Исследование и развитие методического обеспечения оценки и управления рисками информационных систем на основе интересо-ориентированного подхода тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Карпеев, Дмитрий Олегович

Актуальность. Проблемы обеспечения безопасности различных информационных систем в современном мире усиливается отсутствием единой развитой методической базы, позволяющей проводить адекватную оценку угроз информационным ресурсам, а также степень защищенности данных систем в информационной сфере. Пока наиболее популярным направлением является подход на основе оценки и управления рисками [6971]. Он применяется в различных сферах, в частности, в экономической. Концепция управления рисками, используемая в экономике [810,15,19,25,29,40,69-71], направлена в большей степени на выбор оптимальных управленческих решений для извлечения наибольшей экономической выгоды. Оптимизации подвергается соотношение риска в зависимости от принимаемого решения и возможного получения прибыли от экономической деятельности.

В отличие от вышеупомянутой экономической модели, управление рисками в сфере обеспечения безопасности информационных систем для рассматриваемого подхода имеет иную направленность. Обеспечение лишь собственной безопасности не является конечной целью функционирования современных информационных систем, поэтому управление рисками в таких системах сегодня направлено на минимизацию издержек, возникающих из-за нарушений их защищенности. Оценка и анализ рисков применяется в информационной сфере сравнительно недавно. В 90-е гг. прошлого века, а также в первое десятилетия нынешнего - века были разработаны несколько стандартов, использующих управление рисками для систем обработки информации. К ним можно отнести международные стандарты ISO IEC 17799, ISO IEC 27001, британский стандарт BS 7799-3, американский стандарт NIST 800-30, а также ряд других зарубежных стандартов. Существуют адаптированные переводы некоторых из данных стандартов на русский язык, доработанные до соответствующих государственных стандартов Российской Федерации таких, как ГОСТ Р ИСО/МЭК 17799-2005 и ГОСТ Р ИСО/МЭК 27001-2005. При этом, очевидно, актуальной составляющей исследования выступает необходимость анализа существующих стандартов с точки зрения возможного аналитического развития методов анализа и управления рисками информационных систем [32,34,107-111].

Известны [10,25,40] различные подходы к оценке и управлению рисками такие как: статистический метод, подход на основе экспертных оценок и оценки субъективной вероятности, вероятностно-статистический подход, теоретико-вероятностный метод, метод расчета и управления экономическими рисками с использованием теории полезности. Принципиальная сложность проведения такого анализа рисков для информационных систем заключается в том, что для достижения адекватных оценок необходимо учитывать достаточно большое количество факторов, которые находятся в сложной зависимости друг от друга. Причем, зачастую достаточно трудно оценить степень достоверности полученного результата, поскольку при проведении анализа невозможно учесть всех факторов. Возможность увеличивать степень детальности исследования ограничена, из-за высокой трудоемкости и значительных экономических издержек. Ключевым недостатком большинства разработанных методов управления рисками является наличие у них одного из следующих конфликтующих по своей сути свойств [66-68]:

1) Ярко выраженный качественный и страдающий значительным субъективизмом подход к анализу рисков. Наличие этого- свойства обуславливает слабую формализуемость, и, следовательно, невозможность создать автоматизированные инструментальные средства анализа и управления информационными рисками на основе разработанной методики.

2) Жестко формализованный подход к анализу рисков. Из этого обычно следует то, что методика недостаточно универсальна, то есть неполна. Кроме того, сложные формальные методы обычно трудно применять на практике и следовательно эффект от их использования незначительный. При этом формальные методы достаточно сложно применить при отсутствии математических моделей процессов, происходящих в информационных системах, а также при недостаточном объеме статистических данных [25,68].

В этом краеугольном противоречии известных методов и стандартов, чрезвычайно актуальным является построение методики, которая бы отвечала следующим требованиям:

- достаточная формализуемость для реализации в виде инструментальных средств;

- достаточная простота для инженерного применения методики;

- адекватность и универсальность управления рисками, то есть применимость методики к большинству информационных систем;

- учет динамики развития системы;

- комплексность, позволяющая охватить все существенные аспекты функционирования системы.

Методика мониторинга и управления рисками, отвечающая данным требованиям, может быть весьма эффективно применена на практике.

