. С использованием системы коэффициентов соотношение (4) принимает вид:
1-1 ]А Ы Ы\
В этом выражении коэффициенты имеют следующие значения. Коэффициент к? (V,) определяет, как изменится вероятность наступления /- го рискового события при использовании механизмов предотвращения риска, затраты на которые составили сумму v,. Коэффициент к^ (у¡) имеет тот же смысл, что и коэффициент к^у,), но для 1-го риска. Коэффициент к"{т,,Д£() учитывает зависимость величины ущерба при наступлении г- го рискового события от суммы вложенных средств в механизмы сокращения величины ущерба. Коэффициент ш„ Дг;) определяет насколько изменится страховая сумма /- го информационного риска по сравнению с исходной (<р[) после введение в СУИР механизмов предотвращения этого риска и снижения ущерба от него. Коэффициент вычисления страхового взноса к1, (у,) выбирается страховщиком в зависимости от эффективности механизмов предотвращения информационных рисков, которые применяет страхователь в своей ЙСП. Считаем, что эффективность механизмов зависит от суммы вкладываемых в них средств.
Система управления информационными рисками является подсистемой системы управления предприятием. Полная оценка расходов на информационные риски должна учитывать взаимодействие данной подсистемы с другими подсистемами предприятия.
В выражении (5) не учитываются затраты на интеграцию всех механизмов защиты от информационных рисков в единую систему управления, затраты ресурсов ИСП и всего предприятия на нужды защиты от информационных рисков. Имеются в виду ресурсы, которые непосредственно не относятся к ресурсам СУИР, но используются для выполнения определенных функций управления информационными рисками.
Если системные затраты подсчитывать как сумму по каждому информационному риску, то выражение для подсчета полных расходов на управление информационными рисками примет следующий вид:
с/=bs + ъп^пща^я, + ¿v,+ix+£(*>,)-
1=1 M j=\ kA Ы\
где Cf- полные расходы на управление информационными рисками, с[~ системные затраты на управление ¡-м информационным риском.
В зависимости от целей анализа расходов на управление информационными рисками могут подсчитываться расходы на создание системы управления информационными рисками, полные расходы на управление рисками за определенный период времени (обычно за один год) и общие расходы на управление информационными рисками на конец определенного года эксплуатации СУИР.
При подсчете полных расходов на управление информационными рисками могут быть использованы положения методики определения совокупной стоимости владения (Total Cost of Ownership, TCO). Применяя данную методику можно решить следующие задачи, связанные с расходованием средств на управление информационными рисками: определение полных расходов на создание и обеспечение функционирования СУИР; сравнение затрат предприятия на управление информационными рисками с такими же затратами на других предприятиях; повышение эффективности инвестирования в управление информационными рисками; определение направлений развития СУИР; обоснование части бюджета предприятия, направляемой на управление информационными рисками; определение эффективности нового проекта развития СУИР; определение стоимости услуг внешних организаций в области управления информационными рисками; определение эффективности СУИР в целом.
По сравнению с существующими методиками, предлагается учитывать все расходы с учетом нового представления об информационных рисках, а также системные расходы. Расходы на управление информационными рисками разделяются на группы в соответствии с целями исследования. Такой подход принят в бухгалтерском управленческом учете. Необходимо учитывать также особенности определения затрат на выполняемые операции, материальные средства, нематериальные активы. Следует учитывать необходимость выделения расходов на защиту от информационных рисков из общих расходов на информационные технологии, поскольку система управления информационными рисками является подсистемой информационной системы предприятия.
Целью управления информационными рисками предприятия является минимизация общих расходов на управление рисками, которые складываются из затрат на противодействие информационным рискам и ущерба, который несет предприятие в случае реализации рисковых событий. Известно, что искомый теоретический минимум общих расходов будет достигаться при равенстве затрат на противодействие информационным рискам и величины ущерба. Для сравнения эффективности СУИР, кроме абсолютных величин показателей, целесообразно использовать относительные величины показателей. Введем относительный показатель эффективности системы СУИР предприятия, который назовем приведенными полными расходами предприятия на управление информационными рисками Сос. Тогда приведенные полные затраты на управление информационными рисками определяются следующим образом:
где Cf- полные годовые расходы на управление информационными рисками, Се - показатель эффективности функционирования предприятия. В качестве показателя эффективности функционирования предприятия могут использоваться: годовая прибыль предприятия, годовой объем производства продукции, годовой товарооборот, объем оказанных услуг и другие.
Приведенные полные расходы на управление информационными рисками позволяют сравнивать эффективность функционирования СУИР разных по масштабам предприятий, а также получать объективную оценку расходов на управление информационными рисками в условиях расширения и реконструкции предприятия.
Выбор того или иного показателя эффективности функционирования предприятия определяется целями исследования. Для сравнения показателей разных по масштабам предприятий или показателей предприятия в условиях реконструкции и развития в качестве показателя эффективности целесообразно выбирать показатели, характеризующие масштабы предприятия: объем произведенной продукции или услуг, стоимость основных средств и т. п.
При анализе эффективности вложения средств в различные сферы деятельности предприятия, при определении структуры расходов может использоваться показатель ROI (Return of Investments). Показатель ROI - это отношение экономического эффекта (прибыли или другого) от проекта к инвестициям, необходимым для реализации этого проекта. Реже ROI определяется как период, в течение которого полностью окупаются инвестиции. Применительно к анализу эффективности СУИР в качестве отношения могут использоваться следующие величины: в числителе - величина снижения ущерба от информационных рисков, а в знаменателе - вложение средств в СУИР (затраты на управление информационными рисками). Обе величины отношения подсчитываются за определенный интервал времени - обычно за один год.
Все приведенные показатели (полные расходы na управление информационными рисками, приведенные полные расходы на управление и ROI) имеют один общий недостаток - имеют статический характер. Они не учитывают воз-
можные изменения экономической ситуации во внешней и внутренней среде предприятия.
Для преодоления этого недостатка оценка эффективности вложения средств в управление информационными рисками может оцениваться с помощью динамических показателей, основанных на методе дисконтированных потоков денежных средств (Discounted Cash Flows - DCF). Оценка может осуществляться с помощью показателя чистой текущей стоимости (Net Present Value - NPV) и внутреннего коэффициента отдачи (Internal Rate of Return - IRR). Коэффициент IRR равен значению ставки дисконтирования, при которой показатель NPVравен 0. Тогда в качестве критерия принятия проекта может быть использовано условие: коэффициент IRR не меньше ставки дисконтирования. В работе приводится пример расчета показателя NPV для оценки инвестиций в проект усовершенствования подсистемы расчетов по банковским картам.
Актуальной является проблема использования страхования информационных рисков в качестве одного из наиболее эффективных механизмов защиты от информационных рисков. Специфику страхованию информационных рисков придают следующие особенности информационных рисков: сложность оценки ущерба от информационных рисков; необходимость обязательной экспертизы (сюрвея) при заключении договора; сложность сбора необходимых статистических данных об информационных рисках; сложность определения и правового подтверждения факта наступления страхового случая. На страхование информационных рисков оказывают влияние и особенности страховой системы и страхового рынка Российской Федерации: отсутствие развитой системы правового регулирования страхования информационных рисков; отсутствие необходимых методик страхования информационных рисков; отсутствие независимых лицензированных организаций аудита информационных систем, имеющих опыт работы в страховом бизнесе; страхование экономических рисков вообще и страхование информационных рисков в частности находятся в стадии становления.
Формальная постановка задачи оптимизации расходов на управление информационными рисками с применением механизмов страхования без ограничения на привлекаемые средства формулируется следующим образом. Требуется распределить средства на создание (приобретение) механизмов управления информационными рисками, включая страхование, таким образом, чтобы обеспечить минимальное значение общих расходов на управление информационными рисками:
С = ^Ркик+£ + Ж+Р1Щ) + £(о, + bj + Pj (a j )Uj {b])) +
+ IK + К + Vz(az,bz)+Pz(az)AUz(az,bz)), z
где К - подмножество принимаемых информационных рисков; е - потери от создания собственных резервов для оперативного снижения ущерба; I - подмножество рисков, которые управляются только с помощью страхования; J -подмножество рисков, в отношении которых применяются только нефинансовые механизмы регулирования; 2 - подмножество рисков, которые регулиру-
ются с помощью нефинансовых механизмов и страхования; а, - затраты на предотвращение г- го информационного риска, Ь,: - затраты на снижение ущерба от г- го информационного риска; - страховой взнос, Р, - вероятность наступления г- го рискового события, - ожидаемый ущерб от г- го рискового события; Д[/, величина франшизы. При установленной величине прибыли от страхования и величине франшизы расходы предприятия на управление /- м информационным риском зависят только от затрат на его предотвращение и снижение ущерба от этого риска. Ожидаемые значения вероятности наступления./- го рискового события и ущерба от этого риска зависят от затрат на нефинансовые механизмы противодействия риску.
Поставленная задача может быть решена одним из рассмотренных переборных алгоритмов. В работе представлена также модель с ограничениями на средства, которые могут быть направлены на управление информационными рисками.
К шестой группе относятся проблемы разработки практических рекомендаций по созданию организационных и организационно-технических подсистем информационной системы предприятия.
В этой группе представлены результаты обоснования рекомендаций по созданию организационной подсистемы СУИР и рекомендации по созданию компьютера защищенной структуры. Обоснование получено в результате использования нового подхода к пониманию информационных рисков, анализа современных технологий и тенденций создания организационно-технических систем, требований нормативно-правовых документов и обобщения практического опыта создания таких систем. В концентрированном виде основные рекомендации по созданию компьютера защищенной структуры могут быть сформулированы следующим образом:
- для выполнения функций обеспечения и контроля качества, а также безопасности обрабатываемой информации целесообразно выделить один из процессоров (ядер) компьютера;
- в архитектуре компьютера следует предусмотреть механизмы, которые обеспечивали бы доступ сотрудников служб безопасности и информационных отделов только к служебной информации, а к рабочей информации были допущены только пользователи ИСП;
- компьютер защищенной структуры должен обеспечивать возможность участия в управлении информационными рисками менеджерам и руководству предприятия, причем процесс должен быть максимально автоматизирован;
- в вычислительных системах, созданных на основе компьютеров защищенной структуры, необходимо реализовать режим функциональной замкнутости, который исключал бы возможность выполнения программ, не имеющих специального паспорта безопасности.
Анализ целей, решаемых задач и принципов построения СУИР показывает, что такая система не может создаваться как отдельная организационная единица предприятия. Задачи управления информационными рисками решаются на
всех уровнях и во всех звеньях управления и производственной деятельности. Каждый сотрудник предприятия в соответствии со своими функциональными обязанностями принимает участие в управлении информационными рисками.
Система управления информационными рисками должна объединять в единую систему все элементы предприятия, участвующие в управлении информационными рисками. Система управления предприятием адаптируется для выполнения, наряду с другими задачами, задач управления информационными рисками. При этом не требуется кардинально изменять организационно-штатную структуру предприятия. Необходимо лишь реорганизовать ее, в максимальной степени приспособить к решению задач управления информационными рисками.
Автором предлагаются следующие пути формирования структуры СУИР: объединение отделов (служб, специалистов) в единую организационную структуру, решающую важные задачи в одной области информационной сферы предприятия; создание нештатных управляющих органов; структурирование функциональных обязанностей сотрудников в области управления информационными рисками; полное комплексное обеспечение эффективного функционирования организационной структуры СУИР.
