Методы обеспечения информационной безопасности предприятия тема диссертации и автореферата по ВАК РФ 08.00.13, кандидат экономических наук Саввин, Андрей Сергеевич

Актуальность темы диссертации определяется обострением проблем информационной безопасности (ИБ) даже в условиях интенсивного совершенствования технологий и инструментов защиты данных. Об этом свидетельствует беспрецедентный рост нарушений информационной безопасности и усиливающаяся тяжесть их последствий. Общее число нарушений в мире ежегодно увеличивается более чем на 100%. В России, по статистике правоохранительных органов, число выявленных преступлений только в сфере компьютерной информации возрастает ежегодно в среднем в 3-4 раза. Статистика свидетельствует также, что если коммерческая организация допускает утечку более 20% важной внутренней информации, то она в 60 случаях из 100 банкротится.1 93% компаний, лишившихся доступа к собственной информации на срок более 10 дней, покидают бизнес, причем половина из них заявляет о своей несостоятельности немедленно.2

Перечень угроз информационной безопасности, нарушений, преступлений настолько обширный, что требует научной систематизации и специального изучения с целью оценки связанных с ними рисков и разработки мероприятий по их предупреждению.

Исследования свидетельствуют о том, что основной причиной проблем предприятий в области защиты информации является отсутствие продуманной и утвержденной политики обеспечения информационной безопасности, базирующейся на организационных, технических, экономических решениях с последующим контролем их реализации и оценкой эффективности.

Все это предопределяет необходимость разработки научно обоснованных методов обеспечения информационной безопасности предприятий, учитывающих по

1 Баутов А. Эффективность защиты информации/Юткрытые системы, 2003, № 7-8.

2 Ездаков А., Макарова О. Как защитить информацию//Сети, 1997, № 8. зитивный практический опыт российских и зарубежных предприятий в этой области.

Степень разработанности проблемы. Проблемы информационной безопасности предприятий рассматривались в работах многих отечественных исследователей и специалистов: Лукацкого А.В., Баутова А., Симонова С., Кононова А., Ловцова Д., Васильева А., Волоткина А., Давлетханова М., Конева И., Беляева А., Манош-кина А., Мельникова В., Трайнева В., Петренко С., Садердинова А., Уфимцева Ю., Шпака В., а также иностранных авторов Р. Уитти, A.M. Уилхайт, С. Норткатт, Ж. Брассар и др.

Вместе с тем проведенные исследования касаются лишь отдельных аспектов обеспечения информационной безопасности, в то время как комплексность этой проблемы предполагает разработку для ее решения более современных и адекватных методов. Все это и предопределило цели и задачи диссертации.

Цель диссертации состоит в разработке методов обеспечения информационной безопасности предприятия, позволяющих снизить его информационные риски.

Поставленная цель обусловила следующие задачи диссертации: разработать концепцию информационной безопасности предприятия; выявить перечень информационных ресурсов, нарушение целостности или конфиденциальности которых приведет к нанесению наибольшего ущерба предприятию; идентифицировать наиболее значимые модели нарушителей и угроз информационным ресурсам предприятий; систематизировать информационные риски, разработать методы оценки и подходы к управлению ими; разработать алгоритм оценки остаточных информационных рисков на предприятии; разработать блок-схему алгоритма оценки затрат на управление информационной безопасностью и расчета их экономической эффективности; оценить информационные риски малых предприятий, занимающихся НИ-ОКР в российских условиях.

Объектом исследования выступает система информационной безопасности предприятия.

Предметом исследования в диссертации являются инструментальные и экономические методы обеспечения информационной безопасности, направленные на снижение информационных рисков и оптимизацию затрат предприятия на защиту информации.

Методологической и теоретической основой диссертации явились труды отечественных и зарубежных специалистов в области экономической безопасности, инвестиций, бюджетирования, статистики, теории рисков, информатизации управленческих и экономических процессов. В ходе работы над диссертацией автор использовал информацию, отражающую содержание законов, законодательных актов и нормативных актов, постановлений Правительства РФ, регулирующих защиту информации, международные стандарты по информационной безопасности.

Теоретическая значимость диссертационного исследования состоит в развитии методологии разработки системы информационной безопасности на предприятиях, основанной на концепции риск-анализа.