Управление рисками информационной системы затрагивает различные аспекты ее функционирования, где методика управления рисками должна учитывать процессы различного характера, протекающие в системе. В общем случае можно выделить [25] следующие составляющие управления рисками:

- идентификация рисков, возникающих в процессе функционирования информационной системы;

- оценка организационных и технических рисков системы;

- выработка решения по управлению рисками на основе имеющихся оценок;

- проведение непосредственной работы по управления рисками (принятие решений);

- мониторинг изменения уровня рисков. 7

Для полноты рассмотрения неизбежно придется прибегнуть к разработке эффективного методического обеспечения, где актуальной задачей является выбор оптимальной меры риска для исследуемой системы или процесса в рамках системы. Это обусловлено тем, что необходимо оценивать общий уровень рисков, складывающийся из процессов имеющих принципиально различный характер. Характерным примером тому являются организационные и технические риски, обусловленные различными классами уязвимостей [70,72].

Обоснованию меры риска посвящено множество исследований, прежде всего в области экономики [8-10,15,25,40,44,94]. В области обеспечения информационной безопасности ситуация осложняется разнородностью исследуемых процессов и ориентированностью на снижение риска, а не на максимизацию доходов [68,70-73]. Распространенная экономическая методология использует концепцию риска как возможности [25]. При проведении анализа рисков информационной системы приходится использовать концепцию риска как опасности, поскольку управление рисками в этой сфере направлено не на получение дополнительной прибыли, а на предотвращение реализации угроз и снижении последствий проявления негативных факторов. Аналитические методики управления, которые могут быть применены в рамках выбранной концепции риска, не отвечают обозначенным выше требованиям [10,25,70]. Поэтому актуальной задачей исследования является развитие существующих методик для приведения их в соответствие поставленным целям. В частности, насущным аспектом исследования является разработка методического обеспечения, позволяющего учитывать изменения состояния информационной системы во времени.

При рассмотрении задачи оценки и управления рисками в некоторых случаях необходимо использовать подход, позволяющий учитывать индивидуальные особенности управляющего субъекта. Это обусловлено субъективным подходом при оценке рисков и необходимостью учитывать особенности целей, для достижения которых функционирует информационная система [10,14,25,54,68,70]. Таким образом, разрабатываемое методическое обеспечение должно обеспечивать возможность отражения особенностей лица принимающего решение.

Информационная система как объект исследования представляет собой упорядоченное множество взаимодействующих компонентов, где для компонентов этого множества соответствующая формируется совокупность угроз безопасности [54]. Характер взаимодействия угроз и уязвимостей определяет общую оценку риска для системы. Сегодня актуальной является разработка методики комплексной адекватной оценки риска и защищенности информационных систем для множества вышеуказанных деструктивных факторов. Проблема определения общего риска для совокупности сложного взаимодействия угроз на данном этапе не решена в полной мере [67-68]. Существующие методики, увы, не учитывают характер взаимодействия различных негативных факторов и дают комплексную оценку риска системы лишь на качественном уровне.

Ввиду структурной сложности и компонентной разнородности современных информационных систем возникает проблема адекватной идентификации и оценки рисков, обусловленных функционированием отдельных элементов системы. Иными словами, актуальным является учет в разрабатываемом методическом обеспечении возможности оценки систем со сложной структурой и возможностью упрощения вычислений, при аналитическом выделении подклассов элементов и проведении анализа рисков на основе произведенной классификации [68].

Все вышеизложенное позволяет с уверенностью утверждать об актуальности развития аналитических методов оценки и управления рисками информационных систем.

Данная работа выполнена в соответствии с одним из основных научных направлений Воронежского государственного технического университета: "Перспективные радиоэлектронные и лазерные устройства и системы передачи, приема, обработки и защиты информации". Приказ от 10.03.04 №163-18.00-1 ГБ НИР: ГБ 04.24. "Методы и системы передачи, обработки и защиты информации". Номер госрегистрации: 0120.0411792.

Объект исследования. Информационные системы в контексте обеспечения их безопасности при реализации угроз.

Предмет исследования. Методическое обеспечение оценки и управления рисками информационных систем, подвергающиеся воздействию угроз.

Цель работы: на основе аналитического подхода провести исследование и развитие методического обеспечения оценки и управления рисками информационных систем.