Структурный анализ иерархии информационных потоков и процессов информационной сферы предприятия позволяет выделить функции, которые необходимо решать в процессе управления информационными рисками. Для выполнения выделенных функций создается организационная система, один из возможных вариантов которой представлен в работе.
По теме диссертации опубликованы следующие основные работы.
I. Монографии
1. Завгородний В.И. Информационные риски: сущность, концепция
управления [Текст] /Завгородний В.И. - М.: ЗАО «Издательство «Экономика», 2007. - 11,0 п.л.
2. Завгородний В.И. Информационные риски и экономическая безопас-
ность предприятия [Текст] /Завгородний В.И. - М.: Финакадемия, 2008. - 9,3 п.л.
3. Завгородний В .И. Управление информационными рисками предпри-
ятия [Текст] /Завгородний В.И. -М.: ИНИОН РАН, 2009. - 11,0 п.л. II. Статьи в периодических научных изданиях, рекомендованных ВАК Министерства образования и науки РФ для опубликования основных результатов диссертации на соискание ученой степени доктора наук
4. Завгородний В.И. Концепция создания ЭВМ защищенной архитектуры
[Текст] /Завгородний В.И. //Безопасность информационных технологий. №1, 2006. - 0,75 п.л.
5. Завгородний В.И. Оценка расходов на управление информационными
рисками [Текст] /Завгородний В.И. //Проблемы теории и практики управления. №4,2006. - 0,45 п.л.
6. Завгородний В.И. Методика выбора механизмов управления информа-
ционными рисками [Текст] /Завгородний В.И. //Вестник Финансовой академии. №3,2006. - 0,9 п.л.
7. Завгородний В.И. Функции персонала предприятия в современной сис-
теме управления информационными рисками [Текст] /Завгородний В.И. // Управление персоналом №18,2007. - 0,3 п.л.
8. Завгородний В.И. Комментарий к новой дисциплине «Управление ин-
формационными рисками» [Текст] /Завгородний В.И. //Вестник Финансовой академии. №3.2007.- 0,6 п.л.
9. Завгородний В.И. Выбор методов и средств управления информацион-
ными рисками [Текст] /Завгородний В.И. //Аудит и финансовый анализ. №5,2007. - 1,2 п. л.
10. Завгородний В.И. Информационные риски: сущность и механизмы
управления [Текст] /Завгородний В.И. //Сегодня и завтра российской экономики. №20,2008. - 0,45 п.л.
11. Завгородний В.И. Системный анализ информационных рисков [Текст]
/Завгородний В.И. //Вестник Финансовой академии. №4, 2008. -0,65 п.л.
12. Завгородний В.И. Информационный риск-менеджмент [Текст]
/Завгородний В.И. //РИСК: Ресурсы. Информация. Снабжение. Конкуренция. №4,2008. - 0,7 пл.
13. Завгородний В.И. Системное управление информационными рисками.
Выбор механизмов защиты от информационных рисков [Текст] /Завгородний В.И. //Проблемы управления. №1,2009. - 0,96 п.л. Ш. Статьи в других периодических изданиях
14. Завгородний В.И. Анализ расходов на управление информационными
рисками [Текст] /Завгородний В.И. //Бюллетень финансовой информации. №9-10 (124-125), 2005. - 0,7 пл.
15. Завгородний В.И. Информация и экономическая безопасность пред-
приятия [Текст] /Завгородний В.И. //Прикладная информатика. №2, 2006. - 0,5 п.л.
16. Завгородний В.И. Информационные и банковские риски [Текст]
/Завгородний В.И. // Банковские услуги .- 2006. - 0,5 п.л.
17. Завгородний В.И. Подготовка студентов к работе в условиях информа-
ционных рисков [Текст] /Завгородний В.И. //Вестник Московского городского педагогического университета. №2,2006. - 0,23 п.л.
18. Завгородний В.И. Управление на информационните рискове (на бол-
гарском языке) [Текст] /Завгородний В.И. // //Бизнес управление. Год XVI Кн.4 Свищов: Полиграфична база на Академично издательство «Ценов» при Стопанска академия «Д.А.Ценов» - Свищов, 2006. - 1,25 п.л.
19. Завгородний В.И. Перспективы создания защищенной ЭВМ [Текст]
/Завгородний В.И. //8О1ШСОМ.2006:Развитие вычислительной техники в России и странах бывшего СССР: история и перспективы. Материалы I Международной конференции В 2 ч. Ч. 2 - Петрозаводск: Петрозаводский государственный университет, 2006. - 0,64 п.л.
20. Завгородний В.И. Управление внедрением новых информационных
технологий на муниципальном уровне [Текст] /Завгородний В.И. // Российская модель местного самоуправления: технологии эффективной реализации: сборник статей Межрегиональной научно-практической конференции. Воронеж: Воронежский государственный университет, 2007. - 0,4 п.л.
21. Завгородний В.И. Информационные риски. Сущность, концепция управления и анализ [Текст] /Завгородний В.И. //Вопросы анализа риска. №2, 2007. - 1,3 п.л.
22. Завгородний В.И. От обеспечения безопасности информации к эффек-
тивности информационной сферы организации [Текст] /Завгородний В.И. Научное, экспертно-аналитическое и информационное обеспечение стратегического управления, разработки и реализации приоритетных национальных проектов и программ. Сб. науч. тр. ИНИОН РАН. Редкол.: Пивоваров Ю.С. (отв. Ред.) и др. - М.: ИНИОН РАН, 2007. - 1,5 пл.
23. Завгородний В.И. Что имеем - бережем. Как обеспечить сохранность
информации [Текст] /Завгородний В.И. //Risk management. №4,2007. -1 п.л.
24. Завгородний В.И. Особенности создания защищенной компьютерной
системы как элемента системы управления информационными рисками [Текст] /Завгородний В.И. //Вестник компьютерных и информационных технологий. №4(46), 2008. - 0,5 п.л.
25. Завгородний В.И. Системный подход к управлению информационными
рисками предприятия [Текст] /Завгородний В.И. Научное, экспертно-аналитическое и информационное обеспечение стратегического проектирования, приоритетных национальных проектов и программ. Сб. науч. тр. ИНИОН РАН. Редкол.: Пивоваров Ю.С. (отв. Ред.) и др. -М.: ИНИОН РАН, 2009. - 1,2 п.л.
26. Завгородний В.И. Управление информационными рисками в условиях
неопределенности [Текст] /Завгородний В.И. Сборник трудов 3-й Международной научно-практической конференции «Информационные технологии в образовании, науке и производстве», 29.06-3.07.2009 г., ч.2. : - Серпухов, 2009, с. 265-267. - 0,3 п.л.
27. Завгородний В.И. Исследование информационных рисков в условиях неопределенности [Текст] /Завгородний В.И. //Информационно-аналитическое обеспечение управления: история и современность: материалы научно-практической конференции. 4.1. - М.: Финакадемия; Тольятти: Изд-во ПВГУС, 2009. - С. 124-134. - 0,57 п.л.
28. Optimization of management by information risks of the enterprise [Текст] /Завгородний В.И. //Сборник доклади от международна научна конференция «Бизнес информатика» 11 октября 2007 г. София: Университет за национално и световно стопанство, 2007. - 0,4 п.л.
Подписано в печать: 23.12.2003
Заказ № 3228 Тираж -150 экз. Печать трафаретная. Типография «11-й ФОРМАТ» ИНН 7726330900 115230, Москва, Варшавское ш., 36 (499)788-78-56 www.autoreferat.ru
Диссертация: содержание автор диссертационного исследования: доктора экономических наук, Завгородний, Виктор Иванович
Введение.
Глава 1. Методологический подход к определению содержания информационных рисков предприятий.
1.1. Анализ содержания и каузальных связей риска, информации, случайности и неопределенности.
1.2. Системный подход к определению понятия "информационный риск".
1.3. Экономические и информационные риски.
1.4. Информационное управление бизнес-процессами предприятия.43 Выводы по главе 1.
Глава 2. Информационный риск-менеджмент.
2.1. Концептуальные основы информационного риск-менеджмента.
2.2. Методологические принципы создания системы управления информационными рисками.
2.3. Принципы организации функционирования систем управления информационными рисками.
2.4. Классификация и общая характеристика механизмов управления информационными рисками.
2.5. Управление информационными рисками на государственном уровне.
2.6. Механизмы обеспечения качества информации.
2.7. Механизмы управления безопасностью информации в информационной системе.
2.8. Финансовые механизмы управления информационными рисками.
Выводы по главе 2.
Глава 3. Методология системного анализа информационных рисков.
3.1. Цели и задачи анализа информационных рисков.
3.2. Таксономия информационных рисков.
3.3. Выбор показателей оценки рисков.
3.4. Выбор методов и средств оценки рисков.
3.5. Методика структурного анализа информационных рисков.
3.6. Моделирование динамических процессов системы управления информационными рисками с помощью нечетких временных сетей Петри.
3.7. Методика использования нечетких сетей Петри для получения нечетких заключений об эффективности системы управления информационными рисками.
3.8. Оценка качества информационных ресурсов на основе иерархической нечеткой модели.
Выводы по главе 3.
Глава 4. Методический инструментарий выбора механизмов управления информационными рисками и подсистем информационной системы предприятия.
4.1. Метод выбора механизмов управления информационными рисками.
4.2. Метод выбора механизмов управления информационными рисками с помощью генетического алгоритма.
4.3. Сравнительный анализ алгоритмов выбора механизмов управления информационными рисками.
4.4. Модель выбора подсистемы хранения данных.
4.5. Модель оптимизации затрат на управление информационным риском с применением механизмов страхования.
4.6. Модель оптимизации затрат на управление всеми значимыми информационными рисками с применением механизмов страхования.
Выводы по главе 4.
Глава 5. Оценка и оптимизация расходов на управление информационными рисками.
5.1. Место экономических методов в системе управления информационными рисками.
5.2. Полные расходы на управление информационными рисками.
5.3. Анализ подходов к определению расходов на управление информационными рисками.
5.4. Затраты на разработку и создание системы управления информационными рисками.
5.5. Определение годовых расходов на управление информационными рисками.
5.6. Оптимизация расходов на управление информационными рисками.
5.7. Неформальный подход к распределению денежных средств на управление информационными рисками.
Выводы по главе 5.
Диссертация: введение по экономике, на тему "Управление информационными рисками"
Актуальность избранной темы. Процесс повсеместного внедрения новых информационных технологий в бизнес-процессы предприятий является одним из основных факторов существенного повышения эффективности современной экономики. Информатизация экономики требует значительных инвестиций в информационную сферу. По данным исследовательской фирмы International data corporation,1 мировые расходы на информационные технологии в 2009 году даже в условиях экономического кризиса составят 1,8 триллиона долларов.
Возрастание значения информации и информационных технологий для каждого предприятия сопровождается усложнением задач управления информационной сферой. Важнейшими из них являются рациональное использование инвестиций в информационные технологии и снижение рисков, связанных с информационными процессами предприятия. В современной научной литературе, в национальных и международных стандартах уделяется большое внимание проблемам управления рисками, связанными с использованием информации в деятельности предприятий. Вместе с тем остается нерешенным целый ряд проблем.