Практическая значимость диссертации определяется тем, что ее научные результаты позволяют повысить степень защиты информации на предприятиях путем использования предложенных автором методов, алгоритмов и практических процедур при формировании системы информационной безопасности, направленной на снижение информационных рисков.

Научная новизна диссертации заключается в разработке методов и средств обеспечения информационной безопасности предприятия, направленных на выявление и оценку угроз конфиденциальности информации, планирование и расчет информационных рисков, экономическое обоснование целесообразности затрат на информационную безопасность.

Наиболее существенные результаты, полученные автором, состоят в следующем: уточнено понятие информационной безопасности, составлена классификация видов информации по пяти критериям, которая выступает в качестве базы при оценке и планировании информационных рисков; предложена концепция информационной безопасности предприятия, состоящая из следующих элементов: объекты, цели и задачи защиты информации; источники угроз; принципы построения системы информационной безопасности; мероприятия по обеспечению информационной безопасности; политика информационной безопасности; разработан алгоритм оценки информационных рисков, позволяющий определить состав информационных ресурсов предприятия, их ценность, уязвимость, оценить ожидаемые потери от реализации угроз; составлена матрица балльной оценки ценности информационного ресурса, в основе которой лежат четыре уровня конфиденциальности, целостности и доступности защищаемой информации; разработана матрица балльной оценки уязвимости информационного ресурса, инициируемой пятью источниками (сотрудниками, бывшими сотрудниками, конкурентами, преступниками, хакерами); предложена модель возможных внутренних и внешних нарушителей информационной безопасности предприятия с учетом их признаков: категории, мотивации, квалификации, возможностей; разработана процедура оценки информационных рисков в среде СУБД MS Access, включающая в себя следующие этапы: инвентаризация и категорирование информационных ресурсов предприятия; определение уровней конфиденциальности, целостности и доступности информации и расчет уровня риска для каждого информационного ресурса; предложен план мероприятий по снижению информационных рисков предприятия (инженерно-технических, организационных, правовых), включающий перечень контрмер нейтрализации угроз, реализация которых позволяет обеспечить оптимальный уровень затрат на информационную безопасность; разработаны рекомендации по расчету экономической эффективности затрат на информационную безопасность предприятия; составлена блок-схема алгоритма расчета экономической эффективности и формирования бюджета расходов на информационную безопасность.

Апробация работы. Основные теоретические положения и результаты диссертации доложены, обсуждены и одобрены на заседаниях кафедры Информационных технологий РЭА им. Г.В. Плеханова, на международных научных конференциях «Плехановские чтения» (Москва, РЭА, 2002 г.), «Молодежь и экономика» (Ярославль (Военный финансово-экономический университет, 2002 г.), «Свет науки молодой» (Ярославский государственный университет, 2004 г.), «Инновационное развитие экономики: теория и практика» (Ярославский государственный университет, 2005 г.). Основные результаты исследования успешно применяются в практической деятельности ОАО «Московское монтажное управление специализированное», ЗАО «Доркомтехника».

Публикации. Основные положения диссертации отражены в 8 опубликованных работах общим объемом 2,4 п.л.

Логика и структура исследования. Логика исследования определяет структуру работы, которая состоит из введения, трех глав, заключения, списка литературы и 10 приложений. Диссертация содержит 152 страницы текста, 12 таблиц и 25 рисунков. Список использованной литературы включает 109 наименований.

ЗАКЛЮЧЕНИЕ

Проведенное исследование позволило сделать следующие выводы и сформулировать рекомендации.

1. Показано, что экономико-технологические проявления информационного общества выражаются, во-первых, в беспрецедентном по масштабам и темпам развитии рынка информационных услуг и стремительном росте спроса на продукцию данной отрасли; во-вторых, в активной переориентации национальных экономик и бизнес-структур на использование инновационных информационных продуктов; в-третьих, во всеобщем охвате и обеспечении максимальной доступности информационных продуктов, ресурсов, услуг.

2. Установлено, что основной причиной проблем предприятий в области защиты информации является отсутствие продуманной утвержденной политики обеспечения информационной безопасности, которая включала бы организационные, технические, финансовые решения с последующим контролем их реализации и оценкой эффективности.