Достижение цели работы предполагает решение следующих задач исследования:

1. Исследовать стандарты и существующие методы идентификации, оценки и управления рисками информационных систем, включая адаптацию понятийного аппарата для предмета и объекта исследования.

2. Обобщить и систематизировать методологию аналитической оценки рисков информационных систем, в контексте обеспечения их безопасности.

3. Развить аналитическую методологию оценки рисков информационной системы на основе интересо-ориентированного подхода, включающего оценку фактора изменения характеристик информационной системы во времени.

4. Разработать алгоритмы управления рисками информационной системы, дающие возможность практически применить предложенную методику на основе интересо-ориентированного подхода.

Методы исследования базируются на основных положениях теории вероятности и риска, теории управления в интересо-ориентированных системах, аппарата кластерного анализа. ю

Научная новизна. В диссертационной работе получены следующие результаты, характеризующиеся научной новизной:

1. Впервые осуществлено наиболее полное исследование и систематизация методологического обеспечения в области управления рисками и защищенностью информационных систем, в контексте развития аналитического подхода, открывающего перспективы многовариантного динамического анализа и оптимизации защищенности вышеуказанных систем.

2. Разработана методика оценки рисков для информационных систем с использованием кластерного анализа, в отличие от аналогов позволяющая производить классификацию элементов информационной системы по уровню риска, и способствующая адекватному выбору стратегии управления для различных классов элементов.

3. Предложена методика управления рисками информационных систем на основе интересо-ориентированного подхода, отличающаяся возможностью учитывать фактор динамики изменения характеристик во времени, а также - прогнозировать уровень риска и принимать управляющие решения для информационной системы в зависимости от него.

4. В целях реализации данной методики разработаны алгоритмы управления рисками информационной системы, реализующие принятие решений по управлению с использованием оригинального комплексного критерия полезности на основе оценки риска и ожидаемого дохода.

На защиту выносятся:

1. Результаты систематизации и анализа стандартов и методов оценки и управления рисками информационных систем, обосновывающие целесообразность развития аналитического подхода.

2. Формы обобщения и классификации аналитических методов оценки и управления рисками информационных систем, определяющие пути их эффективного развития. и

3. Методика оценки рисков информационной системы на основе кластерного анализа, а также методики аналитического управления рисками на основе интересо-ориентированного подхода с учетом временных характеристик динамики развития систем, в условиях противодействия угрозам.

4. Алгоритмы управления рисками информационных систем, использующие критерий принятия управленческих решений на основе комплексной оценки риска и ожидаемого дохода, и рекомендации по практическому применению предлагаемых методик в целях противодействия угрозам безопасности.

Апробация работы. Основные результаты диссертационной работы докладывались и обсуждались на следующих конференциях:

1. Пятая региональная конференции молодежи «ЮниорИнфоСофети». Воронеж, 2006 г.

2. Региональная научно-практическая конференция «Информационные аспекты безопасности систем». Воронеж, 2007 г.

3. Региональная научно-практическая конференция «Передача, прием, обработка и защита информации, информационная безопасность». Воронеж, 2007 г.

4. Шестая всероссийская научно-практическая конференции (с международным участием) «Современные информационные технологии в науке, образовании и практике». Оренбург, 2007 г.

5. Межрегиональная научно-практическая конференция «Проблемы обеспечения безопасность систем». Воронеж, 2008 г.

6. Межрегиональная научно-практическая конференция «Риски и безопасность систем». Воронеж, 2008 г.

7. Региональная научно-практическая конференция «Методы, системы и процессы обеспечения безопасности». Воронеж, май 2008 г.

8. Межрегиональная научно-практическая конференция

Инновации, риски, безопасность». Воронеж, 2008 г.

12

Публикации. По материалам диссертационной работы опубликовано 12 научных работ [123-134], в том числе в изданиях, рекомендованных ВАК РФ-4 работы [123-126].

В работах, опубликованных в соавторстве, лично автору принадлежат: методика управления рисками на основе функции полезности [127], предложенный подход для выбора стратегии управления рисками в социотехнической информационной системе [123], методика оценки рисков на основе вероятностно-статистического метода [129], анализ международных стандартов управления информационной безопасностью ISO/IEC 17799, ISO/IEC 27001 [124], решение задачи классификации объектов информационной системы по уровню риска при помощи методов кластерного анализа [126], методика оценки динамики изменения уровня риска для информационной системы во времени [134].