Главная из них - отсутствие методологий управления информационными рисками предприятий, обеспечивающих системный подход к управлению информационной сферой предприятия, ориентированных на достижение конечного результата бизнес-процессов, согласованное использование методов и моделей.
Как правило, проблемы управления качеством и безопасностью информации не интегрируются в единую проблему управления информационной сферой предприятия, с едиными показателями качества и эффективности, ориентированными на конечные результаты деятельности предприятия. Под управлением информационными рисками понимается только процесс обес
1 http://www.idc.com печения безопасности информации. Такой подход затрудняет создание методического аппарата комплексного решения задачи обеспечения качества и безопасности информации, ведет к снижению эффективности управления рисками всей информационной сферы предприятия.
Недооценка важности комплексного подхода к управлению информационными рисками не позволяет установить взаимосвязи информационных и экономических рисков, сказывается на организационном и технологическом уровнях управления информационными рисками. Управлением занимаются, в основном, специалисты отделов информационной безопасности и отделов информационных технологий. Существующие организационные структуры предприятий и технологии управления не позволяют использовать в полной мере возможности руководства и менеджмента различных уровней в процессе управления информационными рисками.
Степень разработанности проблемы. Различные аспекты управления информационными рисками нашли отражение в работах отечественных и зарубежных ученых. Проблемы, связанные с экономическими рисками, исследованы в работах многих ученых: Балабанов И.Т., Бернстайн П., Бланк И.А., Блек Ф., Дункан Р., Ильенкова Н.Д., Красс М.С., Лаврушин О.И., Лаго-ша Б.А., Лиис Ф., Луман Н., Маркович Г., Мертон Р., Мильнер Б., Найт Ф.Х., Салин В.Н, Самуэльсон П., Сенчагов В.К., Фомичев А.Н., Чеботарев С.С., Шоулс М. Учеными разработаны общие закономерности и принципы управления экономическими рисками, проведен анализ, классификация и систематизация рисков, а также даются научно-методические и практические рекомендации по управлению рисками в различных областях экономики. Вместе с тем информационные риски как разновидность экономических рисков рассматриваются лишь в работах отдельных ученых. Результатом такого подхода является недооценка важности управления информационными рисками и экономических методов управления информационными рисками.
Современная информатика является теоретическим базисом построения информационных систем, обеспечения качества и безопасности информации.
Основы информатики заложили следующие выдающиеся ученые: Берг А.И., Винер Н., Глушков В.М., Ершов А.П., Канторович JL В., Келдыш М.В., Колмогоров А. Н., Лебедев С.А., Ляпунов A.A., Марчук Г.И., Мочли Д.У., Джон фон Нейман, Семенихин B.C., Соболев С.Л., Трапезников В.А., Экерт Д.П. и другие.
Методологической базой исследования сложных систем, к которым относятся информационные системы, является теория систем и системный анализ. Наибольший вклад в развитие этого научного направления внесли Акофф Р., Берталанфи Л., Волкова В.Н., Денисов A.A., Дрогобыцкий И.Н., Емельянов A.A., Клейнер Г.Б., Макол P.E., Месарович М., Оптнер С., Перегудов Ф.И., Поспелов Д.А., Прангишвили И.В., Черняк Ю.И., Черчмен У. и др. Методы и нотации структурного системного анализа, а также поддерживающие их CASE-системы представлены в трудах Буча Г., Гейна К., Йордана Э., Калянова Г.Н., Росса Д., СарсонаТ., Шеера А.-В., Якобсона И. и других.
Проблемы оценки качества информации и надежности аппаратных и программных средств рассматриваются в трудах Байхельта Ф., Липаева В.В., Майерса Г., Ушакова И.А., Франкена П., Ясина Е.Г. и других.
Математические методы, модели и инструментарий анализа и оценки рисков представлены в работах Емельянова A.A., Костогрызова А.И., Куль-бы В.В., Степанова П.В., Хрусталева Е.Ю. и многих других.
Тематика обеспечения информационной безопасности нашла отражение в работах таких ученых как Бородакий Ю.В., Галатенко В.А., Герасименко В.А., Грушо A.A., Зегжда П.Д., Кастельс М., Конявский В.А., Мафтик С., Мун С., Петренко С.А., Росс Г.В., Стенг Д.И., Тимонина Е.Е., Хофф-ман Л.Дж., Щербаков А.Ю. и др.
В настоящее время теория и практика создания аппаратно-программных средств и технологий их применения успешно развиваются. Сложнее решаются вопросы, связанные с обеспечением качества первичной информации, формальным представлением и оценкой эффективности взаимодействия человека с техническими системами. Не решена задача интегральной оценки влияния качества и безопасности информации на развитие других экономических рисков, на конечные результаты деятельности предприятий.
В последние годы особую остроту приобрели проблемы обеспечения безопасности информации. Этим и объясняется внимание к вопросам информационной безопасности со стороны отечественных и зарубежных ученых и специалистов. Наибольшее внимание ученые уделяют развитию механизмов обеспечения информационной безопасности, основанных на использовании аппаратных, программных и криптографических средств защиты. Следует также отметить отдельные исследования в области теории построения систем защиты информации, создания методического и инструментального аппарата анализа отдельных рисков. В то же время не развита методология оценки безопасности информации с позиций достижения конечных целей бизнеса и применения экономических методов управления информационными рисками.
Пока еще не создана концепция управления информационными рисками, в которой бы с системных позиций рассматривались все составляющие качества и безопасности информации, влияющие на эффективность ее использования в бизнес-процессах.
Существующие методы и средства анализа информационных рисков не объединены в рамках единой методологии, и могут применяться, как правило, только для исследования отдельных вопросов безопасности и качества информации. Не уделяется должного внимания использованию методов мягких вычислений для решения проблем анализа и синтеза систем управления информационными рисками.
В целом можно сделать вывод об актуальности и недостаточной степени разработанности проблемы управления информационными рисками на теоретическом, методологическом и методическом уровнях, что и обусловило выбор темы настоящего исследования и определило его цели и задачи.
Целью диссертационной работы является решение научной проблемы развития методологии управления информационными рисками.
В рамках поставленной цели выделено три основные подцели с соответствующими им задачами.
Подцель 1 - системное исследование основных свойств информационных рисков, определение их содержания и места среди экономических рисков.
Для достижения этой цели поставлены и решены следующие основные задачи:
- определение основного содержания информационных рисков, случайности и неопределенности;
- уточнение понятийного аппарата управления информационными рисками;
- определение взаимосвязи информационных и экономических рисков.
Подцель 2 - разработка концепции информационного рискменеджмента.
Для достижения этой цели поставлены и решены следующие основные задачи:
- определение целей и задач информационного риск-менеджмента, обоснование структуры информационного риск-менеджмента;
- обобщение и адаптация методологии системного подхода к исследованию информационных рисков;
-определение целей, задач и стратегий управления информационными рисками, формирование методологических принципов анализа и создания систем управления информационными рисками;
- построение таксономии информационных рисков;
- классификация и характеристика механизмов управления информационными рисками предприятия.
Подцель 3 - разработка методологии управления информационными рисками.
Для достижения этой цели поставлены и решены следующие основные задачи:
- разработка методики системного анализа информационных рисков;
- разработка методов и моделей выбора механизмов управления информационными рисками и подсистем информационной системы с применением экономических методов управления;
- структуризация расходов и определение полных расходов предприятия на управление информационными рисками;
- определение эффективности затрат на управление информационными рисками.
Объект и предмет исследования. Объектом исследования является процесс управления предприятиями и организациями различных отраслей и организационно-правовых форм собственности.
Предметом исследования являются методы и модели управления информационными рисками хозяйствующих субъектов.
Теоретические и методологические основы работы. Проведенные исследования базируются на применении системного структурного анализа, теории множеств, теории нечетких множеств и нечеткой логики, теории графов, нечетких сетей Петри, генетических алгоритмов, марковских процессов, теории вероятностей, теории рисков.
В процессе исследования были проанализированы и использованы нормативные и методические документы, стандарты, специальная и периодическая литература, справочно-статистические материалы, результаты разработок отечественных и зарубежных ученых, материалы периодической печати, информация официальных веб-сайтов, материалы научных и научно-практических конференций, семинаров в области теории информации, информационных систем, информационной безопасности и риск-менеджмента.
Содержание работы соответствует основным положениям п. 1.4. Разработка и исследование моделей и математических методов анализа микроэкономических процессов и систем: отраслей народного хозяйства, фирм и предприятий, домашних хозяйств, рынков, механизмов формирования спроса и потребления, способов количественной оценки предпринимательских рисков и обоснования инвестиционных решений и п. 2.6. Развитие теоретических основ методологии и инструментария проектирования, разработки и сопровождения информационных систем субъектов экономической деятельности: методы формализованного представления предметной области, программные средства, базы данных, корпоративные хранилища данных, базы знаний, коммуникационные технологии Паспорта специальности ВАК 08.00.13 - "Математические и инструментальные методы экономики".
Научная новизна исследования заключается в разработке теоретико-методологического базиса управления информационными рисками в рамках нового научного направления - информационного риск-менеджмента.
Научную новизну содержат следующие положения работы, которые выносятся на защиту:
1) расширено представление о научной категории "информационный риск":
- под информационным риском понимается возможность наступления случайного события в информационной сфере предприятия, оказывающего негативное влияние не только на безопасность, но и на качество управляющей информации;
- изменение представления об информационном риске позволяет рассматривать управление информационными рисками как системное управление всеми рисками, связанными с получением, обработкой, хранением, передачей и использованием информации в управлении бизнес-процессами;
2) анализ информационного риска как случайного события, позволил обосновать следующие положения:
- наряду с объективной случайностью существует субъективная случайность риска, которая вносится при использовании недостоверной, неактуальной, неполной информации в процессе управления любыми социально-экономическими или человеко-машинными системами (процессами);
- информационный риск рассматривается как мегариск в социально-экономических системах, присутствующий в виде информационной составляющей во всех рисках, в том числе и в экономических;
- понятие "управление информационными рисками" распространяется на область управления информационными рисками в условиях статистической неопределенности;
3) развиты основные теоретико-методологические положения информационного риск-менеджмента, как нового направления в риск-менеджменте:
- сформирована концепция информационного риск-менеджмента, включающая понятийный аппарат, цели, задачи, принципы управления информационными рисками и построения систем управления информационными рисками;
- разработана методика системного анализа информационных рисков, в основу которой положено представление процесса функционирования предприятия с помощью моделей потоков данных и событий. Она включает частные методики и направлена на определение общих расходов на управление информационными рисками, которые складываются из затрат на управление рисками и суммарного ущерба от них;
- особое внимание уделяется получению и обеспечению качества входной информации, взаимодействию с внешней средой, связи информационных рисков с бизнес-процессами, изменению роли менеджмента предприятий в управлении информационными рисками;
4) предложена двухкомпонентная классификация информационных рисков, которая отличается от существующих классификаций:
- наличием индексированной схемы классификации и таблицы, обеспечивающих полноту представления характеристик рисков и удобство использования;
- возможностью автоматизированной обработки характеристик и дополнения таблицы новыми данными о результатах анализа рисков;
5) обобщены принципы построения систем управления информационными рисками и предложены новые принципы, учитывающие особенности целей и задач использования таких систем:
- анализ и создание системы управления информационными рисками (СУИР) осуществляется на основе представления информационной сферы предприятия в виде метасистемы;
- обеспечение возможности активного воздействия информационной системы предприятия на внешнюю среду;
- создание новых информационных технологий, позволяющих специалистам и менеджерам предприятия перейти на системный уровень управления качеством и безопасностью информации;
6) разработан методический инструментарий анализа информационных рисков:
- иерархическая нечеткая модель и инструментальные средства оценки качества информационных ресурсов, основанные на применении лингвистических переменных и отличающиеся повышенной точностью и информативностью;
- модель для исследования динамических процессов систем управления информационными рисками, особенность которой заключается в использовании нечетких временных сетей Петри с ингибиторными связями;
- модель, построенная на основе нечетких сетей Петри, для получения нечетких заключений об эффективности системы управления информационными рисками или ее подсистем;
7) создан методический аппарат выбора механизмов управления информационными рисками и подсистемы хранения данных:
- методы и инструментальные средства выбора механизмов управления информационными рисками, которые отличаются возможностью учета совместимости механизмов и включают два метода, построенные на основе модифицированного жадного алгоритма и генетического алгоритма;
- методы выбора механизмов управления информационными рисками, допускающие совместное использование отдельных и агрегированных механизмов, а также наличие условия об обязательном включении в СУИР определенных механизмов;
- модель выбора подсистемы эффективного хранения данных, основанная на использовании аппарата цепей Маркова;
8) разработано методическое обеспечение определения и оптимизации расходов на управление информационными рисками:
- модель оптимизации затрат на управление значимыми информационными рисками с применением механизмов страхования информационных рисков, которую отличает возможность моделирования без ограничения средств на управление и в условиях лимита денежных средств;
- структурированы расходы и предложена модель определения полных расходов предприятия на управление информационными рисками, которую отличает от известных учет затрат на обеспечение качества информации и системных затрат.