3. Предложена уточненная формулировка понятия информационной безопасности, в полной мере отражающая интересы предприятий. Информационная безопасность представляет собой состояние информационной системы, в котором она может противостоять воздействию внутренних и внешних угроз, не инициируя их возникновение для элементов системы и внешней среды. Из этого определения следует, что основой обеспечения информационной безопасности является решение трех взаимоувязанных проблем: защиты информации, находящейся в системе, от влияния внутренних и внешних угроз; защиты информации от информационных угроз; проблема защиты внешней среды от угроз со стороны находящейся в системе информации.

4. Обобщены типологии информации и предложена классификация видов информации по следующим критериям: форма собственности, способ доступа, сфера применения, способ организации хранения и использования, вид носителя.

5. Выявлены три главные причины, приводящие к утрате конфиденциальности информации - разглашение, утечка, несанкционированный доступ, каждая из которых имеет специфические способы реализации.

6. Сформулировано определение политики информационной безопасности предприятия как совокупности документированных управленческих решений, целью которых является обеспечение защиты информации и связанных с ней ресурсов.

7. Выявлены следующие ключевые причины недостаточного развития системы информационной безопасности в РФ: нормативно-правовая база обеспечения информационной безопасности не охватывает всего круга проблем в этой области, а по отдельным вопросам носит противоречивый характер; ограничено финансирование работ по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти. Соответственно не обеспечивается в необходимых объемах производство сертифицированных средств защиты информации, включая отечественные защищенные операционные системы и прикладные программные средства; недостаточна проработка региональных проблем информационной безопасности, отсутствует необходимая координация деятельности федеральных и региональных органов государственной власти, государственных и негосударственных организаций в этой области; остро ощущается нехватка грамотных обученных специалистов в данной области.

8. На основе классификации угроз информационной безопасности по четырем критериям (источник угроз, характер нанесенного ущерба, вероятность появления, причины возникновения) и анализа статистики составлена следующая типовая структура угроз информационной безопасности предприятия: внешние угрозы -17%, угрозы со стороны случайных лиц - 1%, внутренние угрозы (от персонала компаний) - 82%.

9. Анализ динамики структуры внутренних угроз ИБ российских предприятий за 2002-2003 гг. позволил выявить следующие тенденции:

1) по-прежнему самый высокий вес занимают установка и использование нерегламентированного ПО;

2) существенно возросла доля случаев использования сотрудниками оборудования и информационных ресурсов в личных целях;

3) увеличилась доля таких нарушений как хищение, раскрытие, повреждение информации;

4) На 7% снизилось число инцидентов, связанных с установкой и использованием нерегламентированного оборудования вследствие ужесточения контроля со стороны администрации.

10. Обобщение международной и российской практики в области управления информационной безопасностью предприятий позволило заключить, что для ее обеспечения необходимы: категорирование информации на служебную или коммерческую тайну; прогнозирование и своевременное выявление угроз безопасности, причин и условий, способствующих нанесению финансового, материального и морального ущерба; создание условий деятельности с наименьшим риском реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба; создание механизма и условий для эффективного реагирования на угрозы информационной безопасности на основе правовых, организационных и технических средств.

11. Предложена Концепция информационной безопасности предприятия, которая представляет собой системный подход к проблеме обеспечения безопасности информационных ресурсов, включает систематизированное изложение целей, задач, принципов проектирования и внедрения комплекса мер по обеспечению ИБ на предприятии.

12. Предложена процедура оценки информационных рисков предприятия, предназначенная для исследования состава информационных ресурсов, функционирующих в автоматизированной системе предприятия, определения их ценности, уязвимостей, оценке ожидаемых потерь. Данная процедура является основой для формирования комплекса мер по противодействию возможным угрозам информационным ресурсам.

13. Проведены инвентаризация и категорирование информационных ресурсов предприятия IR на основе анкетирования специалистов и руководителей (анкеты разработаны автором).

14. Определены четыре уровня конфиденциальности, целостности и доступности информации и проставлены балльные оценки информационных ресурсов.

15. Составлена матрица балльной оценки ценности информационных ресурсов

AV.

