Методология оценки эффективности обеспечения безопасности в экономических информационных системах тема диссертации по экономике, полный текст автореферата
Автореферат
| Ученая степень | кандидат экономических наук |
| Автор | Приступа, Артем Сергеевич |
| Место защиты | Москва |
| Год | 2005 |
| Шифр ВАК РФ | 08.00.13 |
Диссертация
Автореферат диссертации по теме "Методология оценки эффективности обеспечения безопасности в экономических информационных системах"
На правах рукописи
Приступа Артем Сергеевич
Методология оценки эффективности обеспечения безопасности в экономических информационных системах
Специальность 08.00.13 - Математические и инструментальные методы экономики
Автореферат диссертации на соискание ученой степени кандидата экономических наук
Москва-2005
Работа выпонена на кафедре Информационная безопасность в ГОУ Московском государственном индустриальном университете.
Научный руководитель:
кандидат технических наук, профессор Семененко Вячеслав Алексеевич
Официальные оппоненты:
доктор технических наук, профессор Казаков Олег Леонидович
кандидат экономических наук, доцент Зайцев Евгений Михайлович
Ведущая организация:
Научно-технический институт межотраслевой информации (НТИМИ)
Защита с о с т лI
0 5 года в
в часов на заседании
диссертационного совета К 212.129.02 при ГОУ Московском государственном индустриальном университете по адресу: 115280, г. Москва, ул. Автозаводская д. 16., ауд. 2317.
С диссертацией можно ознакомиться в библиотеке ГОУ Московского государственного индустриального университета.
Автореферат разослан
Ученый секретарь
диссертационного совета,
К.Э.Н., доцент
Сальникова Т.С.
Общая характеристика работы
Актуальность исследования. Современный уровень информатизации общества предопределяет использование новейших технических, технологических, программных средств в различных информационных системах экономических объектов. И как следствие, предполагает использование данных средств для реализации компьютерных преступлений, направленных на экономические информационные системы. В качестве объекта компьютерных преступлений выступает экономическая информационная система и, соответственно, циркулирующая в ней производственная, научная, коммерческая информация компании.
Экономическая информационная система (ЭИС) представляет собой совокупности информационных потоков прямой и обратной информационной связи экономического объекта, методов, средств обработки, передачи и хранения данных, а также специалистов, участвующих в процессе обработки информации и выработке управленческих решений. Другими словами, экономическая информационная система - это информационная система, обеспечивающая управление экономическим объектом.
Актуальность темы исследования обусловлена множеством известных фактов нарушения информационной безопасности, которые повлекли за собой огромные материальные потери. Ко всему прочему, развитие мировой компьютерной сети интернет обуславливает появление новых каналов и, соответственно, новых возможностей несанкционированного доступа к информационным ресурсам.
Таким образом, ЭИС является объектом пристального внимания со стороны различного рода нарушителей, и обеспечение безопасности информационных систем является актуальной задачей.
Недостаточное научное и методическое обоснование, а также слабая практическая проработка положений по формированию систем информационной безопасности (СИБ) и моделей оценки экономической эффективности СИБ
обусловили выбор темы диссертационного исследования, определили цель, структуру и содержание настоящей работы.
Целью исследования является оптимизация процессов проектирования и эксплуатации системы информационной безопасности экономической информационной системы с точки зрения экономической эффективности и затрат на обеспечение информационной безопасности, посредством использования методов экономики и математического аппарата.