Практическая значимость исследования состоит в возможности широкого использования полученных методических и инструментальных средств в процессе анализа и оценки информационных рисков, а также при построении и совершенствовании систем управления информационными рисками предприятий.
Материалы исследований могут применяться также при подготовке и переподготовке кадров на занятиях по экономическим дисциплинам, при подготовке специалистов по экономической и информационной безопасности в процессе изучения таких дисциплин, как "Информационная безопасность компьютерных систем", "Информационная безопасность", "Информационная безопасность бизнеса", "Управление информационными рисками".
Самостоятельное практическое значение имеют:
1) методика и инструментальные средства выбора механизмов управления информационными рисками;
2) методика и инструментальные средства оценки качества информационных ресурсов;
3) методика получения нечетких заключений об эффективности системы управления информационными рисками;
4) методика исследования динамических процессов системы управления информационными рисками;
5) методика выбора системы хранения данных;
6) предложения по совершенствованию организационной структуры системы управления информационными рисками;
7) практические рекомендации по созданию компьютера защищенной архитектуры.
Апробация и внедрение результатов исследования. Материалы диссертационной работы внедрены в деятельность ряда научно-исследовательских институтов и предприятий: НИИ автоматической аппаратуры им. академика B.C. Семенихина, Московского научно-исследовательского телевизионного института, Военной страховой компании, Горьковского автомобильного завода, Расчетной палаты Московской межбанковской валютной биржи. Результаты внедрения результатов работы подтверждены соответствующими документами.
Материалы исследований используются в образовательном процессе по дисциплинам "Информационная безопасность компьютерных систем", "Информационная безопасность", "Информационная безопасность бизнеса" в Финакадемии. Исследование проводилось в рамках НИР Финакадемии по комплексной теме: "Пути развития финансово-экономического сектора России".
Полученные теоретические и методологические результаты докладывались на 20-ти международных, всероссийских и региональных конференциях и семинарах в том числе на IV Всесоюзном совещании по распределенным вычислительным системам массового обслуживания (Душанбе, 1991), на II научно-технической конференции Московского военного университета радиоэлектроники (Кубинка, 1997), на Международной конференции "Развитие вычислительной техники в России и странах бывшего СССР: история и перспективы" (Петрозаводск, 2006), на II Международной научно-технической конференции "Информационные технологии в науке, образовании и производстве" (Орел, 2006), на Национальном форуме по информационной безопасности "Инфофорум 2007" (Москва, 2007), на Международной конференции "Бизнес информатика" (София, 2007), на XV Всероссийской научно-практической конференции "Проблемы информационной безопасности в системе высшей школы" (Москва, МИФИ, 2008), на Международной научно-практической конференции "Информационные технологии в образовании, науке и производстве" (Серпухов, 2009).
Публикации. Основные результаты диссертации отражены в 45-ти научных публикациях, авторский объем в которых составляет 54,28 п.л. В число опубликованных работ входят три монографии и 10 статей в периодических изданиях из Перечня ВАК, а также две публикации в зарубежных издательствах.
Диссертация: заключение по теме "Математические и инструментальные методы экономики", Завгородний, Виктор Иванович
Основные результаты исследования получены вследствие нового подхода к пониманию содержания категории «информационный риск». Существующий в настоящее время взгляд на раздельное управление информационной безопасностью и качеством информации не позволяет решить проблему эффективного использования информации в управлении предприятием.
Только системный подход к обеспечению качества и безопасности информации, позволяет сформировать теоретико-методологические основы управления информационными процессами предприятия, которые направлены на достижение эффективности и устойчивости бизнес-процессов. В этом случае появляется возможность оценить информационные риски в тесной связи с конечными результатами хозяйственной деятельности, увязать в единой методологии методы анализа технологических процессов получения, хранения, обработки, представления и передачи информации с экономическими методами оценки и управления информационной сферой предприятия.
Одним из основных результатов исследования является обоснование наличия субъективной случайности в информационных рисках, которая воспринимается человеком вследствие отсутствия у него достоверной, полной и актуальной информации на момент принятия решения. Этот вывод позволил сделать заключение о наличии информационной составляющей во всех экономических рисках. Управлять экономическим риском означает управлять и информационной сферой, в той ее части, которая обусловливает появление экономических рисков.
Управление информационными рисками предложено осуществлять в рамках нового раздела менеджмента - информационного риск-менеджмента. В ходе исследования сформированы концептуальные основы информационного риск-менеджмента и методология управления информационными рисками.
В процессе работы над концепцией информационного риск-менеджмента определены понятийный аппарат, цели, задачи и основные принципы управления информационными рисками.
Основу методологии управления информационными рисками составляет системный подход. Информационную сферу предприятия предложено представлять в виде метасистемы, состоящую из двух систем: внешней и внутренней. Такое отображение информационной сферы позволяет более полно представить внешнюю среду, ее взаимосвязь с внутренней средой. Исследование информационных рисков предложено осуществлять на основе системного структурного анализа.
Разработанная методика структурного анализа, основанная на использовании диаграмм потоков данных и событий, позволяет оценивать информационные риски на каждом из выделенных уровней. Единая методика объединяет в себе множество частных методик, направленных на получение единого показателя эффективности системы управления информационными рисками. Проведен анализ возможных методов и моделей для применения в частных методиках. В условиях значительной информационной неопределенности доказана необходимость применения методов мягких вычислений, а также предложены пути снижения неопределенности исходных данных моделирования.
Возможности методики структурного анализа информационных рисков показаны на примере из банковской сферы. Часть методов, моделей и инструментальных средств для частных методик разработана в ходе исследований. Другая часть может быть реализована с помощью известных методов, рекомендации по использованию которых приводятся в работе.
К числу созданных методических инструментов анализа информационных рисков относятся:
- иерархическая нечеткая модель и инструментальные средства оценки качества информационных ресурсов, основанные на применении лингвистических переменных;
- модель для исследования динамических процессов систем управления информационными рисками;
- модель, построенная на основе нечетких сетей Петри, для получения нечетких заключений об эффективности системы управления информационными рисками или ее подсистем.
Для проведения анализа систем управления информационными рисками следует использовать разработанные классификации информационных рисков и механизмов управления информационными рисками.
В ходе исследований получен ряд результатов, которые могут применяться при построении и модернизации системы управления информационными рисками:
- методы и инструментальные средства выбора механизмов управления информационными рисками;
- методы выбора механизмов управления информационными рисками, допускающие совместное использование отдельных и агрегированных механизмов, а также наличие условия об обязательном включении в СУИР определенных механизмов;
- модель выбора подсистемы эффективного хранения данных.
Разработано также методическое обеспечение определения и оптимизации расходов на управление информационными рисками:
- модель оптимизации затрат на управление значимыми информационными рисками с применением механизмов страхования информационных рисков;
- структурированы расходы и предложена модель определения полных расходов предприятия на управление информационными рисками.
Таким образом, в работе представлен системный подход к управлению информационными рисками, показана связь информационных и экономических рисков.
Заключение
Диссертация: библиография по экономике, доктора экономических наук, Завгородний, Виктор Иванович, Москва
1. Авдийский В.И. Прогнозирование и анализ рисков в деятельности хозяйствующих субъектов: научные и практические основы Текст. / В.И Авдийский, Ш.Р. Курмашов; под общ. ред. М.А. Эскиндарова. - М.: Финакадемия, 2003. - 392 с.
2. Авдонин Б.Н. Методы экономической оценки новых технологий в условиях рыночного хозяйства Текст. / Б.Н. Авдонин // Н.-т. сб. Экономика и коммерция. М.: ЦНИИ Электроника, 1997. - №2. - С. 3-8.
3. Аграновский A.B. Основы технологии проектирования систем защиты информации в информационно-телекоммуникационных системах: Монография Текст. / A.B. Аграновский и др. — Ростов — на Дону: Из-дат-во СКНЦ ВШ, 2006. - 260 с.
4. Акофф Р. Искусство решения проблем Текст. / Р. Акофф. М.: Мир, 1982.-224 с.
5. Александров A.B. Приложение теории графов в защите информации :уч. пособие Текст. / A.B. Александров, М.Ю. Звягин ; под ред. Ю.Монахова. Владимир: Изд-во Владимирского государственного университета, 2006. - 104 с.
6. Александрович Г .Я. Автоматизация оценки информационных рисков компании Текст. / Г.Я. Александрович, С. Н. Нестеров, С. А. Петренко // Безопасность компьютерных систем. Конфидент. 2003. - №2. С. 7881.
7. Ален Р. Математическая экономика Текст. / Р.Ален. М.: Изд-во иностранной литературы, 1963. 667 с.
8. Антимонов С.Г. Многоядерные комплексы новое поколение корпоративной антивирусной защиты Текст. / С.Г.Антимонов,
9. В.Н. Мамыкин // Бизнес и безопасность в России. 2006. - №44, С. 100103.
10. Антонов А.И. Системный анализ Текст. / А.И.Антонов. М.: Высшая школа, 2004. - 454 с.
11. Анфилатов B.C. Системный анализ в управлении: Учебное пособие Текст. / B.C. Анфилатов, A.A. Емельянов, A.A. Кушкин; под ред. A.A. Емельянова. М.:Финансы и статистика, 2007. -368 с. ISBN 978-5-27902435-3.
12. Арене А. Аудит Текст. / А. Арене, Дж. Лоббек; [пер. с англ.]; [гл. ред. серии проф. Я.В. Соколов]. М.: Финансы и статистика, 1995. - 560 с.