16. Составлен перечень наиболее значимых для предприятия информационных ресурсов, среди которых выделяются: IR1 - техническая информация, IR2 -информация о клиентах и поставщиках, IR3 - информация о новых проектах, бизнес-планах, ноу-хау.

17. Сформирована модель возможных нарушителей с учетом заинтересованных категорий лиц, их мотивацией, квалификацией и возможностями. Составлены наиболее вероятные модели нарушителей.

18. Определены основные пути реализации угроз ИБ на предприятии.

19. Проведены идентификация угроз Т по наиболее значимым информационных ресурсам, сопоставление с возможными моделями нарушителей.

20. Присвоены балльные оценки ценности информационного ресурса и уязвимости ресурса к угрозе на основании консультаций и собеседований с руководителями и ведущими специалистами ряда коммерческих предприятий, имеющих полный цикл от создания до реализации продукции: маркетинг - идея -НИОКР - производство - продажа (или отдельные его элементы). Аналогичным образом осуществлена оценка вероятности реализации угроз.

21. Рассчитаны итоговые ожидаемые потери от конкретной угрозы за определенный период, т.е. уровень риска для конкретного информационного ресурса.

22. Расчеты информационных рисков произведены в среде СУБД MS Access 2002. Они показали, что максимальные и наиболее вероятные угрозы в виде несанкционированного копирования, чтения информации характерны для всех трех основных информационных ресурсов. Идентична также модель нарушителя -конкуренты через нелояльных сотрудников.

23. С целью минимизации возможности нарушения информационной безопасности в диссертации разработан план мероприятий (комплекс мер) по снижению информационных рисков и повышению эффективности системы ИБ. Он включает меры правового, организационного характера и программно-технические средства защиты, направленные на предотвращение различных типов угроз.

24. Осуществлено планирование остаточных рисков с целью формализации потенциального экономического эффекта, которое дало возможность рассчитать экономическую эффективность затрат компании на проведение мероприятий для обеспечения информационной безопасности, включенных в план мероприятий для нашего предприятия.

25. На основе анализа мероприятий, которые широко распространены на практике и применяются в различных сочетаниях на обследованных автором предприятиях, разработан комплекс контрмер угрозам. Сделан аргументированный выбор из представленного множества тех контрмер, реализация которых позволит обеспечить оптимальный уровень затрат для поддержания достаточной защищенности информационных ресурсов.

26. На основе изучения современных концепций управления бизнесом выявлены следующие источники роста стоимости компании: информационные ресурсы (в частности, программное обеспечение) как вид нематериальных активов; корпоративные информационные системы с соответствующими составными элементами; аппаратное обеспечение как материальный актив, т.е. часть имущества компании; накопленные знания, умения и навыки ИТ-специалистов, т.е. интеллектуальный капитал компании; эффективная система информационной безопасности.

27. Обоснован тезис о том, что расходы на разработку проектов защиты информации, закупку необходимых элементов безопасности и эксплуатацию систем защиты для владельца информации есть ни что иное, как материализованный экономический ущерб. Осуществляя эти затраты, пользователь старается уберечься от еще больших потерь, вызванных нарушениями конфиденциальности информации.

28. Разработаны методические рекомендации по использованию комбинированного метода составления ИБ-бюджета, который предполагает на первом этапе бюджетного проектирования применение бенчмарков для постатейной разбивки бюджета.

• 29. Разработана адекватная условиям любого малого предприятия методика определения целесообразности и экономической эффективности затрат на ИБ.

30. Разработана методика расчета экономической эффективности затрат на ИБ, включающая в том числе блок-схему алгоритма расчета экономической эффективности и формирования бюджета расходов на ИБ.

1. Нормативные документы

2. Конституция Российской Федерации (принята 2 декабря 1993 г.)

3. Закон РФ «Об информации, информатизации и защите информации» № 24-ФЗ от 20.02.95 г.

4. Закон РФ «О государственной тайне» № 5485 от 21.07.93 г.

5. Закон РФ «О правовой охране программ для электронных вычислительных машин и баз данных» № 3523-1 от 23.09.92 г.