Объем и структура работы. Диссертация состоит из введения, четырех глав, заключения и списка литературы, включающего 134 наименования и приложения. Основной текст изложен на 171 страницах машинописного текста. Работа содержит 19 рисунков и 1 таблицу.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ, ОПУБЛИКОВАННЫЕ В ИЗДАНИЯХ, РЕКОМЕНДОВАННЫХ ВАК РФ

123. Карпеев Д.О., Г.А. Остапенко, В.И. Белоножкин. Стратегии управления рисками в социотехнических информационных системах. // Журнал «Информация и безопасность». — Воронеж: ВГТУ, 2006. - Вып. 2 -С.133-134.

124. Кулаков В.Г., Карпеев Д.О, Остапенко А.Г. Риск-анализ информационных систем. // Журнал «Информация и безопасность». -Воронеж: ВГТУ, 2008. - Вып. 1 - С.7-30.

125. Карпеев Д.О. Анализ динамики рисков информационных систем. // Журнал «Информация и безопасность». - Воронеж: ВГТУ, 2008. - Вып. 2 - С.284-287.

126. Карпеев Д.О., Остапенко О.А. Применение кластерного анализа в мониторинге рисков систем. // Журнал «Информация и безопасность». -Воронеж: ВГТУ, 2008. - Вып. 3 - С.395-398.

НАУЧНЫЕ ТРУДЫ И МАТЕРИАЛЫ КОНФЕРЕНЦИЙ

127. Карпеев Д.О., Остапенко О.А. Управление информационными рисками социотехнических информационных систем. // Материалы пятой региональной конференции «ЮниорИнфоСофети». Журнал «Информация и безопасность». - Воронеж: ВГТУ, 2006. — Вып. 1 — С.139.

128. Карпеев Д.О. Распределенный риск-анализ систем // Материалы региональной научно-практической конференции «Информационные аспекты безопасности систем». Журнал «Информация и безопасность». - Воронеж: ВГТУ, 2007. - Вып. 2 - С.357.

129. Исаев А.С., Карпеев Д.О., Асеев В.Н. Автоматизированные системы при фиксированной мощности множества неудачных атак: статистический риск-анализ и управление защищенностью. // Материалы региональной научно-практической конференции «Информационные аспекты безопасности систем». Журнал

Информация и безопасность». - Воронеж: ВГТУ, 2007. - Вып. 2 -С.361.

130. Карпеев Д.О. Исследование процессов обеспечения безопасности информационных систем в контексте анализа и управления рисками. // Материалы региональной научно-практической конференции «Передача, прием, обработка и защита информации, информационная безопасность». Журнал «Информация и безопасность». - Воронеж: ВГТУ, 2007. - Вып. 4 - С.620.

131. Карпеев Д.О. Анализ и управление рисками: исследование в контексте обеспечения безопасности информационных систем. // Современные информационные технологии в науке, образовании и практике. Материалы VI всероссийской научно-практической конференции (с международным участием). - Оренбург: ИПК ГОУ ОГУ, 2007 - 840 с. С 306-307.

132. Карпеев Д.О. Классификация рисков информационных систем. // Материалы региональной научно-практической конференции «Методы, системы и процессы обеспечения безопасности». Журнал «Информация и безопасность». - Воронеж: ВГТУ, 2008. - Вып. 2 -С.310.

133. Карпеев Д.О. Анализ изменения уровня рисков на различных стадиях жизненного цикла информационных систем. // Материалы региональной научно-практической конференции «Методы, системы и процессы обеспечения безопасности». Журнал «Информация и безопасность». - Воронеж: ВГТУ, 2008. - Вып. 2 - С.308.

134. Остапенко О.А., Карпеев Д.О. Динамическая постановка задачи оценки и управления рисками. // Научный форум «Системы, процессы и безопасность» 2008/2009. Межрегиональная научно-практическая конференция «Инновации, риски, безопасность» Сборник научных трудов. Воронеж: МИКТ, 2008. С 67-68.