13. Арменский А.Е. Информационная и экономическая безопасность государства Текст. / А.Е. Арменский, B.C. Гусев, А.Е. Петров. М.: "Мобиле", 2003. - 228 с.
14. Архипова Н. И. Управление в чрезвычайных ситуациях Текст. / Н. И. Архипова, В.В. Кульба. -2-е изд., перераб. и доп. М.: Рос. гос. Гуманит. Ун-т, 1998. - 316 с.
15. Астахов А. М. Аудит безопасности информационных систем Текст. / A.M. Астахов //Безопасность компьютерных систем. Конфидент. -2003.-№2.-С. 90-96.
16. Баззел Р.Д. Информация и риск в маркетинге Текст. / Р.Д. Баззел, Д.Ф. Кокс, Р.В. Браун. М.: Финстатинформ, 1993. - 96 с.
17. Байхельт Ф. Надежность и техническое обслуживание. Математический подход Текст. / Ф. Байхельт, П. Франкен; [пер. с нем.]. М.: Радио и связь, 1988.-392 с.
18. Балабанов И.Т. Риск-менеджмент Текст. / Балабанов И.Т. М.: Финансы и статистика, 1996. - 192 с.
19. Лаврушин О.И. Банковское дело Текст. / О.И. Лаврушин, И.Д. Мамонова, Н.И. Валенцева; под ред. О.И. Лаврушина. М.: КноРус, 1992. - 432 с. -ISBN: 978-5-390-00452-4.
20. Барбаумов В.Е. Энциклопедия финансового риск-менеджмента Текст. /В.Е. Барбаумов [и др.]. 2-е изд. М.: АльпинаБизнес Букс, 2005. - 877 с.
21. Батыршин И.З. Нечеткие гибридные системы. Теория и практика Текст. / И.З. Батыршин [и др.]; под ред. Н.Г. Ярушкиной. Физматлит, 2007. - 208 с.
22. Баяндин Н.И. Технологии безопасности бизнеса: введение в конкурентную разведку: учебно-практич. пособие Текст. / Н.И. Баяндин. -М.: Юристъ, 2002. 320 с.
23. Безрук Г.Г. Информационно-аналитическая работа на предприятии Текст. / Г.Г. Безрук // Защита информации. Инсайд. 2007. - №6.1. С. 18-24.
24. Белошапка В.К. Информационное моделирование в примерах и задачах Текст. / В.К. Белошапка.- Омск: Изд-во ОГПИ, 1992. 185 с.
25. Бешелев С.Д. Математико-статистические методы экспертных оценок Текст. / С.Д. Бешелев, Ф.Г. Гурвич. М.: Статистика, 1980. - 263 с.
26. Бланк И.А. Основы финансового менеджмента Текст. / И.А. Бланк -Киев: Ника-Центр, 1999. Т.2. - 203 с.
27. Большая советская энциклопедия Текст. / Под ред. A.M. Прохорова.- Изд. 3-е. М.: Советская энциклопедия. - 1972. - Т. 10.-591 с.
28. Большой экономический словарь Текст. / Под ред. А.Н. Азриляна. -Изд 5-е, доп. и перераб. М.: Институт новой экономики, 2002. - 1280с.
29. Брэгг Р. Безопасность сетей: полное руководство Текст. / Р.Брег, М.Родс-Оусли, К.Страссберг:[пер. с англ. Г.Трубникова, Я.Майсовой, М.Фадеевой]. -М.: ЭКОМ: Бином. Лаб. знаний, 2006. 971 с. ISBN 57163-0132-0.
30. Бурмин В.А. Теоретические и прикладные аспекты защиты объектов информатизации Текст. / В.А. Бурмин. М.: Радиотехника, 2007. - с. 235.
31. Буторин В.К. Прикладной системный анализ и риск Текст. / В.К. Буторин [и др.]. Кемерово: Кузбассвузиздат АСТШ М. Рос. ун-ты, 2005.- 103 с.
32. Буянов В.П. Рискология (управление рисками): учебное пособие Текст. / В.П. Буянов, К. А. Кирсанов, JI.M. Михайлов. Изд. 2-е, испр. и доп. - М.: Издательство "Экзамен", 2003. - 384 с.
33. Бьюзен Т. и др. Интеллектуальный руководитель. (Как экономить деньги, время и побудить людей мыслить) Текст. / Т. Бьюзен: [пер. с англ]. -МН.: ООО "Попурри", 2001.-256 с.
34. Васильчук Е.С. Бизнес планирование и оценка рисков в предпринимательской деятельности Текст. /Е.С. Васильчук, А.Н. Рухманова. -Иваново: Ивановский государственный университет, 1996. 123 с.
35. Бахрушина М.А. Бухгалтерский управленческий учет: учебник для вузов Текст. / М.А. Бахрушина. Изд.2-е, доп. и пер. - М.: Омега-JI; Высш. шк., 2003. - 528 с.
36. Вилкас Э.Й. Оптимальность в играх и решениях Текст. / Э.Й. Вил-кас.-М.: Наука, 1990.-256 с.
37. Винер Н. Кибернетика и общество Текст. / Н. Винер. М.: Советское радио, 1958.-31 с.
38. Винер Н. Кибернетика, или управление и связь в животном и машине Текст. / Н. Винер. Изд. 2-е. - М.: Сов. радио, 1968. -201 с.
39. Волков А.Е. и др. Модели и методы синтеза оптимальных модульных диалоговых систем обработки данных в автоматизированных банковских системах Текст. / А.Е. Волков [и др.]. Тольятти, 2001. - 160 с.
40. Волкова В.Н. Теория систем: учебник для студентов вузов Текст. /
41. B.Н. Волкова, A.A. Денисов A.A. М.: Высшая школа, 2006. - 510 с.
42. Воробьев Г.Г. Информационная экономика: предмет и проблемы Текст. / Г.Г. Воробьев. (Препринт). - М.: 1987. - 54 с.
43. Воробьев С.Н. Управление рисками в предпринимательстве Текст. /
44. C.Н. Воробьев. М.: Дашков и Ко, 2005. 769 с.
45. Воройский Ф.С. Информатика. Новый систематизированный толковый словарь-справочник Текст. / Ф.С. Воройский. Изд.2-е перераб. и доп. — М.: Издательство Либерия, 2001. — 536 с.
46. Гайкович В. Безопасность электронных банковских систем Текст. / В. Гайкович, А. Першин. М.: Компания Единая Европа, 1994. —264 с.
47. Гайсина Д.В. Моделирование рисков банковских операций с пластиковыми картами Текст. / Д.В. Гайсина. дис. канд. экон. наук — М.: Финансовая академия, 2003. — 128 с.
48. Галдин К.В. Управление рисками Текст. / К.В. Галдин. М.: Юнити, 2005.-511 с.
49. Гамаонов В.Г. Информация, информатизация, управление: системный подход. Монография Текст. / В.Г. Гамаонов. Владикавказ: изд-во Северо-Осетинского научного центра, 2000. - 192 с.
50. Гамза В.А. Безопасность коммерческого банка: учебно-практическое пособие Текст. / В.А. Гамза, И.В. Ткачук. М.: Издатель Шумилова И.И., 2000.-216 с.
51. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: в 2 т. Текст. / В.А. Герасименко. М.: Энер-гоатомиздат, 1994. - т. 1. - 400 с.
52. Герасименко В.А. Основы защиты информации Текст. / В.А. Герасименко, A.A. Малюк. М.: МОПО РФ, МИФИ, 1997. - 537 с .
53. Герасименко В.А. Информационная безопасность в банках России: потери, прогноз развития и некоторые пути решения Текст. / В.А. Герасименко, В.В. Сергеев // Тезисы докладов международной конференции «Безопасность информации». — Москва, 1997. с. 165.
54. Гиляревский P.C. Современная информатика: наука, технология, деятельность Текст. / P.C. Гиляревский [и др.]; под ред. Ю.А. Арского. М.: ВИНИТИ, 1998. - 220 с.
55. Гладков JI.A. Генетические алгоритмы Текст. / Л.А.Гладков, В.В. Курейчик, В.М. Курейчик. М.: Физматлит, 2006. - 320 с.
56. ГОСТ 15971-90. Системы обработки информации. Термины и определения. Взамен ГОСТ 15971-84 Текст. . М.: Издательство стандартов, 1990.-6 с.1. Зп о
57. Гостехкомиссия РФ. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации Текст. . M.: Jet Info, 1996. - №2.
58. Грабовый П.Г. Риски в современном бизнесе Текст. / П.Г. Грабовый [и др]. М.: Алане, 1994. - 240 с.
59. Громов Г.Р. Национальные информационные ресурсы: проблемы промышленной эксплуатации Текст. / Г.Р. Громов. — М.: Наука, 1985. -237 с.
60. Губанов В. Библия и наука против астрологии Текст. / В. Губанов. -М.: "Бост-К", 2004. 607 с.
61. Губко М.В. Теория игр в управлении организационными системами Текст. / М.В. Губко, Д.А. Новиков. М.: Синтег, 2002. 148 с.
62. Гусаров Ю.В. Технологии защиты информации ОКБ САПР Текст. / Ю.В. Гусаров, М.Г. Мищенко. М.: МАКС Пресс, 2006. - ISBN 5-1701701-7.
63. Гухман В.Б. Информатика в системе философского доказательства Текст. / В.Б. Гухман. — Тверь: Тверской гос. технич. ун-т, 1998. — 276 с.
64. Гэри М. Вычислительные машины и труднорешаемые задачи Текст. / М. Гэри, Д. Джонсон М.: Мир, 1982. - 416 с.
65. Давыдов C.B. Информация путь к познанию Текст. / C.B. Давыдов. - М.: Изд-во МГАПИ, 2002. - 91 с.
66. Данилов В.И. Методы группового выбора Текст. / В.И. Данилов, А.И. Сотсков. -М.: Наука, 1991. 176 с.
67. Денисов A.A. Современные проблемы системного анализа: Информационные основы: учебное пособие Текст. / A.A. Денисов. СПб: Изд-во СПбГТУ, 2005. - 295 с.
68. Диксон Дж. Проектирование систем: изобретательство, анализ, принятие решений Текст. / Дж. Диксон. М.: Мир, 1969. - 323 с.
69. Добров Г.М. Экспертные оценки в научно-техническом прогнозировании Текст. / Г.М. Добров [и др.]. Киев: Наукова думка, 1974.263 с.
70. Доктрина информационной безопасности Российской Федерации. Утверждена Президентом Российской Федерации 09.09.2000 г. Текст. // Российская газета. 2000. - 28 сентября.
71. Доладов К.Ю. Экономическая оценка инвестиционного риска при принятии управленческих решений Текст. / К.Ю. Доладов. Самара: Самар. гос. архитектур.-строит. ун-т, 2005. - 154 с.
72. Дрогобыцкий И.Н. Системный анализ в экономике. — М.: Финансы и статистика Текст. / И.Н. Дрогобыцкий, 2007. 512 с.
73. Дубров А.М. Моделирование рисковых ситуаций в экономике и бизнесе: учебное пособие Текст. / А.М. Дубров, Б.А. Лагоша, Е. Ю. Хру-сталев. М.: Финансы и статистика, 1999. — 174 с.
74. Ехлаков Ю. П. Информационные технологии в управлении и принятии решений Текст. / Ю. П.Ехлаков [и др.]. Томск: Изд-во Том. ун-та, 1997.-238 с.