6. Закон РФ «Об участии в международном информационном обмене» от 04.07.1996 г. №85-ФЗ.

7. Доктрина информационной безопасности РФ. Утверждена Президентом РФ 9.09.2000 г. №Пр-1895.

8. Концепция государственной информационной политики Российской Федерации. Одобрена на заседании Комитета Госдумы по информационной политике и связи 15 октября 1998 г.

9. ГОСТ Р 51624-2000 «Автоматизированные системы в защищенном исполнении».

10. ГОСТ 51583 «Порядок создания автоматизированных систем в защищенном исполнении».

11. ISO 18028 IT Network Security («ИТ сетевая безопасность»).

12. ISO 17944 Framework for security in financial systems («Основа безопасности в финансовом секторе»).

13. ISO 17799 Code of practice for information security management («Свод правил для управления информационной безопасностью»)

14. ГОСТ Р 50922-96. Защита информации. Основные термины и определения.

15. ИСО/МЭК 15408-99 «Критерии оценки безопасности информационных технологий».

16. Монографии, учебно-методическая литература

17. Алексеева И.Ю., Авчаров И.В., Вотрин Д.С. , Стрельцов А.А. и др. Информационные вызовы национальной и международной безопасности./Под общей ред. А.В. Федорова и В.Н. Цыгичко. М.: ПИР-Центр, 2001.

18. Анализ типовых нарушений безопасности в сетях / Норткан С., Купер М., Фирноу М. и др. Пер. с англ. под ред. А.А. Чекаткова. М.: Вильяме, 2001.

19. Анин Б.Ю. Защита компьютерной информации. СПб.: BHV-Санкт-Петербург, 2000.

20. Аскеров Т.М. Защита информации и информационная безопасность. Учеб. пособие. Под ред. К.И. Курбакова. М.: Рос.экон.акад., 2001.

21. Бабаш А.В. Криптография: Учеб. пособие. / Бабаш А.В., Шанкин Г.П. М.: СОЛОН-Р, 2002.

22. Байбурин В.Б., Бровкова М.Б., Пластун И.Л. и др. Введение в защиту информации. Учеб. пособие. М.: ФОРУМ-ИНФРА-М, 2004.

23. Баутов А.Н. Программно-методическое обеспечение «Расчет рисков и вычисление оптимальных затрат на систему защиты информации от несанкционированных действий и сохранение конфиденциальности информационных ресурсов». М., 2001.

24. Баяндин Н.И. Технологии безопасности бизнеса. М.: Юристь, 2002.

25. Беззубцев О.А. Лицензирование и сертификация в области защиты информации: Учеб. пособие / Беззубцев О.А., Ковалев А.Н. М., 1996.

26. Бланк И.А. Инвестиционный менеджмент. Киев, 1995.• 25. Бочаров В.В. Финансово-кредитные методы регулирования рынка инвестиций. М., 1993.

27. Буянов В.П., Кирсанов К.А., Михайлов Л.А. Управление рисками (риско-логия). М.: Экзамен, 2002.

28. Васильев А.И. Система национальной безопасности РФ (конституционно-правовой анализ).//Автореферат диссертации на соискание ученой степени доктора экономических наук. Санкт-Петербургский Университет МВД РФ. СПб., 1999.

29. Волоткин А.В., Маношкин А.П. Информационная безопасность. М.: НТЦ «ФИОРД-ИНФО», 2002.

30. Галатенко В.А. Интернет-университет информационных технологий ИН-ТУИТ.ру.

31. Галатенко В.А. Информационная безопасность: практический подход / Под ред. Бетелина В.Б.; Рос. акад. наук. НИИ систем, исслед. М.: Наука, 1998.

32. Гаценко О.Ю. Защита информации. Основы организационного управления. СПб.: Изд. Дом «Сентябрь», 2001.

33. Голиусов А.А., Дубровин А.С., Лавлинский В.А. и др. Методические основы проектирования программных систем защиты информации. Воронеж: ВИРЭ, 2002.

34. Дубровин А.С., Макаров О.Ю., Рогозин Е.А. и др. Методы и средства автоматизированного управления подсистемой контроля целостности в системах защиты информации. Монография. Воронеж: Воронежский гос. ун-т, 2003.

