Комплексная методика оптимизации затрат на создание корпоративной системы защиты информации тема диссертации по экономике, полный текст автореферата
Автореферат
| Ученая степень | кандидат экономических наук |
| Автор | Хайретдинов, Рустэм Нилович |
| Место защиты | Москва |
| Год | 2011 |
| Шифр ВАК РФ | 08.00.05 |
Диссертация
Автореферат диссертации по теме "Комплексная методика оптимизации затрат на создание корпоративной системы защиты информации"
На правах рукописи
ХАЙРЕТДИНОВ Рустэм Нилович
КОМПЛЕКСНАЯ МЕТОДИКА ОПТИМИЗАЦИИ ЗАТРАТ НА СОЗДАНИЕ КОРПОРАТИВНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
Специальности: 08.00.05 - Экономика и управление народным
хозяйством (экономика, организация и управление предприятиями, отраслями, комплексами: связь и информатизация)
08.00.13 - Математические и инструментальные методы экономики
Автореферат
диссертация на соискание ученой степени кандидата экономических наук
2 2 СЕН 2011
Москва, 2011 г.
4853335
Работа выпонена в отделе разработки и проектирования информационных систем и технологий Всероссийского НИИ проблем вычислительной техники и информатизации
Научный руководитель: доктор технических наук,
старший научный сотрудник Братухин Павел Иванович
Официальные оппоненты: доктор экономических наук, профессор
Одинцов Борис Ефимович
кандидат экономических наук Матвеев Сергей Геннадьевич
Ведущая организация: ФГУП "СтандартИнформ"
Защита диссертации состоится 11 октября 2011 г. в 10.00 часов на заседании диссертационного совета Д219.007.01 во ВНИИПВТИ по адресу: 115114, Москва, 2-й Кожевнический пер., д. 8, конференц-зал (ауд. 213).
С диссертацией можно ознакомиться в библиотеке ВНИИПВТИ по адресу: 115114, Москва, 2-й Кожевнический пер., д. 8.
Автореферат разослан 8 сентября 2011 г,.
Ученый секретарь диссертационного совета, кандидат экономических наук
Гвритишвили П.П.
Общая характеристика работы
Актуальность темы исследования. Важность защиты корпоративной информации для каждого хозяйствующего субъекта сама по себе не вызывает сомнений. В этой области проводятся многочисленные исследования. Так, например, компания Forrester Consulting совместно с корпорацией Microsoft и компанией RSA провели опрос о защите корпоративной информации, в котором приняло участие 305 директоров и менеджеров ИТ-отрасли1. Выяснилось, что 39% бюджетов ИТ-компаний тратится на обеспечение защиты данных, гв частности, на покупку специализированных программных средств. При этом секретная информация составляет в среднем 62% от общей стоимости всей корпоративной информации. Это указывает на диспропорцию между затратами на создание системы информационной безопасности и стоимостью конфиденциальной информации компании, которая связана с её производственно-хозяйственной и коммерческой деятельностью.
В сфере защиты информации было сформировано несколько проблем, многие из которых являются мало исследованными. Так, в ходе упомянутого опроса выяснилось, что расходы на обеспечение защиты информации мало связаны с ценностью информации.
Мало внимания уделяется так же и анализу способов нанесения ущерба. В то время как организации уделяют основное внимание защите от случайной утери информации, на самом деле гораздо дороже им обходится кража данных их же сотрудниками или доверенными внешними лицами. Соответствующие опросы показывают, что кража сотрудниками конфиденциальной информации обходится в 10 раз дороже, чем ее случайная утеря в результате инцидентов.
Новые проблемы по защите информации возникают в связи с массовым созданием и распространением экономических информационных систем (ЭИС). Исследования показывают, что если организация допускает утечку более 20% важной внутренней информации, то она в 60 случаях из 100 банкротится2. Утверждают также3, что 93% компаний, лишившихся доступа к собственной информации на срок более 10 дней, покинули бизнес, причем половина из них заявила о своей несостоятельности немедленно.
Из сказанного очевидно, что, с одной стороны, существенные затраты на защиту информации являются необходимыми для подавляющего большинства хозяйствующих субъектов и что, с другой стороны, столь же необходимым является оптимизация затрат на
1 См. Ссыка на домен более не работаетnews/392796.php
2 Сабынин В., Специалисты, давайте говорить на одном языке и понимать друг друга. Информост -Средства связи, N3 6. .
3 Ездаков А., Макарова О., Как защитить информацию. Сети, 1997, N4 8.
средства защиты. Очевидно, что неэффективная защита информации или дорогостоящая защита малоценной информации является ущербом и задача состоит в изыскиании способов защиты информации, которые бы позволяли при заданном уровне затрат обеспечивать максимально эффективную защиту, или наоборот, при заданном уровне защиты минимизировать затраты.
Несмотря на большое количество публикаций по рассматриваемой проблеме, до настоящего времени отсутствует комплексная проработка взаимосвязанных методов оптимизации затрат на создание системы защиты информации (СЗИ). К этим методам относятся во-первых, методы установления суммарной стоимости СЗИ и распределения финансовых средств между средствами защиты информации. При этом обеспечивается выбор структуры СЗИ и ее основных составляющих. Для случая, когда защищаемая корпоративная информационная система (КИС) является распределенной и, кроме того, затраты на создание и эксплуатацию СЗИ лимитированы по временным промежуткам, следует применять методику оптимизации поэтапных вложений. Если, кроме того, одной из форм нарушений является использование нелицензионного программного продукта (ПП), то возникает необходимость в методе оптимизации ставки штрафа за использование нелицензионного ПП.
Степень научной разработанности проблемы. В качестве отправной точки для исследования по защите информации и информационной безопасности являлись работы отечественных ученых: В.В. Мельникова, В.М. Львова, В.А. Садовничего, В.П. Шерстюка, В.А. Герасименко, В.Н. Лопатина, Л.М. Ухлинова, Э.В. Попова!
A.A. Стрельцова, ЕН.Тищенко, В.А. Конявского, М.М. Безкоровайного и других. Усилиями этих исследователей была сформирована современная научная база для дальнейшего обобщения результатов и развития моделей и методов учета экономических аспектов информационной безопасности.
Крупный вклад в развитие теории и прикладных методов анализа сложных социально-экономических систем внесли многие отечественные ученые, такие как академики: А.Г. Аганбегян,
B.М. Глушков, СВ. Емельянов, Л.В. Канторович, H.H. Моисеев, Г.С. Поспелов, В .А. Трапезников, Н.П. Федоренко, а также профессора К.А. Багриновский, В. Л. Бурков, О.В. Вокович, В.В. Кульба, В.Е. Лихтенштейн и другие.
Уже в первых работах по защите информации были изложены некоторые важнейшие постулаты, которые не утратили своей актуальности и по сей день.
Поскольку заказчик СЗИ обычно недостаточно осведомлен о возможностях и специфике средств защиты, а также о возможном вкладе того или иного средства в общий уровень безопасности, то возникает увеличение затрат при практической неопределенности
достигнутого эффекта. Поэтому заказчик СЗИ часто получает не совсем то, что ему реально нужно. Он не может объективно проверить и оценить качество и эффективность предложенного решения.
Средства системы защиты информации в соответствии' с действующими нормами и правилами подлежат обязательной или добровольной сертификации. Однако сертификация не является совершенным инструментом и не дает необходимых гарантий. Имеются так же некоторые исследования по оптимизации СЗИ на стадии проектирования. Эти исследования носят, однако, достаточно специализированный характер и рассматривают относительно узкий круг задач.
Актуальность темы данного исследования обусловлена назревшей практической необходимостью дальнейшего совершенствования методов моделирования и проектирования систем защиты экономической информации. Х*
Целью диссертационного исследования является разработка комплексной методики оптимизации затрат на создание системы защиты информации в корпоративных информационных системах различных компаний. Предполагается выработать методические рекомендации по практическому применению методики.
Для реализации указанной цели в работе поставлены и решены следующие задачи:
Х проведен анализ специфики существующих подходов и методов проектирования СЗИ;
Х выявлены характеристик качества СЗИ;
Х сформулированы методические принципы оптимизации затрат на СЗИ;
Х исследованы способы оценки затрат;
Х разработана технология применения эволюционно-симулятивной методологии (ЭСМ) для моделирования затратна СЗИ;
Х разработана технология распределения затрат на компоненты СЗИ, а также методика определения штрафа за использование контрафактных программных средств.
Объектом исследования являются корпоративные экономические информационные системы и технологии.
Предметом исследования являются методики и методы оптимизации затрат на создание корпоративной системы защиты информации.
Теоретическая и методическая база исследования.
Исследование проводилось в поном соответствии с ключевыми положениями системного анализа, экономической теории и теории управления большими системами (системами связи и информатизации). Теоретическую и методологическую основу исследования составили труды отечественных и зарубежных ученых в области экономико-математического моделирования, математической статистики, теории
вероятностей, теории и методологии обеспечения информационной безопасности и защиты информации.
Достоверность и обоснованность научных положений, выводов и рекомендаций, содержащихся в диссертации, определяются: результатами выпоненного автором анализа наиболее актуальных работ отечественных и зарубежных ученых, отечественной нормативно-правовой базы в области программно-технических средств защиты информации; необходимой понотой и достоверностью использованной исходной информации, достаточно строгой логической последовательностью её анализа и обработки.
При решении конкретных задач использовались методы комбинаторного и дискретного программирования, теории вероятностей, математической статистики, и другие хорошо апробированные методы решения прикладных экономических задач.
Источниковедческую базу исследования составили материалы научной периодики, конференций и семинаров, а также данные статистических сборников и проектные разработки ведущих научных школ в области информационной безопасности.
Диссертационная работа выпонена на стыке двух специальностей и по своему содержанию соответствует пунктам 1.5.93 и 1.5100 Паспорта специальности 08.00.05 - Экономика и управление народным хозяйством (экономика, организация и управление предприятиями, отраслями, комплексами: связь и информатизация) и пункту 2.3 Паспорта специальности 08.00.13 - Математические и инструментальные методы экономики.