В соответствии с поставленной целью, в работе сформулированы и решены следующие основные задачи:
-анализ современного состояния и существующих подходов к построению систем информационной безопасности ЭИС, их особенностей и перспектив развития, существующих целей и задач СИБ, с целью построения общей концепции комплексной СИБ ЭИС с учетом экономических критериев эффективности;
- исследование существующих возможных угроз информационной безопасности ЭИС для оценки потенциально возможных экономических потерь в случае их реализации и разработка методики комплексной оценки угроз безопасности ЭИС;
-исследование существующих показателей эффективности СИБ, разработка модели формирования показателей эффективности СИБ и обоснование системы общих и специальных экономических показателей для определения экономической эффективности разработки, внедрения и эксплуатации СИБ;
-анализ и оптимизация размещения элементов СИБ ЭИС по критерию "эффективность-стоимость" и по критерию ценности информации, содержащейся в ЭИС;
- исследование и разработка технологии комплексной оценки экономической эффективности системы информационной безопасности ЭИС.
Предметом исследований являются экономические, организационно-административные, технологические и правовые процессы функционирования системы информационной безопасности ЭИС.
Объектом исследования является экономическая информационная система.
Методология исследования. В процессе исследования проанализированы и использованы достижения отечественных и зарубежных специалистов по вопросам теории и практики проектирования и эксплуатации ЭИС, компьютерной обработки экономической информации, организации информационно-вычислительного обслуживания, обеспечения безопасности информационных процессов. Теоретическую и методологическую основу исследования составляет системный подход к обеспечению информационной безопасности, методы системного анализа, экономико-математического моделирования и экспертных оценок, элементы теории сложных систем, теории графов и матричной агебры.
Научная новизна проведенного исследования заключается в разработке и обосновании теоретических положений и практических рекомендаций по построению системы информационной безопасности ЭИС с экономической точки зрения.
Наиболее существенными являются следующие научные результаты, характеризующие новизну диссертации и личный вклад автора:
- разработан подход к оценке инвестиционной привлекательности СИБ и аппарат оценки предпочтительности вариантов СИБ с точки зрения их экономической целесообразности;
- предложена методика оценки экономической эффективности СИБ ЭИС;
-разработана методика оценки вероятности угроз экономической информационной системе;
-предложено формализованное представление процессов взаимодействия нарушителя и СИБ и классификация программных злоупотреблений с учетом особенностей применения в ЭИС;
-предложена концептуальная модель построения системы информационной безопасности ЭИС;
- выработаны принципы оптимального размещения и анализа элементов СИБ в ЭИС по критерию "эффективность-стоимость", критерию ценности информации, содержащейся в ЭИС и др.;
-предложена общая стратегия взаимодействия потенциального нарушителя и СИБ с точки зрения критериев эффективности угрозы и критериев эффективности СИБ.
Практическая значимость диссертационного исследования заключается в возможности использования полученных результатов компаниями, занимающимися разработкой и внедрением систем информационной безопасности ЭИС, и компаниями, для которых данные системы разрабатываются и внедряются.
Использование разработанных в диссертации методических рекомендаций по совершенствованию процессов проектирования систем информационной безопасности обеспечит экономию ресурсов при внедрении СИБ, повысит привлекательность проектов и снизит риски данных проектов для инвесторов.
Основные научные положения диссертации докладывались на X Международной конференции "Проблемы управления безопасностью сложных систем" (Москва, 2002 год), на международной научно-практической интернет-конференции "Системы, процессы и модели в экономике и управлении" (Москва, 2003 год), на заседании Ученого совета РОО "Академия промышленной и менеджмента" (Москва, 2003 год), а также апробировались в учебном процессе при чтении лекций и проведении семинарских занятий со студентами по специальностям: "Организация и технология защиты информации", "Прикладная информатика в экономике" в ГОУ Московском государственном индустриальном университете.
Апробация и реализация результатов исследования. Предложенный в работе комплекс подходов к оценке экономической эффективности СИБ ЭИС, предпочтительности вариантов СИБ, а также инвестиционной привлекательности вариантов проектов СИБ, был использован при внедрении системы информационной безопасности в компании ООО "Караван-М".
Отдельные положения и методики использовались при разработке системы информационной безопасности компании ООО "Леком".
Публикации. Основные положения диссертационного исследования изложены в опубликованных статьях. Всего по теме диссертации опубликовано 3 статьи общим объемом 2,55 п.л., из них автором 2,15 п.л.