35. Завгородний В.И. Комплексная защита информации в компьютерных системах: Учеб. пособие для вузов. М.: Логос, 2001.

36. Зегжда Д.П. Основы безопасности информационных систем / Зегжда Д.П., Ивашко A.M. М.: Горячая линия-Телеком, 2000.

37. Информационное общество. Информационные войны. Информационное управление. Информационная безопасность. СПб.: СПб ун-т, 1999.

38. Кирсанов К.А. Информационная безопасность: Учеб. пособие / Кирсанов К.А., Малявина А.В., Попов Н.В. М.: МАЭП, 2000.

39. Кныш М.И., Перекатов Б.А., Тютиков Ю.П. Стратегическое планирование инвестиционной деятельности. СПб., 1998.• 39. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. С

40. Пб.: «БХВ-Петербург», 2003.

41. Копылов В.А. Информационное право. Учебник. М., Юристь, 2002.

42. Левин М. Хакинг и фрикинг: Методы, атаки, секреты, взлом и защита. М.: Оверлей, 2000.

43. Липсиц И.В., Коссов В.В. Инвестиционный проект. М., 1996.

44. Ловцов Д.А. Информационная безопасность больших эргатических систем: концептуальные аспекты. М., 1998.

45. Лопатин В.Н. Информационная безопасность России: Человек. Общество. Государство. СПб.: Фонд «Университет», 2000.

46. Лукацкий А.В. Краткий толковый словарь по информационной безопасности. М., 2000.

47. Лукацкий А.В. Обнаружение атак: Пракг. рукводство. СПб.: БХВ-Петербург, 2001.

48. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. М.: Горячая линия Телеком, 2004.

49. Мельников В.П., Клейменов С.А., Петраков A.M. М.: «Академия», 2005.

50. Панкратьев В.В. Корпоративная безопасность. Методическое пособие по спецкурсу. М., 2005.

51. Партыка Т.Л., Попов И.И. Информационная безопасность. М.: ИД «Форум», 2002.

52. Петраков А.В. Основы практической защиты информации. М.: Радио и связь, 2000.

53. Петровский А.И. Хакинг, крэкинг и фрикинг: Секреты, описания атак, взлом и защита. М.: Солон-Р, 2001.

54. Почепцов Г.Г. Информационные войны. М.: «Рефл-бук», 2001.

55. Приходько А .Я. Информационная безопасность в событиях и фактах. М.: Синтег, 2001.

56. Проскурин В.Г. Защита в операционных системах: Програм.-аппарат. средства обеспечения информ. безопасности: Учеб. пособие / Проскурин В.Г., Кру-тов С.В., Мацкевич И.В. М.: Радио и связь, 2000.

57. Садердинов А.А., Трайнев В.А., Федулов А.А. Информационная безопасность предприятия. М.: «Дашков и К», 2004.

58. Семкин С.Н. Основы информационной безопасности объектов обработки информации: Науч.-практ. пособие / Семкин С.Н., Семкин А.Н. М., 2000.

59. Скембрей Д. Секреты хакеров. Безопасность сетей готовые решения: Пер. с англ. / Скембрей Д., Мак-Клар С., Курц Д. - 2-е изд. М.: Вильяме, 2001.

60. Соколов А.В. Методы информационной защиты объектов и компьютерных сетей / Соколов А.В., Степанюк О.М. СПб.: Полигон; М.: ACT, 2000.

61. Стрельцов А.А. Обеспечение информационной безопасности России. Под ред. В.А. Садовничего и В.П. Шерстюка М.: МЦНМО, 2002.

62. Теоретические основы информатики и информационная безопасность. Под ред. В.А. Минаева, В.Н. Саблина. М.: Радио и связь, 2000.

63. Технические методы и средства защиты информации / Максимов Ю.Н., Сонников В.Г., Петров В.Г. и др. СПб: Полигон, 2000.

64. Торокин А.А. Инженерно-техническая защита информации: Учебное пособие. М.: Гелиос АРВ, 2005.

65. Устинов Г.Н. Основы информационной безопасности систем и сетей передачи данных. М.: Синтег, 2000.