Новизна научного исследования заключается в разработке комплексной методики оптимизации затрат на создание корпоративной системы защиты информации, в основе которой лежит равновесие риска нецелесообразных затрат на систему и риска потерь от несанкционированного вмешательства в информационную систему.
Наиболее существенные научные результаты, полученные в диссертации:
по специальности 08.00.05
1. Сформулированы требования к комплексной методике создания корпоративной системы защиты информации экономических информационных систем компании, учитывающие специфику обиаботки конфиденциальных данных, свойственных электронному бизнесу. Особенность обработки заключается в обеспечении юридически значимого оформления договоров в электронном виде; взаимодействия банка с клиентами; системы расчетов за товары и услуги; кредитование.
2. Выявлена совокупность объективных внешних и внутренних факторов, влияющих на проектирование системы защиты экономической информации компании и характерных для электронного бизнеса. К числу таких факторов относятся:
- вероятность возникновения и вероятность реализации ситуации
потери информации или несанкционированного обращения к ней при проведении процедуры сдеки в электронном виде;
- уязвимость информационной системы компании или системы контрмер, влияющих на вероятность осуществления угрозы;
- возможный ущерб организации в результате реализации угрозы информационной безопасности при заключении сделок: утечки информации или неправомерного ее использования.
3. Разработана комплексная методика создания СЗИ, которая включает:
- взаимосвязанные методы установления суммарной стоимости СЗИ и распределения финансовых средств, обеспечивающие выбор структуры СЗИ и ее основных составляющих;
- метод оптимизации поэтапных вложений, для случая, если защищаемая ИС является распределенной и, кроме того, затраты на создание и эксплуатацию СЗИ лимитированы по временным промежуткам;
метод оптимизации ставки штрафа за использование нелицензионного программного обеспечения при защите экономической информации.
4. Определен механизм, обеспечивающий выделение сегментов в общей топологии распределенной ЭИС и фильтрацию пакетов с помощью межсетевых экранов, который позволяет минимизировать стоимость системы защиты информации. Новизна механизма заключается в то, что появилась возможность скомпоновать расположение экранов (технических средств защиты) так, чтобы ни в один из периодов рассматриваемого планового периода времени сумма затрат на средства защиты не превзошла бы лимита выделенных финансовых средств, учитывая, при этом, случайный характер угроз.
5. Разработано методическое обеспечение для решения задачи проектирования оптимальной СЗИ, которое включает методические приемы сбора и обработки исходной информации, а также диалоговые
, процедуры для работы с моделью. Такой комплекс методических приемов позволяет разработчику проводить моделирование различных наборов технических решений с целью выбора оптимальных вариантов СЭИ.
6. Определены условия и выведена анапитическая формула расчета штрафа за использование не лицензированного продукта. Необходимость решения этой задачи связана с определением такого штрафа, при котором пользователям будет не выгодно использовать контрафактные программные продукты.
по специальности 08.00.13
7. Разработана равновесная экономико-математическая модель оптимизации затрат на средства защиты информации, новизна которой заключается в двояком токовании риска экономических издержек, а именно: риск нецелесообразных затрат на СЗИ и риск потерь от
несанкционированного вмешательства в функционирование ИС. Такое представление риска экономических издержек позволяет найти оптимальный по условию минимизации совокупного риска объем затрат на средства защиты и оптимально распределить эти затраты между средствами защиты. В рамках этой задачи разработаны 3 имитационные модели, а именно: модель размера ожидаемых затрат на средства защиты информации; модель риска завышения, то есть риска неэффективных затрат на средства защиты; модель риска занижения, то есть риска угроз ИС.
8. Разработана экономико-математическая модель булевого программирования защиты РЭИС, отличительной особенность которой является учет, наличия издержек от НСД. Использование процедуры расчета издержек позволяет существенно повысить качество обоснования технических решений.
Теоретическая и практическая значимость исследования. В совокупности, выносимые на защиту результаты можно интерпретировать как дальнейшее развитие методологии и методов управления в области связи и информатизации. Разработанные в диссертации научно-методические подходы могут быть применимы в практической работе различных финансовых и нефинансовых компаний. Выводы и результаты работы представляют собой пример получения количественных оценок:
- суммарной стоимости СЗИ, распределения финансовых средств на создание СЗИ, выбора структуры СЗИ и её основных составляющих;
- поэтапных вложений в СЗИ распределенной корпоративной ЭИС, а также затрат на создание и эксплуатацию СЗИ, лимитированных по временным промежуткам;
- ставки штрафа за использование нелицензионного программного обеспечения при защите экономической информации.
Полученные результаты диссертационного исследования раздвигают границы применения комплексной методики оптимизации затрат на создание корпоративной системы защиты конфиденциальной информации в экономических информационных системах.
Самостоятельное практическое значение имеют:
- комплексная методика оптимизация затрат на создание корпоративной системы защиты конфиденциальной информации, а также рекомендации аналитику-медиатору по её практическому применению при проектировании или реорганизации СЗИ;
- экономико-математические модели, методы и программные средства.
Апробация и внедрение результатов. Проведенные в диссертации исследования непосредственно связаны с планами научно-исследовательских работ ВНИИПВТИ по информационной безопасности.
Материалы диссертационного исследования Хайретдинова Р.Н.
использовались в НИР по темам:
Автоматизированная система выявления каналов утечки информации из ЦБД ЕАИС таможенных органов (заказчик: ГУИТ ФТС России, 2006 г.);
Разработка Политики информационной безопасности ОАО Татнефть (заказчик: ОАО Татнефть, 2010 г.);
Разработка методики классификации конфиденциальной информации, по подготовке заключения о движении конфиденциальных документов в рамках бизнес-процесса 'Геологоразведочные работы' (заказчик ОАО Сургутнефтегаз, 2009 г.).
Применение методики позволило повысить эффективность систем защиты корпоративной информации, а также существенно снизить уровень ожидаемых потерь.
Основные положения диссертации докладывались и получили одобрение на заседаниях НТС ГУП Рособоронэкспорт, Научно-практических конференций DLP-Russia, выставках infosecurity Moscow и Инфобез, а также на научных семинарах кафедр Автоматизированной обработки экономической информации ВЗФЭИ, Математическое моделирование экономических процессов Финансовой академии при Правительстве РФ, Финансы и кредит РГГУ и на НТС ВНИИПВТИ.
Теоретические и практические результаты диссертации были использованы при чтении лекций по курсу Информационные системы в экономике, Информационные технологии управления в Международном научном центре информационной безопасности (МНУЦИБ) для повышения квалификации специалистов службы защиты информации различных компаний.
Публикации. Основные положения диссертационного исследования нашли отражение в 12 публикациях общим авторским объемом 4,9 л.л., 5 из них общим объемом 2,9 п.л., размещены в журналах, рекомендованным ВАК.
Структура и содержание работы обусловлены логикой, целью исследования. Диссертация содержит 3 главы, 12 рисунков, 3 таблицы, 120 страниц текста, ссыки на 105 литературных источника.
ОСНОВНЫЕ ПОЛОЖЕНИЯ
В соответствии с целью диссертационного исследования з работе рассмотрены следующие задачи.
Первая группа задач связана с анализом рассмотрения информационной безопасности предприятия, в частности, с информационной безопасностью электронного бизнеса и регламентирующими его документами, принципами построения систем защиты предприятий, стоимостью владения системой информационной безопасности и методик ее оценки.
Экономические аспекты информационной безопасности
рассматривались на примере электронного бизнеса, в частности это касается: юридически значимого оформления договоров в электронном виде; взаимодействия с клиентами, в том числе заказа товаров и услуг; системы расчетов за товары и услуги; управления предприятием; кредитования организаций и предприятий.
Структура системы защиты информации компании отражает совокупность объективных внешних и внутренних факторов, влияющих на состояние её информационной безопасности. К их числу относятся:
- вероятность возникновения и вероятность реализации ситуации потери информации или несанкционированного обращения к ней при проведении процедуры сдеки в электронном виде;
- уязвимость информационной системы компании или системы контрмер влияющих на вероятность осуществления угрозы;
- возможный ущерб организации в результате реализации угрозы информационной безопасности при заключении сделок: утечки информации или неправомерного ее использования.
В работе проанализированы количественные оценки уровня защищенности информационных систем и требования системности к их защите. Рассмотрены вопросы отражения качества защиты информационных систем в нормативных документах стандартизации качества и методические принципы оптимизации затрат на создание СЗИ. Считается, что защита информации дожна по своим характеристикам быть соразмерной масштабам угроз, так как отклонение от этого правила чревато допонительным ущербом.
Риск экономических издержек при создании СЗИ имеет две основных составляющих: риск нецелесообразных затрат на СЗИ (обозначим Я1) и риск потерь от несанкционированного вмешательства в функционирование ИС (обозначим Я2). Чем больше стоимость СЗИ, то есть, чем больше Ш, тем, при прочих равных условиях, меньше Я2. Суммарный риск, как видно из рис. 1, имеет глобальный минимум.
Оптимальные затраты на СЗИ доставляют минимум совокупному риску 131 + Р?2 с учетом того, что Р2 зависит от Ш, то есть Я2 = ^1). Для выпонения реальных оптимизационных расчетов необходимо иметь аналитическую зависимость И2 = ^1), имея ввиду, что она носит случайный характер.
Поскольку оценка затрат на СЗИ является необходимой для разработки методики их оптимизации, была проанализирована методика Совокупной стоимости владения и возможность её применения для вычисления оценки затрат компании на создание СЗИ. Рассмотрена специфика применения в России международных стандартов в области защиты информации, которая заключается в том, что защита информационных активов любой российской компании допонительно характеризуется определенными индивидуальными специфическими условиями ведения бизнеса и российской нормативной базой в области защиты информации.
R1+R2 R1
О Затраты
Рис. 1. Зависимости рисков от затрат на СЗИ. R1 - риск затрат на СЗИ; R2 -риск несанкционированного доступа к ИС; R1 + R2 - совокупный риск.