1. Баранин В. Н. Экономика чрезвычайных ситуаций и управление рисками: учеб. пособие для вузов и системы повышения квалификации / под ред. А. Я. Корольченко. - М.: Пожнаука, 2004. - 327 с.

2. Баранов А. П., Зегжда П. Д., Корт и др. Теоретические основы информационной безопасности (дополнительные главы). - СПб., СПбГТУ, 1998.-174С.

3. Баранов В.В. Процессы принятия управляющих решений, мотивированных интересами. - М.: ФИЗМАТ ЛИТ, 2005. - 296 с.

4. Бартон Т.Л., Шенкир У.Г., Уокер П.Л. Риск-менеджмент: практика ведущих компаний. - М.: Вильяме, 2008 . - 207 с.

5. Бершадский А.В. Что могут дать технологии управления рисками современному бизнесу? //Управление и обработка информации: модели процессов: Сб. ст. /МФТИ. - М., 2001 .- 34-51.

6. Бешелев Д. Гурвич Д. Математическо-статистические методы экспертных оценок. М.: «Статистика», 1980. - 263 с.

7. Бешелев Д. Математико-статистические методы экспертных оценок.- М.: Статистика, 1990. - 287 с.

8. Буянов В.П., Кирсанов К.А., Михайлов Л.А. Рискология: Управление рисками - М.: Экзамен, 2002 .- 382 с.

9. Буянов В.П., Хачатрян СР., Пинегина М.В. Методы и модели решения экономических задач. - М,: Издательство «Экзамен», 2008. - 383 с.

10. Вентцель Е.С. Теория вероятностей: Учеб. для вузов, — 5-е изд. стер. — М.: Высш. школа, 1998. - 576 с , ил.

11. Вентцель Е.С, Овчаров Л.А. Теория вероятностей и ее инженерные приложения. Учеб. пособие для втузов. - 2-е изд., стер. - М.: Высш. шк., 2000. - 480 с: ил.

12. Вентцель Е.С, Овчаров Л.А. Теория вероятностей. - М.: Наука, 1969. - 368 с, ил.

13. Вентцель Е.С., Овчаров Л.А. Теория случайных процессов и ее инженерные приложения. — Учеб. пособие для втузов. — 2-е изд., стер. — М.: Высш. шк., 2000. - 383 с: ил.

14. Вишняков Я.Д., Радаев Н.Н. Обш,ая теория рисков: з^еб. пособие для студ. высш. учеб. заведений. — М.: Издательский центр «Академия», 2007. - 368 с.

15. Воронцовский А.В. Управление рисками: Учеб. пособие - СПб.: Изд-во -Петерб. ун-та, 2000 .- 206 с.

16. Гаценко О.Ю. Защита информации. Основы организационного управления. — СПб.: Сентябрь, 2001. - 228с.

17. Гехер К. Теория чувствительности и допусков электронных цепей - М.: Советское радио, 1973. - 200 с.

18. Глущенко В.В. Управление рисками: Страхование. - Железнодорожный: Крылья, 1999.- 334 с.

20. ГОСТ Р ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».

21. ГОСТ Р ИСО/МЭК 17799-2005. «Информационная технология. Практические правила управления информационной безопасностью»

22. ГОСТ Р ИСО/МЭК 18045 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий».

23. ГОСТ Р ИСО/МЭК 27001-2005. «Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования».

24. ГОСТ Р ИСО/МЭК т о 19791 «Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем».

25. Гостехкомиссия России. Руководящий документ. Автоматизированные системы, защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации, 1997.

26. Гражданкин А.И. Риск аварии и оценка нежелательных потерь // Безопасность жизнедеятельности. - Б.м. - 2002 . — N 1 1 . - 7-11.

27. Гранатуров В.М., Мартюченко О.Ю. Социальные модели рисков и их связь с изменениями в социальной структуре общества. - Саратов, 2004.-35 с.

29. Гранатуров Б.М. Экономический риск: сущность, методы измерения, пути снижения : Учеб. пособие. - 2-е изд., перераб. и доп. - М.: Дело и Сервис, 2002.-159 с.

30. Губко М.В. Отношения предпочтения и функция полезности. - М.: Институт системного анализа РАН, 1998. - 455 с.

31. Денисов Д.В. Актуарная математика. М. - 2000, 101с.