75. Жариков Н.И. Модель оценки риска компьютерных систем по базовым и обобщенным показателям уязвимости Текст. / Н.И. Жариков. -Челябинск. 2001. 115 с.
76. Завгородний В.И. Анализ информационных рисков Текст. /
77. В.И. Завгородний. //Информационные технологии в науке, образовании и производстве. Материалы II Международной научно-технической конференции в 2 т. Т1. Орел: ОрелГТУ, 2006. С. 73-78.
78. Завгородний В.И. Выбор методов и средств управления информационными рисками Текст. / В.И. Завгородний //Аудит и финансовый анализ. 2007. - №5. - С. 135-140.
79. Завгородний В.И. Информационные и банковские риски Текст. / В.И. Завгородний // Банковские услуги. 2006. - №10. - С.9-13.
80. Завгородний В.И. Информационные риски и экономическая безопасность предприятия Текст. / В.И. Завгородний. М.: Финакадемия, 2008.- 160 с.
81. Завгородний В.И. Информационные риски: сущность и механизмы управления Текст. / В.И. Завгородний //Сегодня и завтра российской экономики. 2008. -№20. - С.51-55.
82. Завгородний В.И. Информационные риски: сущность, концепция управления Текст. / В.И. Завгородний. М.: ЗАО «Издательство «Экономика», 2007. - 177 с.
83. Завгородний В.И. Информационный риск-менеджмент Текст. / В.И. Завгородний //РИСК: Ресурсы. Информация. Снабжение. Конкуренция. 2008. - №4. - С.52-55.
84. Завгородний В.И. Информация и экономическая безопасность предприятия Текст. / В.И. Завгородний //Прикладная информатика. — 2006. — №2.-С. 107-113.
85. Завгородний В.И. Комментарий к новой дисциплине "Управление информационными рисками" Текст. / В.И. Завгородний //Вестник Финансовой академии. 2007. - №3. - С. 78-86.
86. Завгородний В.И. Комплексная защита информации в компьютерных системах: учебное пособие Текст. / В.И. Завгородний. — М.: Логос, 2001.-264 с.
87. Завгородний В.И. Концепция создания ЭВМ защищенной архитектуры Текст. / В.И. Завгородний //Безопасность информационных технологий. 2006. - №1. - С. 15 - 20.
88. Завгородний В.И. Методика выбора механизмов управления информационными рисками Текст. / В.И. Завгородний //Вестник Финансовой академии. 2006. - №3. - С. 137 - 148.
89. Завгородний В.И. Оценка расходов на управление информационными рисками Текст. / В.И. Завгородний //Проблемы теории и практики управления. 2006. - №4. - С.82-88.
90. Завгородний В.И. Подготовка студентов к работе в условиях информационных рисков Текст. / В.И. Завгородний //Вестник Московского городского педагогического университета. — 2006. — №2. С.73-74.
91. Завгородний В.И. Системное управление информационными рисками. Выбор механизмов защиты от информационных рисков Текст. / В.И. Завгородний //Проблемы управления. 2009. - №1- С.53-58.
92. Завгородний В.И. Системный анализ информационных рисков. //Вестник Финансовой академии. №4, 2008. с. 102-109.
93. Завгородний В.И. Управление информационными рисками предприятия Текст. / В.И. Завгородний. М.: ИНИОН РАН, 2009. - 174 с.
94. Завгородний В.И. Управление на информационните рискове Текст. / В.И. Завгородний //Бизнес управление. Год XVI Кн.4 Свищов: Поли-графична база на Академично издательство "Ценов" при Стопанска академия "Д.А.Ценов" Свищов, 2006. - С.75 - 95.
95. Завгородний В.И. Функции персонала предприятия в современной системе управления информационными рисками Текст. / В.И. Завгородний // Управление персоналом. 2007. - №18. - С.55-56.
96. ЮО.Завгородний В.И. Что имеем бережем. Как обеспечить сохранность информации Текст. / В.И. Завгородний // Risk management. -2007.-№4. -С. 69-75.
97. Закон Российской Федерации "О средствах массовой информации" от 27.12.1991 № 2124-1 Текст. //Ведомости СНД и ВС РФ, 13.02.1992, N 7, ст. 300.
98. Федеральный Закон "О введении в действие части четвертой гражданского кодекса российской федерации" от 18.12.2006, №231 ФЗ Текст. // Собрание законодательства РФ, 25.12.2006, N 52 (1 ч.), ст. 5497.
99. Закон Российской Федерации "О государственной тайне" от 21.07.93 № 5481-1 с изменениями и дополнениями, внесенными 6.10.97 № 131-ФЗ Текст. // Собрание законодательства РФ, 13.10.1997, N 41, стр. 8220-8235.
100. ПО.Измалков A.B. Управление безопасностью социально-экономических систем и оценка ее эффективности: Монография Текст. / A.B. Измалков. М.: Компания Спутник, 2003. - 442 с.
101. П.Ильенкова Н.Д. Методология исследования риска хозяйственной деятельности Текст.: дис. докт. экон. наук / Н.Д. Ильенкова. М.: Финансовая академия, 1999. - 282 с.
102. Ильин Н.И. и др. Управление проектами Текст. / Н.И.Ильин [и др.]. СПб.: Два-три, 1996. 610 с.
103. Беспалов П.В. Информационная политика: учебник / П.В. Беспалов, В.Б. Вепринцев, В.В.; под общей ред. В.А. Попова Текст. -М.: Издательство РАГС, 2003. 460 с.
104. Информационные ресурсы России. Справочник; под общей ред. Реймана Л. Д Текст. М.: ФИОРД-ИНФО, 2000. - 272 с.1. С W1. б.Иех Т. Теория множеств и методов форсинга Текст. / Т. Иех М.: Мир, 1973.- 150 с.
105. Калянов Г.Н. Консалтинг при автоматизации предприятий (подходы, методы, средства) Текст. / Г.Н. Калянов. М.: СИНТЕГ, 1997. 316с. (ISBN 5-89638-002-Х).
106. Калянов Г.Н. Моделирование, анализ, реорганизация и автоматизация бизнес-процессов Текст. / Г.Н. Калянов. М.: Финансы и статистика, 2006. 240с. (ISBN 5-279-03038-4).
107. Калянов Г.Н. Теория и практика реорганизации бизнес-процессов Текст. / Г.Н. Калянов. М.: СИНТЕГ, 2000, -212с.
108. Кантор Г. Труды по теории множеств Текст. / Г. Кантор. М.: Наука, 1985.-431 с.
109. Карпенко A.C. Фатализм и случайность будущего: логический анализ Текст. / A.C. Карпенко. М.: Наука, 1990. 213 с.
110. Кастельс М. Информационная эпоха: экономика, общество и культура Текст. / Кастельс М.: [пер. с англ. под науч. ред. О.И. Шкаратана]. М.: ГУ ВШЭ, 2000. - 608 с.
111. Касти Дж. Большие системы. Связность, сложность и катастрофы Текст. / Дж. Касти: [пер. с англ.]. М.: Мир, 1982. - 216 с.
112. Квейд Э. Анализ сложных систем Текст. / Э. Квейд. М.: Советское радио, 1969. - 520 с.
113. Кемени Д. Кибернетическое моделирование Текст. / Д. Кемени, Д. Снелл. М.: Советское радио, 1972. - 234 с.
114. Клейнер Г.Б. Предприятия в нестабильной экономической среде: риски, стратегия, безопасность Текст. / Г.Б.Клейнер, В.П.Тамбовцев, Р.М.Качалов; под общей ред. Панова С.А. М.: ОАО Экономика, 1997. -288 с.
115. Клейнер Г.Б. Риски промышленных предприятий (как их уменьшить и компенсировать) Текст. / Г.Б. Клейнер // Российский экономический журнал. М., 1994. - №5-6. - С.85-92.
116. Клочкова A.B. Теория рисков и неопределенности Текст. / A.B. Клочкова. -СПб: Изд-во С-Петерб. гос. ун-та экономики и финансов, 2005.-99 с.
117. Ковалев В.В. Финансовый анализ: Управление капиталом. Выбор инвестиций. Анализ отчетности Текст. / В.В. Ковалев. -М.: Финансы и статистика, 1995. 432 с.
118. Козлов Б.А. Справочник по расчету надежности аппаратуры радиоэлектроники и автоматики Текст. / Б.А. Козлов, И.А. Ушаков. М.: Советское радио, 1975. - 472 с.
119. Козырев А.Н. Оценка стоимости нематериальных активов и интеллектуальной собственности: уч. пособие Текст. / А.Н. Козырев. М.: Интерреклама, 2003. — 352 с.
120. Козюра В.Е. Развертки раскрашенных сетей Петри со временем Текст. / В.Е. Козюра. Новосибирск, 2000. - 32 с.
121. Колмогоров А.Н.Три подхода к определению понятия "количество информации" Текст. / А.Н. Колмогоров //Проблемы передачи информации. 1965. - Т. 1, вып. 1.-С.З-11.
122. Концепция национальной безопасности Российской Федерации. Указ Президента Российской Федерации от 17.12.97 № 1300 Текст. .
123. Конявский В.А. Управление защитой информации на базе СЗИ НСД "Аккорд" Текст. / В.А. Конявский М.: Радио и связь, 1999. - 325 с.
124. Конявский В.А., Хованов В.Н. Система страхования информационных рисков, как экономический метод компенсации ущерба при воздействии угроз информационной безопасности / В.А. Конявский, В.Н. Хованов // Информост-средства связи, № 14 (www.informost.ru).
125. Корнеев И.К. Машурцев В.А. Информационные технологии в управлении Текст. / И.К. Корнеев, В.А. Машурцев. М.: ИНФРА - М, 2001. -158 с.
126. Королев Ю.Г. Метод наименьших квадратов в социально-экономических исследованиях Текст. / Королев Ю.Г. М.: Статистика, 1980.-112 с.
127. Корт С.С.Теоретические основы защиты информации: Учебное пособие Текст. / С.С. Корт. М.: Гелиос АРВ, 2004. - 240 с.
128. Костогрызов А.И. Инновационное управление качеством и рисками в жизненном цикле систем Текст. / А.И. Костогрызов, П.В. Степанов. -М.: Изд-во ВПК, 2008. 404 с.
129. Котов В.Е. Сети Петри Текст. / В.Е. Котов. М.: Наука. Главная редакция физико-математической литературы, 1984. - 160 с.
130. Кофман А. Введение в теорию нечетких множеств Текст. / А. Коф-ман. М.: Радио и связь, 1982. - 432 с.
131. Кравченко Т.К. Инфокоммуннкационные технологии управления предприятием: уч. пособие Текст. / Т.К. Кравченко, В.Ф. Пресняков. -М.: ГУ ВШЭ, 2003. 272 с.
132. Кричевский M.JI. Интеллектуальный анализ данных в менеджменте Текст. / М.Л. Кричевский. СПб.: СПбГУАП, 2005. - 208 с.
133. Кузьменко O.A. Эксплуатация средств вычислительной техники АСУ Текст. / O.A. Кузьменко. М.: МО, 1990. - 208 с.
134. Кульба В.В. Анализ и синтез систем контроля и защиты данных с использованием сетей Петри Текст. / В.В. Кульба. Тольятти, 1998. -228 с.
135. Кульба В.В. и др. Введение в информационное управление Текст. / В.В. Кульба. СПб.: Издательство СПб университета, 1999. - 116 с.