Оптимальные СЗИ наиболее целесообразны для корпоративных компаний, которые являются экономически самостоятельными субъектами и в своей деятельности вынуждены соблюдать баланс между затратами на СЗИ и возможным ущербом. Реализация таких систем защиты информации возможна при тщательном учете всех аспектов, включая количественную оценку безопасности и размера ожидаемых потерь. Оценка экономически оптимальных параметров дожна являться основой формирования конкретного технического облика СЗИ.
Предлагаемая в диссертации комплексная методика включает 4 взаимно допонительных составляющих, взаимосвязь которых показана на рис. 2.
Комплексная методика охватывает разные аспекты проблемы формирования СЗИ. В частности, методики установления суммарной стоимости СЗИ (блок I) и распределения финансовых средств (блок II) дожны применяться последовательно. При этом, они обеспечивают выбор структуры СЗИ и ее основных составляющих. В случае, если защищаемая ИС является распределенной и, кроме того, затраты на создание и эксплуатацию СЗИ лимитированы по временным промежуткам, следует применять методику оптимизации поэтапных вложений (блок III). Если, кроме того, одной из форм нарушений является использование не лицензионного ПП, то возникает еще одна задача, а именно задача оптимизации ставки штрафа, которую решает соответствующая методика (блок IV).
Вторая группа задач связана с разработкой комплексной методики, которая включает четыре взаимосвязанных метода.
Рис. 2. Взаимосвязь составляющих комплексной методики
Метод 1. Предложена эволюционно - симулятивная модель оптимизации затрат на средства защиты информации, которая лежит в основе методики, представленной на рис. 2 блоком I.
Обобщенно, структура данных об угрозах и средствах защиты информации может быть представлена в форме таблицы 1, где 1 = 1,2,... ,1 - вариант угрозы; и! - потери, которые может принести угроза ; | =
1,2.....Л - вариант средства защиты; О; - затраты на осуществление
защиты; - вероятность того, что средство защиты ] сумеет предотвратить угрозу I
Кроме этих данных существует информация о вероятности реализации той или иной угрозы. Вообще говоря, существует ряд вопросов о способах получения упомянутой информации. Не вдаваясь в детали, отметим, что информация может быть получена на основании имеющейся статистической информации и, при необходимости, попонена и уточнена с помощью экспертных оценок.
---Ч_________Угрозы Меоы предотвращения------ и, и2
1=1 = 2 ...
а, = 1
Ог = 2 аи
В предположении, что исходная информация имеется в наличии, возникает две взаимосвязанных и взаимно допонительных задачи: А) найти оптимальный объем затрат на средства защиты и Б) оптимально распределить финансовые средства между средствами защиты.
Содержательный смысл задачи А можно уточнить следующим
образом: поскольку недостаток средств защиты может привести к реализации угроз и соответствующим издержкам, а излишек средств защиты приводит к затратам на не невостребованные средства защиты, то задача А состоит в том, чтобы найти такой объем вложений в средства защиты, при котором риск завышения, то есть риск потерь от реализации угроз, был бы равен риску занижения, то есть риску не эффективного расходования средств на предотвращение угроз. Найдя математические средства выражения риска завышения и риска занижения мы получим математически корректную формулировку задачи оптимизации затрат на создание системы защиты информации.
Напомним, что экономико-математическая модель такого типа имеет следующую структурную формулировку:
Fai = р,(е) Л
Fa2 = p2(e)
Vi(PL,Fa1) = p3(PL,Fa1). при условии PL >Fa1 V (1)
4MPL,Fa2) = p4(PL,Fa2), при условии PL < Fa2
где: Fa, и Fa2 - размер затрат на средства защиты информации
(случайные величины); р,(.).....р4(.) - имитационные модели, е - номер
статистического испытания; PL - искомый оптимальный размер вложений в средства защиты информации; M^PL.Fai) - издержки завышения; 4J2(PL,Fa2) - издержки занижения; M - знак математического ожидания.
Для однозначного представления задачи А в форме (1) необходимо
разработать имитационные модели pi(.)..... рД.), которые могут быть
записаны на внутреннем языке стандартного программного пакета, который отличается от VBA следующими особенностями: случайные величины, которые могут задаваться в виде массивов, гистограмм, нормального распределения (с помощью математического ожидания и С КО), равномерного распределения (с помощью предельных значений) и динамического ряда обозначаются идентификатором f с соответствующим номером; условно-постоянные величины обозначаются идентификатором р с соответствующим номером; возвращаемая величина модели pi(.) обозначается Fa1; возвращаемая величина модели р2(.) обозначается Fa2; возвращаемая величина модели р3(.) обозначается Izav; возвращаемая величина модели р4(.) обозначается Izan.
Имитационные модели pi(.), и р2(.) рассчитываются идентично. Каждая из них дает реализацию возможных затрат на средства защиты. Пусть f(1) - вероятность разнообразия атак (количество разнообразных атак); f(2),...,f(11) - вероятности атаки того или иного вида; 1(12) -
вероятность разнообразия (количество средств) средств защиты; ЦЩ,...,1(22) - вероятности применения того или иного средства защиты. В общем случае мы будем считать, что все законы распределения вероятностей заданы в виде гистограмм. Тогда имитационная модель р,(.) имеет вид:
m = f(12) с = О
For j = 1 То m L = f(j + 12)
с = с + Worfcsheets("HMiiTaTopbi").C6lls(88, 2 + L).Value Nextj
Uzan = с' совокупная стоимость защиты
Предполагается, что вся исходная информация представляется в виде: гистограммы законов распределения вероятностей факторов; данных о средних объемах потерь при наступлении угроз; данных о стоимости средств защиты информации; таблицы вероятностей того, что средство защиты i способно предотвратить угрозу j.
Содержательный смысл имитационной модели (2) состоит в том, что с помощью датчика псевдослучайных чисел находится количество применяемых средств защиты, затем с помощью датчика псевдослучайных чисел устанавливается тип средства, которое предполагается применить и далее рассчитывается реализация совокупной ожидаемый стоимости средств защиты Uzan. При этом, по определению, Fa1 = Uzan и Fa2 = Uzav.
Обратимся к имитационной модели р3(.), которая представлена совокупностью агоритмов (3).
n = f(1) ' количество угроз For i = 1 То п
k(i) = f(i +1)' номера угроз Next i r = 0
d = 0' текущая цена средств защиты а:
г = г+1
z(r) = f(r + 1) ' номер средства защиты If d <= Fa1 Then v = r lfd<=Pi-Thenw=r
d = d + Worksheets("nMHTaTopbi").Cel!s(88,2 + z(r)).Value If d < PL And r < 10 Then GoTo a 'z(r), r = 1,...,v - номера средств защиты, которые следовало бы применить
'z(r), г = 1.....W - номера средств защиты, которые применяя-ются в действительности
For г = v То w
Izav = Izav + Worksheets("HMHTaTopu ").Cells(88,2 + z(r)).Value Next r J
Содержание имитационной модели (3) состоит в следующем. Предполагается, что планируемые затраты PL больше фактически необходимых затрат на защиту информации Fa1. Агоритм (3) позволяет рассчитать затраты для случая, когда PL>Fa1. Следовательно Izav - затраты на установленные, но невостребованные средства защиты.
Вначале устанавливается количество угроз и номера угроз. Затем устанавливаются номера средств защиты исходя из общей суммы затрат Fa1, и номера средств защиты, исходя из большей по величине суммы затрат PL. Наконец, рассчитываются издержки SFa, которые возникнут при установке адекватных средств защиты на сумму Fa1 и издержки, которые возникнут при установке защиты на сумму PL. Разность этих величин и есть издержки завышения Izav.
Модель издержек занижения, представлена соотношениями (4). Существенное отличие модели (4) от модели (3) состоит в том, что в модели (3) присутствует условие PL > Fa1, а в модели (4) присутствует условие PL < Fa2.
n = f{1 ) ' количество угроз
For i = 1 То n \
k() = f(1 + i) ' номера угроз Next i r= О
d = 0 ' текущая сумма затрат на средства защиты а:
г= г+ 1
z(r) = f{12 + г) ' номер средства защиты Ifd <= PL Then v = г If d <= Fa2 Then w = r
d = d + Worksheets("HMHTaTopbi").Ce!ls(88,2 + z{r)). Value
Ifd < Fa2 And r < 10 Then GoTo a \
'z(r), r = 1.....v - номера средств защиты, которые надо применить / (4)
'z(r), г = 1.....w - номера средств защиты, которые применены
SPL = 0 SFa = 0 For i = 1 То n Forr= 1 Tow x = WorksheetsC'HMnraTopbi ").Celis(8Q. 2 + z(r)). Value y = WorksheetsfMMirraTopbi ").Cells(107 + z(r), 2 + k(i)). Value lfr<= vThen
SPL = SPL + x * (1 - y /100) ' стоимость предотвращенных End If ' угроз
SFa = SFa + x * (1 - у /100) ' общая стоимость угроз Next r
Next i j
izan = SFa - SPL ' стоимость не предотвращенных угроз.
Используя стандартное программное обеспечение можно найти оптимальный уровень затрат на защиту информацию.
Графики рисков, которые автоматически строятся при выпонении. . оптимизационного расчета, показаны на рис. 3. Оптимальный объем вложений в средства защиты Р1_ уравнивает риски завышения и занижения, Как видно из рис. 3, ?1 ~ 8 тыс.условных единиц. I
КОНЪЮНКТ урныз Р55СКИ -
25.000 уда^^^ватая^^
! - = Х Риск завышения = Риск занижения
| ЧI Риск дав. - Риск зан. ; - Риск заз. + Риск зан.
Рис. 3. Риски при установлении средств защиты информации
Метод 2. Определив совокупный размер затрат на средства защиты, мы стакиваемся с задачей Б, а именно с задачей установлений оптимального перечня средств защиты (из имеющегося 1 набора) на заданную сумму Р1. Обратимся к рассмотрению этой задачи.