32. Долматов А.С. Математические методы риск-менеджмента: учебное пособие. - М . : Издательство «Экзамен», 2007. - 319 с,

33. Долматов А.С. Математические методы риск-менеджмента: учебное пособие для студентов, обучающихся по специальности "Финансы и кредит" - М.: Экзамен, 2007.-319 с.

34. Домарев В.В. Безопасность информационных технологий. Системный подход. - ТИД «ДС», 2004 - 212 с.

36. Жуковский В.И., Жуковская Л.В. Риск в многокритериальных и конфликтных системах при неопределенности. М.: Едиториал УРСС, 2004 . - 267с.

37. Захаров А., Медведев Н.В., Румянцев Н.В.. Нечеткие множества и лингвистические комбинации в анализе рисков: Учебное пособие. - М.: Изд-во Московского государственный технический университет им. Н.Э.Баумана, 2005г. - 75 с , ил.

38. Зражевский В.В. Основы направления совершенствования системы управления рисками // Банковское дело. — 2002. — №2. — 28-30.

39. Зубов И. В. Методы анализа динамики управляемых систем. - М.: ФИЗМАТЛИТ, 2003. - 224 с.

40. Измаилов А. Ф. Чувствительность в оптимизации. - М.: ФИЗМАТЛИТ, 2006. - 248 с.

41. Иода Е.В. Кузнецова В.Б. Управление рисками предприятия: теория и практика страхования рисков - Тамбов: Изд-во Тамб. гос. техн. ун-та, 2003.-132 с.

42. Ковалевич О.М. Риск в техногенной сфере / О. М. Ковалевич . - М.: Изд. дом МЭИ, 2006. - 151 с.

43. Корт С. Теоретические основы защиты информации: учебное пособие для студ. вузов, обуч. по группе специальностей в обл. информ. безопасности. - М.: Гелиос АРВ, 2004. - 233 с : ил.

44. Кричевский Н.А. Страхование как составная часть риск-менеджмента // Аудитор.-Б.м. - 2004 .-N8 .- 41-48.

45. Лисицына Е.В. Технология риск-менеджмента // Упр.риском .- Б.м. - 2004.-N1.-C.11-14.

46. Максимов В.И., Никонов О.И. Моделирование риска и рисковых ситуаций: Учебное пособие. Екатеринбург: ГОУ ВПО УГТУ-УПИ, 2004. - 82 с.

47. Малашихина Н.Н., Белокрылова О.С, Риск-менеджмент: учебное пособие для вузов - Ростов-н/Д: Феникс, 2004 . - 3 1 7 с.

48. Марков А., Цирлов В. Управление рисками - нормативный вакуум информационной безопасности. //Открытые системы — №8 - 2007.

49. Мельников А.В. Риск-менеджмент: Стохаст. анализ рисков в экономике финансов и страхования. - М.: Анкил, 2001 .-112с.

50. Мур, А. Руководство по безопасности бизнеса: Практ.пособие по управлению рисками: Пер.с англ. - М.: Филинъ, 1998. - 328 с.

51. Найт Фрэнк Хейнеман. Риск, неопределенность и прибыль / Акад. нар. хоз-ва при Правительстве Рос. Федерации; пер. с англ. М.Я. Каждана; науч. ред. пер. В.Г. Гребенников. - М.: Дело, 2003 . — 359 с. : ил.

52. Никонов В.О. Системное управление рисками информационной безопасности в Банке24.ру на основе международного стандарта ISO 27001:2005 // Бизнес и безопасность в России- № 52. - 2009. - 48-55.

53. Ожегов СИ. Словарь русского языка. — М.: Советская энциклопедия, 1970.-900 с.

54. Оранжевая книга. Критерии оценки надежных компьютерных систем Министерства обороны. Department Of Defense Trusted Computer System Evaluation Criteria, (DoD 5200.28-std).

55. Остапенко Г.А. Оценка рисков и защищенности атакуемых кибернетических систем на основе дискретных распределений случайных величин. //Информация и безопасность: Регион, науч.-техн. журнал. - Воронеж. 2005. Вып. 2. - С, 70 - 75.