Структура и объем работы. Диссертация состоит из введения, трех глав, заключения, списка литературы, приложения. Работа изложена на 173 страницах машинописного текста, содержит 20 таблиц и 14 рисунков, 10 страниц приложения. Список литературы включает 182 наименования.
Основное содержание работы
Во введении обоснована актуальность темы исследования, сформулирована цель и основные задачи исследования, определены научная новизна и практическая значимость работы.
В первой главе "Методология комплексной защиты информации в экономических информационных системах" представлен обзор и анализ существующих подходов к построению системы информационной безопасности и классификации угроз безопасности экономических информационных систем.
Анализируя предлагаемые отечественными и зарубежными учеными методы построения систем информационной безопасности, можно отметить, что:
1. Обеспечение безопасности информации дожно проводится системно и комплексно на всех этапах проектирования, внедрения и эксплуатации ЭИС.
2. Система обеспечения безопасности информации функционально дожна перекрывать все существующие угрозы безопасности информации в ЭИС.
3. Система обеспечения безопасности информации в ЭИС дожна быть ориентирована на тактическое опережение возможных угроз.
4. В системе безопасности ЭИС дожны быть разработаны механизмы восстановления нормальной работы ЭИС в случае реализации угроз.
На основе системного подхода проведено исследование целей СИБ, средств обеспечения информационной безопасности и факторов, влияющих на защищенность информации.
Исходя из результатов анализа существующих подходов и сделанных выводов, предложена общая схема построения системы безопасности информации ЭИС, которая включает следующие последовательные этапы: подготовительный, аналитический, исследовательский, испытательный, этап внедрения и технической поддержки.
На подготовительном этапе выбираются и обосновываются объект (ЭИС в целом, отдельные компоненты, подсистемы), цели и задачи, общая концепция системы безопасности.
Основной задачей аналитического этапа является сбор, систематизация и обработка информации о потенциальных угрозах, каналах утечки информации, а также разработка эталонов и критериев эффективности защиты информации, рассмотрение характеристик существующих средств защиты.
На исследовательском этапе определяется политика безопасности, допустимая степень риска, набор процедур и методов исключения несанкционированного доступа к ресурсам ЭИС.
Содержание рекомендательного этапа заключается в дальнейшей проработке вариантов размещения элементов системы информационной безопасности ЭИС, выборе оптимального по критерию "эффективность-стоимость", документирования, а также в оформлении окончательных рекомендаций к внедрению.
На этапе внедрения и технической поддержки осуществляются работы по обучению персонала; определяются пути дальнейшего развития, а также проводится ряд мероприятий, связанных с техническим сопровождением составных частей системы информационной безопасности, а также выпоняется их регулярное тестирование.
Событие, которое может вызвать нарушение функционирования ЭИС, включая искажение, уничтожение или несанкционируемое использование обрабатываемой в ней информации, представляет собой угрозу. Возможность реализации угроз в ЭИС зависит от наличия в ней уязвимых мест. Состав и специфика уязвимых мест определяется видом решаемых задач, характером об-
рабатываемой информации, аппаратно-программными особенностями системы, наличием средств защиты и их характеристиками.
В работе использован термин "программные злоупотребления" (ПЗ), который наиболее поно с содержательной и функциональной точек зрения отражает природу угроз, реализуемых с помощью аппаратно-программных средств.
Исходя из результатов анализа существующих подходов к классификации угроз безопасности ЭИС, предложена следующая классификация угроз (Рис. 1).
Рис. 1. Классификация угроз информационной безопасности ЭИС
Проанализированы различные угрозы информационной безопасности ЭИС, в том числе: программы открытия и захвата паролей, "люки", логические бомбы, троянские кони, компьютерные вирусы и многие другие. Выделен класс программных злоупотреблений тактической и стратегической направленности и обоснована возможность их интеграции в полиморфные программные злоупотребления.