Каждое средство залиты ] предотвращает угрозы ! = 1,... ,п с известными вероятностями ди (см. таблицу 1). Поскольку известен закон распределения вероятностей угроз ((2), то не составляет труда рассчитать вероятность 3-, наступления угрозы. Известны и среднее -потери Ц, которые может принести угроза \ в случае своей реализации. С помощью этих данных можно рассчитать ожидаемый объем 1_ предотвращаемых угроз по формуле:
^ = (5) г
Таким образом, каждое средство защиты характеризуется двумя I величинами: затратами 0! на средство защиты и размером предотвращаемого ущерба Щ, = 1,...,1. Кроме того, как уже отмечалось, известен оптимальный размер совокупных затрат на средства защиты Р1, который получен при решении задачи А. При этом I задача 5 может быть решена с помощью следующего агоритма,
который лежит в основе методики, представленной на рис. 2 блоком II:
1) С помощью формулы (5) рассчитать Wb i = 1.....1.
2) Найти .....1
3) Упорядочить средства защиты по мере убывания D,, так, чтобы было Di+1 <= D/.
4) В план включать средства защиты по порядку, начиная с 1-го номера до тех пор, пока ни будет исчерпан лимит средств PL.
Доказано, что полученный набор будет оптимален по критерию максимального предотвращаемого ущерба, при ограничении на общую сумму затрат.
Метод 3. Предложена комбинаторная модель оптимизации затрат при защите информации в распределенных экономических сетях. Качество защищенности распределенной экономической информационной системы '(РЭИС) определяется несколькими составляющими: качеством сегментации топологии РЭИС; адекватностью выбора базовых составляющих системы защиты РЭИС, исходя из характеристик потенциальных угроз; стойкостью базовых элементов системы защиты при тестировании известными атакующими агоритмами; технической и экономической эффективностью; возможностью совершенствования.
Из сказанного следует, что задача защиты РЭИС решается путем выделения в общей топологии сегментов и в фильтрации пакетов с помощью межсетевых экранов (МЭ). МЭ принято классифицировать в соответствии с уровнем фильтрации, наложенном на стек протоколов TCP/IP. Приведем классификацию МЭ: программно-аппаратные фильтры пакетного/сеансового уровней, криптошпюзы и межсетевые экраны.
Информационной защитой внутренней среды РЭИС являются распределенные МЭ, отвечающие следующим требованиям:
- во-первых, защитные функции МЭ разведены в результате сегментации топологии РЭИС;
- во-вторых, защитные функции МЭ не перекрывают друг друга;
- в-третьих, имеется единый центр управления элементами МЭ.
Как уже отмечалось, чем выше сегментация РЭИС, тем лучше защита, однако уровень допустимой сегментации ограничен целым рядом условий: особенностями топологии РЭИС; содержанием решаемых задач; конфиденциальностью обрабатываемой информации; политикой безопасности в компании; финансовыми и организационными возможностями администрации отдельных сегментов РЭИС и пр.
Пусть техническое решение (TP) номер i в каждый период времени t требует затрат в объеме Ц( и способно принести условный доход в объеме рц. При этом, под затратами мы понимаем в данном случае эксплуатационные расходы на МЭ в период t (обозначим RM) и потери,
связанные с задержками во времени и с ограничениями у пользователей, вызванными наличием МЭ (обозначим 2^,). Таким образом, Цд=
Под условным доходом Оц мы понимаем размер ожидаемого предотвращаемого ущерба, который мог бы возникнуть в период I, если бы в сегменте I отсутствовал МЭ, который согласно данному ТР дожен быть там установлен. Для расчета условного дохода следует исходить из того, что предполагаемый к установке МЭ в течение периода I способен предотвратить несанкционированный доступ (НСД) с известной вероятностью. Зная вероятность НСД и оценку ожидаемых потерь от НСД можно рассчитать ожидаемое значение условного дохода
Ущерб состоит из нескольких основных составляющих:
- затрат законного владельца (ЗВ) на получение информации;
- ущерба в виде потери прибыли вследствие противоправного использования данной информации;
- дохода от экспорта контрафактной продукции;
- потерь от утраты лицензионных прав.
Затраты владельца обычно могут быть оценены с помощью калькуляции. Обратимся к рассмотрению способов расчета потерянной прибыли и других составляющих ущерба. Прибыль П(, оставшаяся в распоряжении нарушителя прав в течении года t равна:
П, = - С, - Н,)а, (6)
где - выручка от реализации продукции, созданной на базе противоправного использования информации в году 1; С( -себестоимость продукции, выпущенной в году 1; Н, - общая сумма налогов и других выплат, которые были произведены в году При этом а, = (1+Е)"1, где а( - коэффициент приведения разновременных результатов; I - год расчета; Пм - прибыль, оставшаяся в распоряжении
злоумышленника в течении N лет: Пм = . Доход от реализации
контрафактной продукции (09):
О, = г3 Кв - Зэ (7)
где: 2 3 - валютная стоимость от экспорта продукции; Кв - курс валюты на дату расчета; Зэ - затраты на изготовление продукции. Общий ущерб владельца информации РобЩ:
Робщ = Ээ + Пт1 + ЗВ (8)
Ущерб, владельца информации от утраты возможности получения дохода на основе лицензионного соглашения Упр:
Упр = Ср Робщ (9)
где Ср - среднестатистическая ставка рояти, дается в процентах от годовой прибыли. Стоимостная оценка предотвращенного ущерба РсуД:
Реум = Упр + Робщ (10)
В работе разработана модель оптимальной расстановки
межсетевых экранов для информационной защиты распределенных экономических систем, которая отличается от существующих моделей учетом различных способов вычисления оценки издержек от НСД. С учетом соотношения (5) эта существующая модель может быть существенно усовершенствована.
Ожидаемая условная прибыль от ТР за период t выражается разностью (Du-LiO, где DM = Р^м (см. условие (10), a Liit, напомним, -эксплуатационные расходы на МЭ в период t.
Величина (Dit- L,>t) является случайной, так как случайными являются оба ее компонента. Поэтому в определенные периоды времени для некоторых ТР возможны случаи, когда ожидаемые затраты превзойдут условный ожидаемый доход и условная ожидаемая прибыль (Diit - Ljit) окажется нулевой или отрицательной.
Пусть Ct - объем совокупного финансирования в период времени t. Задача состоит в том, чтобы при этих условиях таким образом скомпоновать ТР, чтобы ни в один из периодов времени t вероятность потребности в финансовых ресурсах не превысила имеющийся лимит Ct, а совокупный ожидаемый доход от информационной защиты РЭИС был бы максимален.
Пусть - дисперсия случайной величины (Di ( - Ly) и
Г1,если ТР i выбрно . Д x, = -L ,i = 1.....M.
[О,в противном случае
булева переменная. Считая, что законы распределения вероятностей нормальны и независимы, можно вычислить сумму условной ожидаемой прибыли за вычетом внесенных инвестиций:
xi(Dlt-Llt),t = 1.....N
и суммарную дисперсию для каждого варианта распределения инвестиций по техническим решениям и периодам:
iXo,t=1.....N.
Выберем доверительную вероятность а (как правило, полагается а = 0,95) по известным формулам найдем у(а) (при а = 0,95 у(а) = 1,64). Условия внесения инвестиций выражаются следующей системой неравенств:
х^г^-шЖ^ +С, >0,t=1.....N (11)
Содержательный смысл условий (11) состоит в том, что совокупная
ожидаемая прибыль за период t, выражаемая величиной ^x^-iu),
вместе с имеющейся в наличии суммой денег С( в период t дожна с надежностью а превосходить суммарную колеблемость размера совокупной ожидаемой прибыли, выражаемую величиной
Иными словами, условия (11) означают требование, что при наихудшем стечении обстоятельств, когда отклонение фактической совокупной ожидаемой прибыли будет значительным, причем в сторону недополучения, имеющегося в момент t запаса средств Ct дожно хватить для намеченных ТР. Данное требование дожно выпоняться с вероятностью 95%, что и обеспечивается присутствием величины у(<х) в формуле (11).
При соблюдении условий (11) необходимо максимизировать сумму условной ожидаемой прибыли по всем периодам:
тах5>Х(
=1 .=1
В совокупности условия (11) и целевая функция (12) образуют математическую формулировку рассматриваемой нами задачи. Эта формулировка не является линейной из-за наличия в (11)
выражения JjTxfaf,. Чтобы представить задачу в линейной форме
достаточно заменить дисперсию о,2, средним квадратическим отклонением (СКО) f,it. При этом соотношения (11) принимает вид:
Zx(Di..-Li..)-4J(a)I]xf5i.l+Cl> 0,t=1.....N (13)
Учитывая, что для булевой переменной справедливо тождество х, = xf можно видеть, что условие (13) является линейным относительно х. Обозначив:
ft=I(Di,"4.) (14)
Y| e|KDл -Ц.)-ЧСа)5и|.вспи (Ои-!_м)<ф(а)^
u"[ 0,если (Оц-Ц,)>ф(а)5ц,
получим формулировку рассматриваемой нами задачи в следующем виде:
тах^хД (16)
XxlYi,t<CtIt = 1,...,N (17)
Кроме того, поскольку возможны альтернативные ТР то, следовательно, возможно существование условий типа:
х,<1,к = 1.....О (18)
где О - общее количество ТР, имеющих альтернативные варианты и
С помощью булевых переменных могут быть выражены и другие логические связи между вариантами ТР: требование, чтобы некоторые варианты ТР были выпонены обязательно, либо требование, чтобы некоторые ТР реализовывались лишь в том случае, если вместе с ними будут реализованы некоторое другие ТР:
kV kW .
В целом, таким образом, мы имеет модель линейного булевого программирования на максимум, образованную системой соотношений (14)-(20), где G, U, V и уу - множества значений номеров ТР, принадлежащие множеству {1,... ,М).
Формулы (6) - (10) однозначно определяют способы расчета параметров ТР. Формулировка логических связей определяется техническими особенностями решений, прежде всего их технической совместимостью. Программно данная задача может быть реализована в стандартном пакете. Модель (16) - (20) лежит в основе методики, представленной на рис. 2 блоком III.