56. Остапенко О.А. Методология оценки риска и защищенности систем. //Информация и безопасность: Регион, науч.-техн. журнал. - Воронеж. 2005.Вьш. 2 .-С. 2 8 - 3 2

57. Остапенко О.А., Карпеев Д.О., Асеев В,П., Морев Д.Е., Щербаков В.Б. Риски систем: оценка и управление / под. ред. Ю. П. Лаврухина, А. Г. Остапенко. - Воронеж: Междунар. ин-т компьют. технологий, 2007. -261с.

58. Петренко А.А., Петренко А. Оцени свой риск // IT Manager. - № 6. — 2002. - 42-48.

59. Петренко А. Управление информационными рисками. Экономически оправданная безопасность. - М.: Компания АйТи; ДМК Пресс, 2004. — 384 с : ил.

60. Петренко А. Современная концепция безопасности корпоративных компьютерных систем // Конфидент. Защита информации. — № 6. — 2000.-С. 79-83.

61. Петренко А. Управление информационными рисками компании // Экспресс-электроника. - № 2-3. - 2002. - 106-113.

62. Пикфорд, Д. Управление рисками / Пер.с англ.О.Н.Матвеевой .- М.: Вершина, 2004. - 352с

63. Построение экспертных систем / Под ред. Ф. Хейеса-Рота. - М.: Мир, 1987.-370 с.

64. Просветов Г.И. Управление рисками. Задачи и решения. - Учебно- практическое пособие. - М.: Издательство «Альфа-Пресс», 2008. - 416 с.

65. Райзберг Б.А. Предпринимательство и риск. - М.: Знание, 1992. .-61 с.

67. Розенвассер Е.Н., Юсупов P.M. Чувствительность систем управления - М.: Наука, Главная редакция физико-математической литературы. 1981.-464 с.

68. Роик В.Д. Профессиональный риск: оценка и управление. — М.: Анкил, 2004 . - 222 с.

69. Рыхтикова Н.А. Анализ и управление рисками организации: учебное пособие для студентов, обучающихся по специальностям "Финансы и кредит", "Бух. учет, анализ и аудит". - М.: ФОРУМ : ИНФРА-М, 2007. - 239 с.

71. Симонов СВ. Анализ рисков, управление рисками //Jet Info.- № l . - 1999.-C.З-28.

73. Симонов С В . Методология анализа рисков в информационных системах // Конфидент. Защита информации. - № 1. - 2001. - 72-76.

74. Симонов СВ. Технологии аудита информационной безопасности // Конфидент. Защита информации. - № 2. - 2002. - 36-41,

75. Симонов СВ. Технологии и инструментарий для управления рисками //Jet Info. - № 2. - 2003. - 3-32.

76. Советский энциклопедический словарь. Гл. ред. A.M. Прохоров. Изд. 4- е. М., Советская энциклопедия, 1987. 1599 с.

77. Соловьев В.И. Математические методы управления рисками: Учебное пособие / ГУУ. - М., 2003 - 100 с.

78. Станиславчик Е.Н. Риск-менеджмент на предприятии: Теория и практика. - М . : Ось-89, 2002 .- 80 с.

79. Ступаков B.C., Токаренко Г.С. Риск-менеджмент: учебное пособие для студ. вузов. М.: Финансы и статистика, 2005 . — 281 с.

80. Управление риском. Риск, устойчивое развитие, синергетика. - М.; Наука, 2000. - 432 с.

81. Уткин Э.А. Риск - менеджмент: Учебник. / Ассоц. авт. и изд. "ТАНДЕМ" - М.: Б.и., 1998 . - 287 с.

82. Уткин Э.А., Фролов Д.А. Управление рисками предприятия : Учебно- практическое пособие.— М.: ТЕЗИС, 2003 .— 247 с.

83. Федотов Н. В., Алешин В. А. Оценка и нейтрализация рисков в информационных системах: Методическое пособие по курсу «Основы информационной безопасности»/ Под ред. Н.В. Медведева. - М.: Изд-во МГТУ им. Н.Э.Баумана, 2004, - 52 с , ил.

84. Филина Ф. Риск-менеджмент как способ снизить издержки предприятия // Финансовый менеджер. - Б.м. - 2007 . - N 7 .- 5-9.