66. Уфимцев Ю.С., Ерофеев Е.А. Информационная безопасность России. М., Экзамен, 2003.

67. Шарп У.Ф., Александер Г.Дж., Бэйли Д.В. Инвестиции. М.: ИНФРА-М,1997.

68. Шумский А.А., Шелупанов А.А. Системный анализ в защите информации: Учебное пособие. М.: Гелиос АРВ, 2005.

69. Щербаков А.Ю. Введение в теорию и практику компьютерной безопасности. М.: Молгачева, 2001.

70. Ярочкин В.И. Безопасность информационных систем / Попеч. совет пра-воохран. органов. М.: Ось-89, 1996.

71. Ярочкин В.И. Информационная безопасность. Учебник для вузов. М., Фонд «Мир», 2003.• Статьи

72. Баутов А. Экономический взгляд на проблемы информационной безопасности. //Открытые системы, 2002, № 2.

73. Козлов В. Критерии информационной безопасности и поддерживающие их стандарты: состояние и тенденции. «Стандарты в проектах современных информационных систем». Сборник трудов П-й Всероссийской практической конференции. Москва, 27-28 марта 2002 года.

74. Волков Д. Части и целое.//Открытые системы, 2004, № 10.

75. Демин В. Безопасность в виртуальном пространстве // Безопасность. Достоверность. Информация, 2002, № 2.77. Журнал «Сети», 2004, №9.

76. Иноземцев В. Парадоксы постиндустриальной экономики (инвестиции, производительность и хозяйственный рост в 90-е годы).//МэиМО, 2000, №3.

77. Информатизация и информационная безопасность правоохранительных органов. XI Международная научная конференция 21-22.05.2002. Сборник трудов. М.: Академия управления МВД, 2002.

78. Как подготовиться к выбору корпоративной информационной системы //Финансовый директор, 2002, № 3.

79. Керимов В.Э. Профилактика и предупреждение преступлений в сфере компьютерной информации / Керимов В.Э., Керимов В.В. // "Черные дыры" в Российском законодательстве, 2002, № 1.

80. Кононов А. Страхование нового века. Как повысить безопасность информационной инфраструктуры. М.: Connect, 12,2001.

81. Хмелев JI. Оценка эффективности мер безопасности, закладываемых при проектировании электронно-информационных систем. Труды научно-технической конференции «Безопасность информационных технологий», Пенза, июнь 2001.

82. Махинов Д.В., Рогозин Д.А., Савченко А.В. Комплексная оценка угроз качеству функционирования эргатических информационно-управляющих сис-тем//Телекоммуникации, 2002, № 1.

83. Мещеряков В.А. Криминалистическая классификация преступлений в сфере компьютерной информации.// Конфидент, 1999, №4-5.

84. Минаев В., Карпычев В. Экономические аспекты информационной безо* пасности//Вестник связи International, 2003, № 8.

85. Петренко С.А., Терехова Е.М. Оценка затрат на защиту информа-ции.//3ащита информации, 2005, № 1.

86. Провоторов В. Агенты конкурента на вашем предприятии // Безопасность. Достоверность. Информация, 2002, № 3.

87. Вихорев С., Кобцев Р. Как определить источники угроз.// Открытые системы, 2002, № 7-8.

88. Симонов С. Технологии и инструментарий для управления рисками./ZJet Info, 2003, №2.

89. Стратегия компании в области информационных технологий//Финансовый директор, 2003, № 7.1. Прочие источники

90. Математический энциклопедический словарь./Под ред. Ю.В. Прохорова. М.: Изд-во «Большая российская энциклопедия», 1995.

91. Ожегов С.И. Словарь русского языка, 20-е издание. М.: Рус. яз, 1988.1. Зарубежные источники94. 2003 Industry Survey Information Security, October 2003.

92. Anne Marie Willhite. Systems Engineering at MITRE Risk Management, Rl, MP96Booool20, September, 1998; Risk Matrix.

93. Managing the Threat of Denial-of-Service Attacks, CERT- Coordination Center, October 2003.

94. R. Witty, J. Dubiel, J. Girard, J. Graff, A, Hallawell ets. The Price of Information Security. Gartner Research, Strategic Analysis Report, K-l 1-6534, June, 2001.