Метод 4. Предложена методика расчета ставки штрафных санкций за несанкционированное использование программных продуктов, так как с развитием рынка информационных и коммуникационных технологий актуальной становится проблема несанкционированного распространения программных продуктов. Эта проблема появилась практически одновременно с появлением персональных ЭВМ. Персональные компьютеры чрезвычайно широко распространены, при этом значительная их доля принадлежит частным владельцам. ЭВМ этого класса находятся под поным контролем пользователя, а так же под защитой законов о частной собственности.
Таким образом, организация контроля над индивидуальными владельцами ЭВМ не представляется практически возможной. При этом, системное и прикладное ПО для ПЭВМ продаётся за отдельную плату (за исключением предустановленного), кроме того, существует очень широкая номенклатура и ассортимент ПО для ПЭВМ. Разумеется, существует очень большой спрос на указанное программное обеспечение, и не всегда пользователей вонует легальность приобретаемых копий программных продуктов. Не менее важным является тот факт, что стоимость ПО не только приблизилась, но, в некоторых областях, даже обогнала стоимость аппаратного обеспечения. Таким образом, нередки ситуации, когда пользователь, нуждающийся по роду своей деятельности в ПО определённого типа, принципиально не в состоянии приобрести легальную версию
программного продукта. Всё вышеуказанное, наряду с упоминавшимся ранее ростом рынка, создаёт множество предпосылок для "компьютерного пиратства".
В последнее время всё более очевидной становится необходимость анализа экономической составляющей процесса распространения программного обеспечения. До недавних пор основной акцент в исследованиях, посвященных проблемам защиты ПО, делася на программно-технические методы защиты программ. На второе место ставися юридический аспект защиты авторских прав на ПО. В то же время, экономический аспект анализа отношений между производителем, покупателем ПО и злоумышленником практически не исследовася. Таким образом, рассматривались лишь внешние, технические, проявления соперничества "производитель-злоумышленник" в отрыве от исследования внутренних механизмов этого взаимодействия, важной частью которых являются экономические отношения на рынке ПО.
С другой стороны, экономический анализ поведения злоумышленника (потенциального) уже достаточно давно является стандартным этапом процедуры анализа рисков, проводимой в ходе проектирования и сопровождения систем защиты информации. Более того, уже свыше двадцати лет существует "экономическая криминалистика", использующая методы экономического анализа для исследования различных типов нарушений закона. В рамках данной дисциплины преступник рассматривается как "рационально мыслящий экономический агенТ', принимающий решение о совершении преступления или отказе от него, руководствуясь экономической оценкой затрат на совершение преступления, выгоды от его совершения и риска быть пойманным органами правопорядка. В то время как применимость анализа "экономического поведения" сразу ко всем видам правонарушений может подвергаться сомнениям, экономическая сущность "компьютерного пиратства" говорит в пользу перспективности подобного подхода к изучению причин и выработке мер противодействия нарушениям на рынке ПО.
Рассмотрим экономические критерии поведения покупателя программных продуктов. Чтобы записать условия экономической модели поведения покупателя ПО введём следующие обозначения: I. - индекс, означающий, что программный продукт (ПО) легален; и - индекс, означающий, что ПО не легален; \ Х номер ПО; 1Р - штраф или, что то же самое, сумма убытка при уличении в нелегальном использовании ПО в
денежном выражении; Р^ - вероятность уличения в нелегальном использовании ПО; в - сумма, которую потребитель согласен затратить на приобретаемые ПО; С^- цена лицензионной копии -го ПО; С^, - цена "пиратской" копии -го ПО; I - доход (прямой или косвенный), который потребитель рассчитывает получить от автоматизации предметной
области, то есть от приобретения ПО.
Критерий первичного отбора программных продуктов:
[шЦсЦс^ЧР)}]^ (21)
Согласно критерию (21) потребитель будет приобретать лицензионный, либо не лицензионный ПО в том случае, если стоимость лицензионного продукта или стоимость нелицензионного в сумме с ожидаемым штрафом за его использование будет меньше стоимости лимита затрат Б. Эквивалентно этому поведение потребителя можно представить как стремление максимизировать доход:
В = 1-[т!п{с',(с,и+Р'*1Р))]-тах Х (22)
Из условия (21), также как и из условия (22) вытекает следующее условие приобретения легального ПО:
С[<С'+Р**|Р (23)
На основе соотношений (21) - (23) может быть сформулирована модель поиска оптимального размера штрафа 1Р. Штраф, за нелегальное пользование программным продуктом, с одной стороны, стимулирует покупку легальных продуктов, с другой стороны, снижает общее количество приобретаемых легальных и нелегальных продуктов, что является нежелательным эффектом, так как даже нелегально приобретенный продукт выпоняет роль рекламы данного продукта.
Пусть: V - количество потенциальных покупателей ПО; \Л/|_ -количество легальных ПО; \Л/и - количество нелегальных ПО; V * Б -общая сумма средств, которую все покупатели готовы платить за ПО.
\Л/Ь * + \Л/и * (С[.*!Р) < V * Б
Очевидный смысл этого неравенства состоит в том, что общая цена легальный и нелегальных копий ПО-ов дожна быть меньше общего лимита затрат всех покупателей. Максимум продаж достигается при 1Р, найденном из уравнения:
Щ * С'ь + \Ги * (С^* 1Р) = V * Б,
то есть:
1р_у5-у\гс[+уус;, wu*p
Изложенный способ определения 1Р лежит в основе методики, представленной на рис. 2 блоком IV.
В диссертации предложены методические рекомендации по созданию СЗИ с сервис - ориентированной архитектурой и оптимальной по рискам суммой вложений. Эти рекомендации позволяют эффективно использовать предложенные методы оптимизации структуры СЗИ, в
частности: этапы создания СЗИ; оценка эффективности СЗИ; анализ и аудит процессов управления СЗИ.
В заключении обобщены основные положения проведенного исследования, сформулированы выводы и предложения, обозначены возможные направления дальнейших научных и практических разработок.
Основные публикации по теме диссертации:
Статьи в журналах, рекомендованных ВАК для публикации результатов диссертационных работ: ^
1. Хайретдинов Р.Н. Экономико-математическая модель оптимизации затрат на средства защиты информации: постановка задачи//Журнал Управленческий учет №12, 2010. - 0,5 п.л.
2. Хайретдинов Р.Н. Экономико-математическая модель оптимизации затрат на средства защиты информации: метод решения задачи/Журнал "Экономические и гуманитарные науки" №12(227), 2010 - 0,7 п.л.
3. Хайретдинов Р.Н. Методика оптимизации затрат на средства защиты информации/ Журнал "Экономические и гуманитарные науки" №12(227), 2010 -0,6 пл.
4. Хайретдинов Р.Н. Моделирование стратегией выбора системы защиты информации в корпоративных распределенных сетях// Журнал Информатизация и связь №2 2011 - 0,5 п.л.
5. Хайретдинов Р.Н. Анализ экономических рисков при создании системы защиты информации// Журнал Информатизация и связь №2 2011-0,6 п.л.
Статьи и тезисы в других журналах:
6. Хайретдинова Р.Н. Начало// Бизнес-журнал СЮ, №2,2003.0,1 п.л.
7. Хайретдинова Р.Н. Права и обязанности// Бизнес-журнал СЮ, №3,2003. 0,2 п.л.
8. Хайретдинова Р.Н. Исследования и результаты// Бизнес-журнал СЮ, №4,2004.- 0,35 п.л.
9. Хайретдинова Р.Н. Союз профессионалов// Бизнес-журнал СЮ, №5,2005. - 0,25 п.л.
10. Хайретдинова Р.Н. Давайте расти вместе// Бизнес-журнал СЮ, №6,2007. - 0,2 п.л.
11. Хайретдинов Р.Н. Ограничение доступа к информации как механизм противодействия недружественным поглощениям// Бизнес-журнал СЮ, №3,2006.- 0,3 п.л.
12.Хайретдинов Р.Н. Какими стандартами руководствуется банк при разработке системы безопасности// Бизнес-журнал лCIO, №10,2008.0,6 п.л.
Диссертация: содержание автор диссертационного исследования: кандидат экономических наук , Хайретдинов, Рустэм Нилович
Введение
Глава 1 Анализ методов оценки эффективности защиты информации и затрат на неё
1.1 Количественные оценки уровня защищенности информационных систем и требование системности к их защите
1.2 Методическое принципы оптимизации затрат на создание системы защиты информации
1.3 Оценка затрат предприятия на создание СЗИ и методика ТСО
1.4 Международные стандарты в области защиты информации и специфика их применения в России
Выводы к первой главе
Глава 2 Экономико-математические модели минимизации затрат при защите информации
2.1 Эволюционно-симулятивная модель оптимизации затрат на средства защиты информации.
2.2 Комбинаторная модель оптимизации затрат при защите информации в распределенных экономических сетях.
2.3 Методика расчета ставки штрафных санкций за несанкционированное использование программных продуктов.
Выводы ко второй главе
Глава 3 Этапы создания СЗИ и анализ систем управления ею.
3.1 Основные этапы создания СЗИ для сервис-ориентированной архитектуры
3.2 Оценка эффективности СЗИ.
3.3 Анализ и аудит процессов управления СЗИ
Выводы к третьей главе
Диссертация: введение по экономике, на тему "Комплексная методика оптимизации затрат на создание корпоративной системы защиты информации"
Актуальность темы исследования. Важность для каждого хозяйствующего субъекта защита корпоративной информации сама по себе не вызывает сомнений. В этой области проводятся многочисленные исследования. Так, например, компания Forrester Consulting совместно с корпорацией Microsoft и компанией RSA провели опрос о защите корпоративной информации, в котором приняло участие 305 директоров и менеджеров ИТ-отрасли1. Выяснилось, что 39% бюджетов ИТ-компаний тратится на обеспечение защиты данных, в частности, на покупку специализированных программных средств. При этом секретная информация составляет в среднем 62% от общей стоимости всей корпоративной информации. Это указывает на диспропорцию между затратами на создание системы информационной безопасности и стоимостью конфиденциальной информации компании, которая связана с её производственно-хозяйственной и коммерческой деятельностью.