86. Хохлов, Н.В. Управление риском: Учеб. пособие для вузов. - М.: ЮНИТИ, 2003.-239с

87. Цымбал С В . Управление рисками и конфликтами в процессе реализации проекта // Упр.риском.— Б.м. - 2003. — N2. - 13-16 .

88. Чернова Г. В., Кудрявцев А. А. Управление рисками: учеб. пособие. — М.: ТК Велби, Изд-во Проспект, 2005. - 160 с.

89. Чернова Г.В. Практика управления рисками на уровне предприятия: Учеб. пособие - СПб. и др. : Питер, 2000 .- 172 с.

90. Четыркин Е.М. Финансовые риски: науч.-практич. пособие. — М.: Издательство «Дело» АНХ, 2008. - 176 с.

91. Чупров СВ. Риск и управление устойчивостью промышленного предприятия // Упр.риском .- Б.м. - 2004. - N2 .- 20-24.

92. Шапкин А.С. Шапкин В.А, Теория риска и моделирование рисковых ситуаций: Учебник. - М.: Издательско-торговая корпорация «Дашков и Ко», 2005.-880 с.

93. Шимко П. Д. Оптимальное управление экономическими системами: Учеб. пособие. - СПб.: Издательский дом «Бизнес-пресса», 2004. - 240 с.

94. Шинкаренко И.Э. Риск-менеджмент-философия управления рисками корпорации // Упр.риском .— Б.м. — 2004. — N2. — 56-60.

95. Ярочкин В.Н. Безопасность информационных систем. - М.: Ось-89, 1996.-320с.

96. Information security management systems — Part 3: Guidelines for information security risk management. British Standard BS 7799-3:2006.

97. Information technology - Code of practice for Information security management. International Standard ISO/IEC 17799:2000(E).

98. Information technology - Security techniques — Code of practice for information security management. International Standard ISO/IEC 17799:2005.

99. Information teclinology — Security techniques - Information security anagement systems — Requirements. International Standard 180ЯЕС 27001:2005.

100. Information technology - Security techniques - Information security risk management. International Standard ISO/IEC 27005:2008.

101. Neil A. Doherty Integrated Risk Management. Techniques and Strategies for Managing Corporate Risk.

102. Risk Management Guide for Information Technology Systems. National Institute of Standards and Technology Special Publication 800-30, 54 pages (July 2002).

103. The SOMAP.org Open Information Security Risk Management Handbook Version 1.0, September 2006.

104. Карпеев Д.О., Г.А. Остапенко, В.И. Белоножкин. Стратегии управления рисками в социотехнических информационных системах. // Журнал «Информация и безопасность». - Воронеж: ВГТУ, 2006. - Вып. 2 -С.133-134.

105. Кулаков В.Г., Карпеев Д.О, Остапенко А.Г. Риск-анализ информационных систем. // Журнал «Информация и безопасность». -Воронеж: ВГТУ, 2008. -Вып. 1 - 7-30.

106. Карпеев Д.О. Анализ динамики рисков информационных систем. // Журнал «Информация и безопасность». - Воронеж: ВГТУ, 2008. - Вып. 2 - 284-287.

107. Карпеев Д.О., Остапенко О.А. Применение кластерного анализа в мониторинге рисков систем. // Журнал «Информация и безопасность». -Воронеж: ВГТУ, 2008. -Вып. 3 - 395-398. НАУЧНЫЕ ТРУДЫ И МАТЕРИАЛЫ КОНФЕРЕНЦИЙ

108. Карпеев Д.О., Остапенко О.А. Управление информационными рисками социотехнических информационных систем. // Материалы пятой региональной конференции «ЮниорИнфоСофети». Журнал «Информация и безопасность». - Воронеж: ВГТУ, 2006. — Вып. 1 — 139.

109. Карпеев Д.О. Распределенный риск-анализ систем // Материалы региональной научно-практической конференции «Информационные аспекты безопасности систем». Журнал «Информация и безопасность». - Воронеж: ВГТУ, 2007. - Вып. 2 - 357.

110. Карпеев Д.О. Классификация рисков информационных систем. // Материалы региональной научно-практической конференции «Методы, системы и процессы обеспечения безопасности». Журнал «Информация и безопасность». - Воронеж: ВГТУ, 2008. - Вып. 2 -С.ЗЮ.