136. Кульба В.В. Модифицированные сети Петри Текст. /В.В. Кульба [и др.]. М.: ИПУ, 1991.-45 с.
137. Кульба В.В. Модифицированные функциональные графы как аппарат моделирования сложных динамических систем Текст. / В.В. Кульба [и др.]. М.: ИПУ, 1995.-43 с.
138. Кульба В.В. Проблемы обеспечения экономической безопасности сложных социально-экономических систем Текст. / В.В. Кульба [и др.]. М.: Препринт ИПУ, 2000. - 73 с.
139. Кульба В.В. Типизация разработки модульных систем обработки данных Текст. / В.В. Кульба [и др.]. М.: Наука, 1989. - 163 с.
140. Куратовский К. Теория Множеств Текст. / К. Куратовский, А. Мос-товский. -М.: Мир, 1970. 416 с.
141. Лабушев М.М. Информация и пропорциональность величин в природе: монография Текст. / М.М. Лабушев. Красноярск: ГУЦМ и 3, 2004. - 136 с.
142. Леоненков A.B. Нечеткое моделирование в среде MATLAB и fuz-zyTECH Текст. / A.B. Леоненков. СПб.:БХВ-Петербург, 2005. - 736 с.
143. Лопатин B.B. Русский толковый словарь Текст. / В.В. Лопатин. 8 - е изд., стереотип. - М.: Русский язык, 2002. — 882 с.
144. Луман Н. Понятие риска Текст. / Н. Луман // THESIS. 1994. - №5. -С. 135-160.
145. Майстренко В.А. Безопасность информационных систем и технологий: монография Текст. / В.А. Майстренко. В.Г Шахов; Федеральное агентсво по образованию. Омск: Изд-во ОмГТУ, 2006. - 231 с. ISBN 58149-0333-3.
146. Мак Т. Математика рискового страхования Текст. / Т. Мак. М.Юлимп-бизнес, 2005. 411 с.
147. Макиенко А. Разведать без разведки помогут информационно-аналитические методы в деятельности СБ Текст. / А. Макиенко // Частный сыск, охрана, безопасность. 1995 - №6. - С. 10-12.
148. Максимцов М.М. Менеджмент: учебник для вузов Текст. /
149. М.М/ Максимцов и др.; под ред. М.М. Максимцова, A.B. Игнатовой. -М.: Банки и биржи; ЮНИТИ, 1998. 343 с.
150. Мамиконов А.Г. Достоверность, защита и резервирование информации в АСУ Текст. / А.Г. Мамиконов [и др.]. М.: Энергоатомиздат, 1986.-304 с.
151. Маркова В.Д. Маркетинг услуг Текст. / В.Д. Маркова. М.: Финансы и статистика, 1996. - 128 с.
152. Медведчиков Д.А. Организация страхования рисков космических проектов Текст. / Д.А. Медведчиков. М.: Анкил, 2005. 464 с.
153. Мельников A.B. Риск-менеджмент, стохастический анализ рисков в экономике финансов и страхования Текст. / A.B. Мельников. М.: Анкил, 2003.- 158 с.
154. Мельников В.П. Информационная безопасность и защита информации: уч. пособие Текст. / В.П.Мельников, С.А.Клейменов, А.В.Душкин. М.: Академия, 2007. - 331 с.
155. Мельников Ю.Н. Достоверность информации в сложных системах Текст. / Ю.Н. Мельников. М.: Советское радио, 1973. - 192 с.
156. Месарович М. Теория иерархических многоуровневых систем Текст. / М. Месарович, Д. Мако, И. Такахара. М.: Мир, 1973. - 344 с.
157. Миркин Б.Г. Проблема группового выбора Текст. / Б.Г. Миркин. -М.: Наука, 1974.-256 с.
158. Михалевич B.C. Вычислительные методы исследования и проектирования сложных систем Текст. / B.C. Михалевич, B.JI. Волкович. М.: Наука, 1982.-286 с.
159. Мишель М. Управление информационными рисками Текст. / М. Мишель // Финансовый директор. 2003. - № 9. - С.64 - 69.
160. Могилев A.B., Хеннер Е.К. О понятии "информационное моделирование" Текст. / A.B. Могилев, Е.К. Хеннер // Информатика и образование, 1997.-№8.-с. 3-7.
161. Молчанов A.A. Моделирование и проектирование сложных систем Текст. / A.A. Молчанов. К.: Выща шк. Головное издательство, 1988. -359 с.
162. Мулен Э. Теория игр. С примерами из математической экономики Текст. / Э. Мулен. М.: Мир, 1985. - 200 с.
163. Надежность и эффективность в технике: Справочник: В 10 т.: Справочные данные по условиям эксплуатации и характеристикам надежности Текст. / Под общ. ред. В.А.Кузнецова. М.: Машиностроение, 1990. -Т.10.-336 с.
164. Риск, неопределенность и прибыль Текст. / Ф.Х. Найт; [пер. с англ.]. М.: Дело, 2003. - 360 с.
165. Недосекин А.О. Комплексная оценка риска банкротства корпорации на основе нечетких описаний. Электронный ресурс. / А.О. Недосекин: http://sedok.narod.ru/scgroup.html.
166. Немиткина В.В. Применение методов оптимизации при анализе и управлении информационными рисками Текст. / В.В. Немиткина
167. Экономика и математические методы. 2008. - том 44. - №2. - С. 100107.
168. Нижегородцев P.M. Теоретические основы информационной экономики Текст. / P.M. Нижегородцев. Владикавказ: "Проект-Пресс", 1998.-248 с.
169. Никитина Т.В. Страхование коммерческих и финансовых рисков Текст. / Т.В. Никитина. Спб.: Питер, 2002. - 240 с.
170. Николаев Ф.А. Проблемы повышения достоверности в информационных системах Текст. / Ф.А. Николаев [и др.]. JL: Энергоатомиздат. Ленинградское отделение. - 1982. - 144 с.
171. Нонака И. Компания создатель знания. Зарождение и развитие инновации в японских фирмах Текст. / И. Нонака, X. Таксучи; [пер. с англ.]. - М.:ЗАО "Олимп-Бизнес", 2003. - 384 с.
172. Одинцов A.A. Защита предпринимательства (экономическая и информационная безопасность) Текст.: уч. пособие / A.A. Одинцов. М.: Международные отношения, 2003. - 328 с.
173. Пападимитриу X. Комбинаторная оптимизация Текст. / X. Папади-митриу, К. Стайглиц. -М.: Мир, 1985. 512 с.
174. Парнюк М.А. Необходимость и случайность Текст. / М.А. Парнюк [и др.]. Киев: Наукова думка, 1988. - 311 с.
175. Пензенский А.Нострадамус: миф и реальность Текст. / А. Пензенский. М.: Изд-во ЭКСМО, 2005. - 448 с.
176. Першиков В.И. Толковый словарь по информатике Текст. / В.И. Першиков, В.М. Савинков. М.: Финансы и статистика, 1991. 536 с.
177. Петраков Н, Ивантер В. Рынок интеллектуального продукта (вместо рецензии) Текст. / Н. Петраков, В. Ивантер // Вопросы экономики. — 1990. №1. - С. 155- 158.
178. Петренко С.А., Курбатов В.А. Оценка эффективности и зрелости технологий безопасности Текст. / С.А. Петренко, В.А. Курбатов // Защита информации Инсайд. - 2005. - № 1. - С. 16-22.
179. Петренко С.А., Симонов C.B. Управление информационными рисками. Экономически оправданная безопасность Текст. / С.А. Петренко, C.B. Симонов. М.: АйТи-Пресс, 2004. - 384 с.
180. Пиндайк P.C., Рубенфельд Д.Л. Микроэкономика Текст. / P.C. Пин-дайк, Д.Л. Рубенфельд. М.: Дело, 2000. - 808 с.
181. Попов В.Н. Системный анализ в менеджменте: учебное пособие / В.Н. Попов, B.C. Касьянов, И.П. Савченко; под ред. В.Н. Попова. М.: КНОРУС, 2007. - 304 с. ISBN 978-5-85971-571-8.
182. Правовые аспекты использования Интернет-технологий/ под ред. A.C. Кемрадж, Д.В. Головерова. М.: Книжный мир, 2002. - 410 с,
183. Прангишвили И.В. Системный подход и общесистемные закономерности Текст. / И.В. Прангишвили. Серия "Системы и проблемы управления". М.: СИНТЕГ, 2000. - 528 с.
184. Прескотт Д. Е. Конкурентная разведка: Уроки из окопов Текст. / Д. Е. Прескотт, С. X. Миллер. М.: Альпина Таблишер, 2003. - 336 с.
185. Проблемы развития рынка страховых услуг России и ее регионов/ Под ред. П.А. Акинина. М.: Финансы и статистика, 2004. - 288 с.
186. Просвирин Ю.Г. Информатика: основные понятия и термины: Словарь Текст. / Ю.Г. Просвирин. Воронеж: Издательство Воронежского университета, 1996. 100 с.
187. Птицына Л.К. Защита информации и информационная безопасность: эффективность комплексных систем защиты информации в телекоммуникациях: уч. пособие Текст. / JI.K. Птицына. С-Пб.: Издательство Политехнического ун-та, 2007. - 107 с. ISBN 5-7422-1402-2.
188. Разумов О.С. Системные знания: концепция, методология, практика Текст. / О.С. Разумов, В.А. Благодатских. М.: Финансы и статистика, 2006.-400 с.
189. Райан Б., Андерсон X., Кондуэл Д. Стратегический учет для руководителя Текст. / Б. Райан, X. Андерсон, Д. Кондуэл. М.: Аудит, ЮНИТИ, 2002.-336 с.
190. Росс, Г.В. Моделирование производственных и социально-экономических систем с использованием аппарата комбинаторной математики Текст. / Г.В. Росс. М.: Мир, 2001. - 198 с.
191. Рутковская Д., Пилиньский М., Рутковский JI. Нейронные сети, генетические алгоритмы и нечеткие системы Текст. / Д. Рутковская,
192. М. Пилиньский, JI. Рутковский. М.: Горячая линия-Телеком, Радио и связь, 2004. - 383 с.
193. Рыжов А.П. Элементы теории нечетких множеств и измерения нечеткости Текст. / А.П. Рыжов. М.: Диалог-МГУ, 1998. - 116 с.
194. Салин В.Н. Математико-статистическая методология анализа рисковых видов страхования Текст. / В.Н. Салин, JI.B. Абламская,
195. О.Н. Ковалев. М.: АНКИЛ, 1997. - 126 с.
196. Салмин С.П. Управленческие информационные комплексы и автоматизированные информационные технологии: Монография Текст. / С.П. Салмин. -Н. Новгород: Издательство ННГУ, 1999. 139 с.
197. Саулин А.Д. Теория организации (структурный подход) Текст. / А.Д. Саулин. СПб.: изд-во СПбГУЭФ, 1999. - 104 с.
198. Селигмен Б. Основные течения современной экономической мысли Текст. / Б. Селигмен. М.: "Прогресс", 1968. - 284 с.
199. Семененко В.А. Программно-аппаратная защита информации: уч. пособие Текст. / В.А. Семененко . М.: Издательство МГИУ, 2007. -339 с. ISBN 978-5-2760-1169-1.к
200. Валуев С.А. Системный анализ в экономике и организации производства: учебник Текст. / С.А. Валуев [и др.]; под общ. ред.