В сфере защиты информации было сформировано несколько проблем, многие из которых являются мало исследованными. Так, в ходе упомянутого опроса выяснилось, что расходы на обеспечение защиты информации мало связаны с ценностью информации.
Мало внимания уделяется так же и анализу способов нанесения ущерба. В то время как организации уделяют основное внимание защите от случайной утери информации, а на самом деле гораздо дороже обходится им кража данных их же сотрудниками или доверенными внешними лицами. Соответствующие опросы показывают, что кража сотрудниками конфиденциальной информации обходится в 10 раз дороже, чем ее случайная утеря в результате инцидентов.
1 См http7/www.securitylab.ru/news/392796.php
Новые проблемы по защите информации возникают в связи с массовым созданием и распространением экономических информационных систем (ЭИС). Исследования показывают, что если организация допускает утечку более 20% важной внутренней информации, то она в 60 случаях из 100 банкротится2. Утверждают также3, что 93% компаний, лишившихся доступа к собственной информации на срок более 10 дней, покинули бизнес, причем половина из них заявила о своей несостоятельности немедленно.
Из сказанного очевидно, что, с одной стороны, существенные затраты на защиту информации являются необходимыми для подавляющего большинства хозяйствующих субъектов и что, с другой стороны, столь же необходимым является оптимизация затрат на средства защиты. Очевидно, что не эффективная защита или дорогостоящая защита мало ценной информации является ущербом и задача состоит в том, чтобы изыскивать такие способы защиты информации, которые бы позволяли при заданном уровне затрат обеспечивали бы максимально эффективную защиту, или наоборот, при заданном уровне защиты минимизировать затраты.
Несмотря на большое количество публикаций по рассматриваемой проблеме, до настоящего времени отсутствует комплексная проработка взаимосвязанных методов оптимизации затрат на создание СЗИ. К этим методам относятся во-первых, методы установления суммарной стоимости СЗИ и распределения финансовых средств между средствами защиты информации. При этом обеспечивается выбор структуры СЗИ и ее основных составляющих. Для случая, когда защищаемая корпоративная ИС является распределенной и, кроме того, затраты на создание и
2 Сабынин В , Специалисты, давайте говорить на одном языке и понимать друг друга. Информост -Средства связи, № 6.
3 ЕздаковА., Макарова О., Как защитить информацию. Сети, 1997, № 8. эксплуатацию СЗИ лимитированы по временным промежуткам, следует применять методику оптимизации поэтапных вложений. Если, кроме того, одной из форм нарушений является использование не лицензионного ПП, то возникает необходимость в методе оптимизации ставки штрафа за использование не лицензионного ПП.
Степень научной разработанности проблемы. В качестве отправной точки для исследования по защите информации и информационной безопасности являлись работы отечественных ученых: Мельникова В.В., Безкоровайного М.М., Львова В.М., В.А. Садовничего, В.П. Шерстюка, В.А. Герасименко, В.Н. Лопатина, Л.М. Ухлинова, Э.В. Попова, A.A. Стрельцова, Е.Н.Тищенко, В.А. Конявского и других ученых. Усилиями этих исследований была сформирована современная научная база для дальнейшего обобщения результатов и развития моделей и методов учета экономических аспектов информационной безопасности.
Крупный вклад в развитие теории и прикладных методов анализа сложных социально-экономических систем внесли многие отечественные ученые, такие как академики: А.Г. Аганбегян, В.М. Глушков, СВ. Емельянов, Л.В. Канторович, H.H. Моисеев, Г.С. Поспелов, В.А. Трапезников, Н.П. Федоренко, а также профессора К.А. Багриновский, В.Л. Бурков, О.В. Вокович, В.В. Кульба и другие.
Уже в первых работах по защите информации были изложены некоторые важнейшие постулаты, которые не утратили своей актуальности и по сей день.
Поскольку заказчик СЗИ обычно недостаточно осведомлен о возможностях и специфике средств защиты, а также о возможном вкладе того или иного средства в общий уровень безопасности, то возникает увеличение затрат при практической неопределенности достигнутого эффекта. Поэтому заказчик СЗИ часто получает не совсем то, что ему реально нужно. Он не может объективно проверить и оценить качество и эффективность предложенного решения.
Средства защиты информации в соответствии с действующими нормами и правилами подлежат обязательной или добровольной сертификации. Однако сертификация не является совершенным инструментом и не дает необходимых гарантий. Имеются так же некоторые исследования по оптимизации СЗИ на стадии проектирования. Эти исследования носят, однако, достаточно специализированный характер и рассматривают относительно узкий круг задач.
Актуальность темы данного исследования обусловлена назревшей практической необходимостью дальнейшего совершенствования методов моделирования и> проектирования систем защиты экономической информации.
Целью диссертационного исследования является разработка комплексной методики оптимизации затрат на создание корпоративной системы защиты конфиденциальной информации в экономических информационных системах, которая связана с производственно-хозяйственной и коммерческой деятельности различных компаний, а также выработка методических рекомендаций по практическому применению методики.
Для реализации указанной цели в рабрте поставлены и решены следующие задачи:
Х проведен анализ специфики существующих подходов и методов проектирования СЗИ;
Х выявление характеристик качества СЗИ;
Х формулировка методических принципов оптимизации затрат на. СЗИ;
Х исследование способов оценки затрат;
Х разработка технологии применения эволюционно-симулятивной методологии (ЭСМ) для моделирования затрат на СЗИ;
Х разработка технологии распределения затрат на компоненты СЗИ.
Объектом исследования являются корпоративные экономические информационные системы и технологии.
Предметом исследования являются методики и методы оптимизации затрат на создание корпоративной системы защиты информации.
Теоретическая и методическая база исследования.
Исследование проводилось в поном соответствии с ключевыми положениями системного анализа, экономической теории и теории управления в области связи и информатизации. Его методологическую основу составили труды отечественных и зарубежных ученых в области математического моделирования, математической статистики, теории вероятностей, теории и методологии обеспечения информационной безопасности и защиты информации. При решении конкретных задач использовались известные методы комбинаторного и дискретного программирования, методы количественной оценки коммерческих рисков, элементы теории вероятностей, математической статистики, и другие хорошо апробированные методы, методики и агоритмы решения прикладных экономических задач.
В качестве источников были взяты материалы научной периодики, конференций и семинаров. Кроме того, диссертационная работа базируется на основных положениях законодательных актов Российской Федерации и нормативно-правовых документах Правительства РФ, в частности Гостехкомиссии России, в дальнейшем Федеральной службы по техническому и экспортному контролю (ФСТЭК России). Особое внимание было уделено руководящим материалам ГОСТ Р 51275-99, международным и национальным стандартам управления информационной безопасностью, в частности, ISO 15408, ISO 17799 (BS7799), BSI; стандартам аудита информационных систем и информационной безопасности COBIT, SAC, COSO, SAS 78/94 и некоторым других документов.
Диссертационная работа выпонена на стыке двух специальностей и по своему содержанию соответствует пунктам 15.93 и 15.100 Паспорта специальности 08.00.05 - Экономика и управление народным хозяйством (связь и информатизация) и пункту 2.3 Паспорта специальности 08.00.13 - Математические и инструментальные методы экономики.
Новизна научного исследования заключается в разработке комплексной методики оптимизации затрат на создание корпоративной системы защиты информации, которая базируется на равновесии риска нецелесообразных затрат на систему и риска потерь от несанкционированного вмешательства в функционирование информационных технологий.
Наиболее существенные научные результаты, полученные в диссертации: по специальности 08.00.05
1. Сформулированы требования к комплексной методике создания корпоративной системы защиты информации экономических информационных систем компании, учитывающие специфику конфиденциальных данных особенности электронного бизнеса, такие как юридически значимое оформление договоров в электронном виде; взаимодействия с клиентами; система расчетов за товары и услуги; кредитование.
2. Выявлена совокупность объективных внешних и внутренних факторов, влияющих на проектирование системы защиты экономической информации копании и характерных для электронного бизнеса. К числу таких факторов относятся:
- вероятность возникновения и вероятность реализации ситуации потери информации или несанкционированного обращения к ней при проведении процедуры сдеки в электронном виде;
- уязвимость информационной системы компании или системы контрмер влияющих на вероятность осуществления угрозы;
- возможный ущерб организации в результате реализации угрозы информационной безопасности при заключении сделок: утечки информации или неправомерного ее использования.
3. Разработана комплексная методика создания СЗИ, которая включает:
- методику установления суммарной стоимости СЗИ и методику распределения финансовых средств, обеспечивающая выбор структуры СЗИ и ее основных составляющих;
- методику оптимизации поэтапных вложений, для случая, если защищаемая ИС является распределенной и, кроме того, затраты на создание и эксплуатацию СЗИ лимитированы по временным промежуткам; .
- методику оптимизации ставки штрафа за использование не лицензионного программного обеспечения при защите экономической информации.
4. Определен механизм, обеспечивающий выделение сегментов в общей топологии распределенной ЭИС и в фильтрацию пакетов с помощью межсетевых экранов, который позволяет минимизировать стоимости её системы защиты информации. Новизна механизма заключается в то, что появилась возможность скомпоновать расположение экранов (технических средств защиты), чтобы ни в один из периодов рассматриваемого планового периода времени сумма затрат на средства защиты не превзошла бы лимита выделенных финансовых средств, учитывая, при этом, случайный характер угроз.
5. Разработаны методические приемы сбора и обработки исходной информации для решения задачи оптимальной защиты распределенной локальной информационной системы, разработаны диалоговые процедуры для работы с моделью, позволяющие проводить моделирование различных наборов технических решений с целью выбора оптимальных вариантов защиты информации.