201. С.А. Валуева, В.Н. Волковой. JI.: Политехника, 1991. - 398 с.
202. Системный подход: Концептуальные и методологические положения: учебное пособие Текст. / Сост. : H.A. Веселков. Великий Новгород: НовГУ им. Ярослава Мудрого, 2005. 62 с.
203. Скрипкин К.Г. Финансовая информатика: учебное пособие Текст. / К.Г. Скрипкин. М.: ТЕИС, 1997. - 160 с.
204. Словарь русского языка в четырех томах Текст. М.: Русский язык, 1988.-Т.4.-797 с.
205. Статистика рынка товаров и услуг: учебник Текст. / Под ред. И.К. Беляевского. — М.: Финансы и статистика, 1995. 432 с.
206. Стенг Д.И. Секреты безопасности сетей Текст. / Д.И. Стенг, С. Мун К.: Диалектика, 1996. - 544 с.
207. Страховое дело: учебник / Под редакцией Л.И. Рейтмана М.: Банковский и биржевой научно-консультационный центр, 1992. - 528 с.
208. Страховое дело: учебник. В 2 т. Текст. [пер с нем. О.И. Крюгер и Т.А. Федоровой]. М.: Экономисть, 2004. - 606 с.
209. Стрелец И.А. Новая экономика и информационные технологии Текст. / И.А. Стрелец. М.: Экзамен, 2003. - 254 с.
210. Стрельцов A.A. Развитие правового обеспечения информационной безопасности Текст. / A.A. Стрельцов. М.: Престиж, 2005. - 200 с.
211. Сухомлин В.А. Введение в анализ информационных технологий Текст. / В.А. Сухомлин. М.:"Горячая линия-Телеком", 2003. 437 с.
212. Тарасов Л.В. Закономерности окружающего мира. Кн. 1. Случайность необходимость, вероятность Текст. / Тарасов Л.В. -М.: ФИЗ-МАТЛИТ, 2004. Кн. 1.-384 с.
213. Теория систем и системный анализ в управлении организациями: Справочник: Учеб. пособие Текст. / Под ред. В.Н. Волковой и А.А.Емельянова. М.: Финансы и статистика, 2006. - 848 с.
214. Тихомиров Ю.А. Управленческое решение Текст. / Ю.А. Тихомиров. М.: Наука, 1977. - 278 с.
215. Ткач В.И., Ткач М.В. Управленческий учет: международный опыт Текст. / В.И. Ткач, М.В. Ткач. М.: Финансы м статистика, 1994. -144 с.
216. Торокин A.A. Инженерно-техническая защита информации Текст. / A.A. Торокин. М.: Издательство Гелиос АРВ, 2005. - 960 с. ISBN5-85438-140-0.
217. Владимиров В.А. Управление риском: Риск. Устойчивое развитие Синергетика Текст. / В.А. Владимиров [и др.]. М.: Наука, 2000. -431 с.
218. Управление современной компанией: учебник Текст. / Под ред.Б. Мильнера и Ф. Лииса. М.: ИНФРА-М, 2001. - 350 с.
219. Федеральный закон "О коммерческой тайне" от 29.07.2004 № 98-ФЗ Текст. // Собрание законодательства РФ. — 2004. ст. 3283.
220. Федеральный закон "О персональных данных" от 27.07.06, №152 -ФЗ Текст. // Собрание законодательства РФ, 31.07.2006, N31(1 ч.), ст. 3451.
221. Федеральный Закон "О рекламе" от 13.03.2006 № 38-Ф3 Текст. // Собрание законодательства РФ, 20.03.2006, N 12, ст. 1232.
222. Федеральный закон "О связи" от 07.07 2003 № 126-ФЗ Текст. // Собрание законодательства РФ, 14.07.2003, N 28, ст. 2895.
223. Федеральный закон "О техническом регулировании" от 27.12.02 № 124-ФЗ Текст. // Собрание законодательства РФ, 30.12.2002, N 52 (ч. 1), ст. 5140.
224. Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.06 № 149-ФЗ Текст. // Собрание законодательства РФ, 31.07.2006, N 31 (1 ч.), ст. 3448.
225. Федеральный закон "Об участии в международном информационном обмене" от 04.07.1996 № 85-ФЗ Текст. // Собрание законодательства РФ, 08.07.1996, N 28, ст. 3347 (утр. е.).
226. Федеральный закон "Об электронной цифровой подписи" от 10.01.2002 № 1-ФЗ Текст. // Собрание законодательства РФ, 14.01.2002, N 2, ст. 127.
227. Федеральный Закон "О лицензировании отдельных видов деятельности" от 08.08.2001 № 128-ФЗ Текст. // Собрание законодательства РФ, 13.08.2001, N 33 (часть I), ст. 3430.
228. Федеральный закон Российской Федерации "Об информации, информатизации и защите информации" от 20.02.95 № 24 ФЗ Текст. // Собрание законодательства РФ, 20.02.1995, N 8, ст. 609.
229. Фишберн П. Теория полезности для принятия решений Текст. / П. Фишберн. М.: Наука, 1978. - 352 с.
230. Фомичев А.Н. Риск-менеджмент: уч. пос. Текст. / А.Н. Фомичев. -Изд. 2-е. М.: Издательско-торговая корпорация "Дашков и Ко", 2006. -292 с.
231. Френкель A.A. Основания теории множеств Текст. / A.A. Френкель, И. Бар-Хиллел. -М.: Мир, 1966. 556 с.
232. Фролов A.B. Антивирусная защита Текст. / A.B. Фролов. М.: МАКС Пресс, 2006. - 52 с. ISBN 5-317-01703-3.
233. Хинчин А .Я. Работы по математической теории массового обслуживания Текст. / Хинчин А.Я.; под ред. Б.В. Гнеденко. 2-е изд. - М.: Едиториал УРСС, 2004. - 235 с.
234. Хованов В.Н. О системном подходе к проблеме страхования информационных рисков Текст. / В.Н. Хованов // Information Security/Информационная безопасность. -2004. № 3. -С.32-34.
235. Хонгрен Ч.Т. Бухгалтерский учет: управленческий аспект Текст. / Ч.Т. Хонгрен, Дж. Форстер. М.: Финансы и статистика, 1995. 416 с.
236. Царегородцев A.B. Информационная безопасность в распределенных системах Текст. / A.B. Царегородцев. М.: Издательство РУДН, 2003.-217 с.
237. Чернов В.А. Анализ коммерческого риска Текст. / В.А. Чернов; под ред. М.И. Баканова. М.: Финансы и статистика, 1998. - 128 с. 250.Черняк Ю. И. Системный анализ в управлении экономикой [Текст] / Ю.И. Черняк. М., Экономика, 1975. - 191 с.
238. Шапкин A.C. Теория риска и моделирование рисковых ситуаций Текст. / A.C. Шапкин. М.: Дашков и Ко, 2005. 879 с.
239. Шарихин А.Е. Экономическая безопасность России в 21 веке (методология, теория, практика, отечественный и зарубежный опыт): учебное пособие Текст. / А.Е. Шарихин [и др.]. Казань: 2004. - 576 с.
240. Шаршукова Л.Г. Классификация Текст. / Л.Г. Шаршукова // Риск: Рынок, Информация, Снабжение, Конкуренция. М.: 1997. - №2.1. С.64-69.
241. Страхование: учебник для ВУЗов Текст. / В.В. Шахов. М.: Страховой полис, ЮНИТИ, 1997. - 311 с.
242. Шеннон К. Работы по теории информации и кибернетике Текст. / К. Шеннон. М.: Иностранная литература, 1963. - 830 с.
243. Шенфилд Дж. Математическая логика Текст. / Дж. Шенфилд. М.: Наука, 1975. - 528 с.
244. Шумский A.A. Системный анализ в защите информации: учеб. пособие для студентов вузов, обучающихся по специальностям вобл, ин-форм. безопасности Текст. / A.A. Шумский, A.A. Шелупанов. М.: Ге-лиос АРВ, 2005. - 224 с. (ISBN 5-85438-128-1).
245. Экономическая безопасность России: общий курс: учебник Текст. / Под ред. В.К. Сенчагова. М.: Дело, 2005. - 896 с. 259.Экономическая безопасность: Производство — Финансы — Банки [Текст] / Под ред. В.К.Сенчагова. - М.: ЗАО "Финстатинформ", 1998. -621 с.
246. Экономическая и национальная безопасность: учебник Текст. / Под ред. Е.А. Олейникова. М.: Издательство "Экзамен", 2004. - 768 с. 261.Эрроу К.Дж. Коллективный выбор и индивидуальные ценности [Текст] / К.Дж. Эрроу. - М.: ГУ-ВШЭ, 2004. - 204 с.
247. Язов Ю.К. Основы методологии количественной оценки эффективности защиты информации в компьютерных системах Текст. /
248. Ю.К. Язов. Ростов - на - Дону: Изд-во СКНЦ ВШ, 2006. - 274 с.
249. Ярочкин В.И. Система безопасности фирмы Текст. / В.И. Ярочкин -3-е изд., перераб. и доп. М.: Ось-89, 2003. - 352 с.
250. Ясин Е.Г. Экономическая информация. Что это такое? Текст. / Е.Г. Ясин - М.: Статистика, 1976. - 132 с.
251. Crawford R. In the Era of Human Capital: The Emergence of Talent, Intelligence and Knowledge as the Worldwide Economic Force and What It Means to Managers and Investors New York: Harper Business, 1991. P.4
252. David L. Drake, Katherine L. Morse. Applying The Eight-Stage Risk Assessment Methodology to Firewalls. SAIC, 1996.
253. DIS 9075:1992, Information technology Reference Model for Data Management. Web: www.nist.ru/hr/doc/iso/9075-3-95.htm.
254. Goldberg David E. Genetic Algorithms in Search, Optimization and Machine Learning. USA: Addison-Wesley Publishing Company, Inc., 1989.
255. Holland J.H. Adaptation in Natural and Artificial Systems. Ann Arbor: The University of Michigan Press, 1975.270.http://www.gaap.rU/magazines/management/4/2008 271 .http://www.securitylab.ru
256. ISO/IEC 11072:1992, Information Technology Computer Graphics -Computer Graphics Reference Model. Web: www.standards.ru/document/ 3635016.aspx.
257. ISO/IEC 7498:1996, Information processing systems Open Systems Interconnection- Basic Reference Model ITU-T Rec. X.200 (1994). Web: www.standards.ru/document/4037662.aspx.
258. Kaufinann A., Gupta M. Introduction to Fuzzy Arithmetic: Theory and Applications. Van Nostrand Reinhold, 1991. ASIN: 0442008996.
259. Land A.H., Doig A.G. An automatic method of solving discrete programming problems. Econometrica. v28 (1960), pp 497-520.
260. Little J.D.C., Murty K.G., Sweeney D.W., Karel C. An algorithm for the traveling salesman problem. Operations Research, vll (1963), pp 972-989.
261. Machlup F. The Prodaction and Distribution of Knowledge in the United States, Princeton, NJ: Princeton University Press, 1962. 416 p.
262. Porat M. The Information Economy: Definition and Measurement, Washington D.C.: US Department of Commerce, Office of Telecommunications, publication 77-12(1). -.1977.