6. Определены условия и выведена аналитическая формула расчета штрафа за использование не лицензированного продукта* Необходимость решения этой задачи связана с тем, чтобы необходимо установить такой штраф, когда будет пользователям не выгодно использовать контрафактные программные продукты. по специальности 08.00.13
7. Разработана равновесная экономико-математическая модель оптимизации затрат на средства защиты информации, новизна которой заключается в том, что риск экономических издержек при создании СЗИ разбивается на две основных составляющих: риск нецелесообразных затрат на СЗИ и риск потерь от несанкционированного вмешательства в функционирование ИС. Такое представление риска экономических издержек позволяет найти оптимальный по условию минимизации совокупного риска объем затрат на средства защиты и оптимально распределить эти затраты между средствами защиты. В рамках этой модели разработаны 3 имитационные модели, а именно: модель размера ожидаемых затрат на средства защиты информации; модель риска завышения, то есть риска неэффективных затрат на средства защиты; модель риска занижения, то есть риска угроз ИС.
Предложен агоритм распределения оптимального размера затрат на СЗИ на различные средства защиты в рамках создаваемой СЗИ.
8. Разработана экономико-математическая модель булевого программирования защиты РЭИС, отличительной особенность которой является учет наличия издержек от НСД. Использование процедуры расчета издержек позволяет существенно повысить качество обоснования технических решений.
Теоретическая и практическая значимость исследования. В совокупности, выносимые на защиту результаты можно интерпретировать как дальнейшее развития методологии и методов управления в области связи и информатизации. Разработанные в диссертации научно-методические подходы могут быть применимы в практической работе различных финансовых и нефинансовых компаниях. Выводы и материалы работы представляют собой пример получения количественных оценок:
- суммарной стоимости СЗИ и распределения финансовых средств, и выбор структуры её основных составляющих;
- поэтапных вложений в СЗИ распределенной корпоративной ЭИС, а также затраты на создание и эксплуатацию СЗИ лимитированы по временным промежуткам;
- ставки штрафа за использование не лицензионного программного обеспечения при защите экономической информации.
Полученные результаты диссертационного исследования несомненно раздвигают границы применения комплексной методики оптимизации затрат на создание корпоративной системы защиты конфиденциальной информации в экономических информационных системах.
Самостоятельное практическое значение имеют:
- комплексная методика оптимизация затрат на создание корпоративной системы защиты конфиденциальной информации, а также рекомендации аналитику-медиатору по её практическому применению при проектировании или реорганизации СЗИ;
- экономико-математические модели, методики и программные средства.
Публикации. Основные положения диссертационного исследования нашли отражение в 12 публикациях общим авторским объемом 4,9 п.л., причем 5 из них общим объемом 2,9 п.л., размещены в журналах, рекомендованным ВАК.
Структура и содержание работы обусловлены логикой, целью исследования. Диссертация содержит 3 главы, 12 рисунков, 3 таблицы, 120 страниц текста, ссыки на 105 литературных источника.
Диссертация: заключение по теме "Экономика и управление народным хозяйством: теория управления экономическими системами; макроэкономика; экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда", Хайретдинов, Рустэм Нилович
1. Количественные оценки защищенности могут выражаться в процентах разных видов нарушений функционирования ИС. К требованиям системности относятся: целевое назначение СЗИ, сравнительная эффективность, эффективность с точки зрения достижения поставленной цели, комплексность.
2. Сформулированы задачи оценки качества защиты информации и способы их отражения в нормативных документах стандартизации качества. Стоящие в этой области проблемы - это, в частности, проблема оценки качества заказчиками и проектировщиками СЗИ. Показано, что сертификация не гарантирует достижения качества информационной защиты и что необходима совершенствование нормативной базы в этой области.
3. Сформулированы методические принципы оптимизации затрат, которые в частности утверждают, что затраты дожны минимизировать совокупный риск, который складывается из 2-х, взаимозависимых составляющих: риска излишних затрат на СЗИ (R1), и риска потерь от нарушения функционирования ИС (R2). Таким образом проблема оптимизации затрат на СЗИ это проблема поиска такого размера затрат, при которой R1 + R2 минимально, при условии, что R2 = f(R1).
4. Исследованы способы оценки затрат на создание СЗИ, в частности методика ТСО. Эта методика указывает основные статьи, по которым дожны калькулироваться затрат.
5. Рассмотрены международные и национальные стандарты управления информационной безопасностью, в частности, ISO 15408, ISO 17799 (BS7799), BSI; стандарты аудита информационных систем и информационной безопасности COBIT, SAC, COSO, SAS 78/94 и некоторые другие, и особенности их применения в России.
6. Предложена Эволюционно-симулятивная экономико-математическая модель (ЭСМ) оптимизации затрат на средства защиты информации, которая учитывает структуру данных об угрозах и соответствующие меры их предупреждения. Модель позволяет найти оптимальный по условию минимизации совокупного риска объем затрат на средства защиты и оптимально распределить эти затраты между средствами защиты.
7. В рамках упомянутой ЭСМ разработаны 3 имитационные модели, а именно: модель размера ожидаемых затрат на средства защиты информации; модель риска завышения, то есть риска неэффективных затрат на средства защиты; модель риска занижения, то есть риска угроз ИС.
8. Предложен агоритм распределения оптимального размера затрат на СЗИ на различные средства защиты в рамках создаваемой СЗИ.
9. Предложена комбинаторная экономико-математическая модель минимизации затрат на средства защиты информации в распределенных сетях. Модель основана на построении графа отношений лобъект-угроза, сегментации этого графа, выбора на этой основе вариантов расположения экранов защиты. Модель обеспечивает возможность таким образом скомпоновать расположение экранов (технических средств защиты), чтобы ни в один из периодов рассматриваемого планового периода времени сумма затрат на средства защиты не превзошла бы лимита выделенных финансовых средств, учитывая, при этом, случайный характер угроз.
10. Разработан способ учета случайных характеристик угроз в рамках задачи булевого программирования.
11. Предложена модель и агоритм поиска оптимального размера штрафа за несанкционированный доступ к информации или несанкционированное ее использование. Агоритм учитывает количество легальных и нелегальных программных средств (ПС), предполагает построение зависимости доли нелегальных ПС от размера штрафных санкций и максимизирует доход от реализации легальных ПС.
12. Разработаны способы программной реализации предложенных экономико-математических моделей в среде стандартного программного обеспечения.
13. Рассмотрены организационно-методические аспекты применения предложенных методов оптимизации структуры СЗИ, в частности: этапы создания СЗИ; оценка эффективности СЗИ; анализ и аудит процессов управления СЗИ.
Диссертация: библиография по экономике, кандидат экономических наук , Хайретдинов, Рустэм Нилович, Москва
1. Баутов А.: Ссыка на домен более не работаетtext/print/302/183282.html
2. Баутов А.: Ссыка на домен более не работаетos/2002/02/181118/
3. Столяров Н.В.: nstolvarov@vandex.ru
4. Киков И.О. Модель проектирования распределенных экономических информационных систем, оптимальных по способам защиты.
5. Хайретдинов Р.Н. Ограничение доступа к информации как механизм противодействия недружественным поглощениям// Бизнес-журнал СЮ, №3,2006.
6. Хайретдинов Р.Н. Какими стандартами руководствуется банк при разработке системы безопасности// Бизнес-журнал СЮ, №10,2008.
7. Тараторин Д.И. Анализ угроз информационной безопасности на предприятиях распределенного типа // Проектирование информационных систем. СПб.: СПбГИЭУ, 2006.
8. Лихтенштейн В.Е., Росс Г.В. Информационные технологии в бизнесе. Применение инструментальной системы Decision в микро- и макроэкономике. М.: Финансы и статистика, 2008.
9. Лихтенштейн В.Е., Росс Г.В. Информационные технологии в бизнесе. Применение инструментальной системы Decision в решении прикладных экономических задач. М.: Финансы и статистика, 2009.
10. Сяо Д., Керр Д., Мэдник С. Защита ЭВМ: Пер с англ. М, Мир, 1982.
11. Защита программного обеспечения / Под ред. Д. Гроувера: Пер с англ. М., Мир, 1992.
12. Devanbu Р.Т., Stubblebine S. Software Engineering for Security: a Roadmap // ICSE 2000.
13. Беккер Г. Преступление и наказание: экономический подход // Экономическая теория преступлений и наказаний. 1999. №1.
14. Рубин П. Экономическая теория преступности // Экономическая теория преступлений и наказаний. -1999. №1.
15. Эрлих А. Экономическая теория преступлений и наказаний // Экономическая теория преступлений и наказаний. 1999. №1.
16. Беккер Г. Экономическая теория преступности // Экономическая теория преступлений и наказаний. -1999. №1.
17. Камерон С. Экономическая теория сдерживания преступности: сравнение теории и доказательств // Экономическая теория преступлений и наказаний. -1999. №1.
18. Щербаков А. Защита от копирования. М., ЭДЕЛЬ, 1992.
19. Середа С.А. Оценка эффективности систем защиты программного обеспечения // КомпьЛог. 2000. №2.
20. Середа С.А Анализ средств преодоления систем защиты программного обеспечения // ИНФОРМОСТ: Радиоэлектроника и Телекоммуникации. -2002. №4(22).
21. Середа С.А. Юридическая база Информационных Технологий в Республике Модова // Сетевой узел движения "Потребитель" (Ссыка на домен более не работаетp>
22. Середа С.А. Правовая защита авторства на программные продукты: Acta Academia / Международная академия информатизации Кишинёв: Evrica, 2001. ISBN 9975-941-60-55
23. Серго А. Ответственность нарушителей авторских прав в области программного обеспечения // Кодекс-info. 2001. № 7.
24. Bjones R., Hoeben S. Vulnerabilities in pure software security systems // Utimaco Software AG, 2000.
25. Баутов А. Стандарты и оценка эффективности защиты информации. Доклад на Третьей Всероссийской практической конференции "Стандарты в проектах современных информационных систем". Москва, 23-24 апреля 2003 г.
26. Баутов А., Экономический взгляд на проблемы информационной безопасности. Открытые системы, 2002, № 2.
27. Вихорев С., Ефимов А., Практические рекомендации по информационной безопасности. Jet Info, № 10-11, 1996.
28. Вихорев С., Кобцев Р., Как определить источники угроз. Открытые системы, 2002, № 7-8.
29. Галатенко В., Информационная безопасность основы. Системы управления базами данных, 1996, № 1.
30. Горбунов А., Чуменко В., Выбор рациональной структуры средств защиты информации в АСУ. Ссыка на домен более не работаетbox/2/26. shtml
31. ГОСТ P 50922-96. Защита информации. Основные термины и определения.
32. Гуд Г., Макол Р. Системотехника (Введение в проектирование больших систем). М., Сов. радио, 1962.
33. Де Гроот М. Оптимальные статистические решения. М.: Мир, 1974.
34. Зиндер Е., Революционные изменения базовых стандартов в области системного проектирования. Директор информационной службы, 2001, № 5.
35. Ездаков А., Макарова О., Как защитить информацию. Сети, 1997, № 8.
36. ИСО/МЭК 15408-99 "Критерии оценки безопасности информационных технологий".
37. Козлов В. Критерии информационной безопасности и поддерживающие их стандарты: состояние и тенденции. "Стандарты в проектах современных информационных систем". Сборник трудов 11-й Всероссийской практической конференции. Москва, 27-28 марта 2002 года.
38. Липаев В., Филинов Е., Формирование и применение профилей открытых информационных систем. Открытые системы, 1997, № 5.
39. Петухов Г., Основы теории эффективности целенаправленных процессов. Часть 1. Методология, методы, модели. МО СССР, 1989.
40. Пугачев В. Теория вероятностей и математическая статистика. М.: Наука, 1979.
41. Сабынин В., Специалисты, давайте говорить на одном языке и понимать друг друга. Информост Средства связи, № 6.
42. Сэйер П., Lloyd страхует от хакеров. Computerworld Россия, 2000, № 30.
43. Хмелев Л. Оценка эффективности мер безопасности, закладываемых при проектировании электронно-информационных систем. Труды научно-технической конференции "Безопасность информационных технологий", Пенза, июнь 2001.
44. Положение о сертификации средств и систем вычислительной техники и связи по требованиям безопасности информации. М., 1994.
45. Безкоровайный М.М., Костогрызов А.И., Львов В.М. Инструментально-моделирующий комплекс для оценки качества функционирования информационных систем КОК. М.: Вооружение. Политика. Конверсия, 2001.
46. Костогрызов А.И., Петухов А.В., Щербина А.М. Основы оценки, обеспечения и повышения качества выходной информации в АСУ организационного типа. М.: Изд. Вооружение. Политика. Конверсия, 1994. 278 с.
47. Костогрызов А.И., Липаев В.В. Сертификация функционирования автоматизированных информационных систем. М.: Изд. Вооружение. Политика. Конверсия, 1996.280 с.
48. Костогрызов А.И. Математические модели функционирования информационных систем. Информатика Ч машиностроение. 1998. № 3. С. 16-23.
49. Костогрызов А.И. Математические модели процессов функционирования информационных систем. Информационные технологии в проектировании и производстве. 1998. №4. С. 72-80.
50. Kostogryzov A.I. Models for Information Systems Operation Quality Investigation. Proceedings. First International Workshop MALOPD. Moscow. 1999. P. 20-31.
51. Kostogryzov A.I. Mathematical Models for Complex Evaluation of Information Systems Operation Quality (CEISOQ). Proceeding of the 10-th International Conference on Computing and Information, Kuweit, November 18-22 2000. Published by LNCS (2000).
52. Климов Г.П. Теория вероятностей и математическая статистика. М.:МГУ, 1983. 328 с.
53. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М.: Военное издательство. -1992.
54. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. М.: Военное издательство. -1997.
55. Дон Тапскотт Электронно-цифровое общество К. :лTNT-press. Изд-во - М.: Рефл-бук, 1999 - 432 с.
56. Приходько А .Я. Информационная безопасность в событиях и фактах. -М.гСИНТЕГ, 2001,260 с.
57. Костогрызов А.И. Исследование условий эффективного применения пакетной обработки заявок в приоритетных вычислительных системах с ограничением на время ожидания в очереди. Автоматика и телемеханика. 1987. № 12. С.158-164.
58. W. Feller An Introduction to Probability Theory and Its Applications. Vol. II, Willy, 1971.
59. Гнеденко Б.В., Даниэлян Э.А., Димитров Б.Н. и др. Приоритетные системы обслуживания. М.: МГУ, 1973,448 с.
60. Гнеденко Б.В., Коваленко И.H. Введение в теорию массового обслуживания. М.: Наука. 1987.
61. J. Martin System Analysis for Data Transmission. V. II, IBM System Research Institute. Prentice Hall, Inc., Englewood Cliffs, New Jersey, 1972.
62. L. Kleinrock Queuing systems, V. 2: Computer applications, 1979.
63. Григолионис В. О сходимости сумм ступенчатых процессов к иуассоновскому// Теория вероятности и ее применения. Т.8, 1963, №2.
64. Костогрызов А.И. Исследование эффективности комбинации различных шециплин приоритетного обслуживания заявок в вычислительных системах.70. Кибернетика и системный анализ. 1992. № 1. С. 128-137.
65. Климов Г.П. Стохастические системы обслуживания. М.: Наука, 1986, 243 с.
66. Матвеев В.Ф., Ушаков В.Г. Системы массового обслуживания. М.: МГУ,1984.
67. Зима В.М., Модовян A.A., Модовян H.A. Безопасность глобальных сетевых технологий. СПб.: БХВ-Петербург, 2000, 320с.
68. Яшков С.Ф. Анализ очередей в ЭВМ. М.: Радио и связь. 1989. 216 с.
69. Столяров Николай Владимирович nstolvarov@yandex.ru
70. Петренко С. Методические основы защиты информационных активов компании
71. Бетанкурт Дж. Безопасность SOA 1-2-3, часть 1, IBM, 2008.
72. Домарев В. В. domarev@protinfo.kiev.ua.
73. Шаповалов В. Как управлять рисками. М.: Финансовый Директор, №9, 2003.
74. Васильев В.И., Пестриков В.А., Красько A.C. Интелектуальная поддержка принятия решений в экстремальныхситуациях на основе вывода по прецедентам. В сб. Информационная безопасность, Таганрог, Известия ЮФУ, №8, 2008, с. 7 14.
75. Дьяконов В.П. Вейвлеты. От теории к практике. М.: Солон-Р, 2002.
76. Путивцев М.Е. Анализ систем управления информационной безопасности с использованием процессного подхода. \\ Известия ЮФУ. Технические науки, № 8, 2008,. ИС. 41-47.
77. Петренко С.А., Симонов C.B. Экономически оправданная безопасность. Управление информационными рисками. М: Изд-во ДМК, 2003.
78. Путивцев М.Е. Методы комплексной оценки информационной безопасности. Таганрог: Технологический институт ЮФУ, 2007.
79. Беккер Й., Воков Л. Менеджмент процессов. -М Эксмо 2007 58 С.
80. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология Практические правила управления информационной безопасностью. Ч М,: Стандартинформ, 2006.
81. Симонов СВ. Аудит безопасности информационных систем M : Jet Info, 1999, № 9.
82. Путивцев M. Е., БаранникА. А. Модель проведения сертификации по стандарту ISOMEC 17799 с использованием процессного подхода. Таганрог: Технологический институт ЮФУ, 2007.
83. Что такое RACI model?: http:7www.12manage.com/methods raciru.htm!
84. Информационная безопасность.\\Известия ЮФУ. Технические науки, № 8, 2008.
85. Смирнов С.И. Метод проектирования систем обработки данных с заданными характеристиками доступности. В сб. Информационная безопасность.\\Известия ЮФУ. Технические науки, № 8, 2008.
86. Хайретдинова Р.Н. Начало// Бизнес-журнал СЮ, №2,2003.
87. Хайретдинова Р.Н. Права и обязанности// Бизнес-журнал СЮ, №3,2003.
88. Хайретдинова Р.Н. Исследования и результаты// Бизнес-журнал СЮ, №4,2004.
89. Хайретдинова Р.Н. Союз профессионалов// Бизнес-журнал СЮ, №5,2005.
90. Хайретдинова Р.Н. Давайте расти вместе// Бизнес-журнал СЮ, №6,2007.
91. Хайретдинов Р.Н. Ограничение доступа к информации как механизм противодействия недружественным поглощениям// Бизнес-журнал СЮ, №3,2006.
92. Хайретдинов Р.Н. Какими стандартами руководствуется банк при разработке системы безопасности// Бизнес-журнал СЮ, №10,2008.
93. Хайретдинов Р.Н. Экономико-математическая модель оптимизации затрат на средства защиты информации: постановка задачи//Журнал Управленческий учет №12, 2010. -0,5 п.л. (ВАК)
94. Хайретдинов Р.Н. Экономико-математическая модель оптимизации затрат на средства защиты информации: методрешения задачи/ Журнал "Экономические и гуманитарные науки" №12(227), 2010 0,7 п.л. (ВАК)
95. Хайретдинов Р.Н. Методика оптимизации затрат на средства защиты информации/ Журнал "Экономические и гуманитарные науки" №12(227), 2010 0,6 п.л. (ВАК)
96. Хайретдинов Р.Н. Моделирование стратегией выбора системы защиты информации в корпоративных распределенных сетях// Информатизация и связь, 2011. 0,5 п.л. (ВАК)
97. Хайретдинов Р.Н. Анализ экономических рисков при создании системы защиты информации// Информатизация и связь, 2011. 0,6 п.л. (ВАК)
Похожие диссертации
- Формирование корпоративной системы управления персоналом организации
- Механизм управления затратами на качество в системе менеджмента качества промышленного предприятия
- Социальный маркетинг в системе местного самоуправления
- Программный подход к социально-экономическому развитию закрытых административно-территориальных образований
- Формирование эффективной системы местного самоуправления