Обзор работ современных отечественных и зарубежных авторов в области обеспечения безопасности информационных систем позволяет рассматривать решение задачи построения единого комплексного подхода к разработке концепции системы информационной безопасности ЭИС как одно из перспективных направлений в решении проблем безопасности экономических информационных систем.
В этой связи поставленная в данной работе задача разработки единой концепции проектирования и эксплуатации СИБ с учетом компонентов экономического обеспечения информационной безопасности, представляется новой, актуальной и имеющей практическое значение. К компонентам экономического обеспечения относится оптимизация структуры СИБ с учетом эффективности и затрат на обеспечение информационной безопасности, оценка экономической эффективности СИБ, методика выбора оптимальных вариантов СИБ с экономической точки зрения, модель оценки инвестиционной привлекательности проектов СИБ и др. Эти вопросы на сегодняшний день недостаточно проработаны и исследованы.
Решение данной задачи позволит оптимизировать процессы проектирования и эксплуатации систем информационной безопасности экономических информационных систем с точки зрения экономической эффективности и затрат на обеспечение информационной безопасности.
Во второй главе "Моделирование системы информационной безопасности с учетом показателей экономической эффективности" рассмотрены подходы к исследованию, анализу и моделированию СИБ.
Исследована возможность развития конфликта между "нарушителем" и СИБ. Разработаны сценарии развития конфликта, исследованы основные этапы:
- аналитический, в рамках которого осуществляется разведка, сбор информации из внешнего мира, постановка задачи СИБ, определяются целевые функции и критерии эффективности, проводятся анализ ситуации и риска, а также обосновывается необходимость достижения тактического опережения;
- исследовательский включает мероприятия по дезинформированию, достижению тактического опережения, разработке плана восстановления нормальной работы и др.;
- противостояния, на котором осуществляется противостояние и устранение конфликта.
Рассмотрен пример реализации интегрированных угроз - полиморфных ПЗ тактической и стратегической направленности.
Исходной посыкой при разработке моделей эффективности СИБ является тривиальное предположение, что, с одной стороны, при нарушении системы защиты информации наносится ущерб, с другой стороны - обеспечение информационной безопасности сопряжено с расходованием средств.
Основное внимание уделено исследованию угроз безопасности ЭИС и их оценке. На основе предложенной классификации ПЗ разработана методика комплексной оценки угроз безопасности ЭИС (см. табл. 1). Комплексная оценка угрозы рассчитывается с помощью специальных коэффициентов, значения которых приведены в основном тексте диссертации.
Проведенный анализ позволил предложить показатель привлекательности угроз для нарушителя, который определяется следующим образом:
_(1-Рп)(1-Р
Вд - выигрыш нарушителя от реализации угрозы;
Со - затраты нарушител! для подготовки и реализации угрозы;
Р" - вероятность предотвращения угрозы;
Р
Р" вероятность нейтрализации угрозы.
Проведено исследование конфликта "нарушитель- СИБ" с использованием показателя привлекательности угроз.
В рамках конфликта нарушитель стремится разработать/интегрировать программную угрозу с максимальным значением показателя привлекательности (у-^тах). Основной задачей СИБ является предотвращение проникновения и развития угроз, то есть минимизация данного показателя (у-^тш).
Таблица 1
Оценки угроз безопасности ЭИС
Угрозы безопасности А Б В Г Д Е Ж 3 И К Л
1 Программы открытия паролей 1 3.0 2.5 1.5 2.5 2.0 1.5 3.0 2.5 3.0 2.5
2 Программы захвата паролей 1 2.5 1.5 2.0 1.5 1.5 1.5 2.0 2.5 2.5 2.5
3 Люки 1,2,3 3.5 2.5 3.5 0.5 3.0 1.5 2.0 2.0 3.5 2.5
4 Логические бомбы 2 3.5 2.5 3.0 0.5 2.5 1.5 2.0 2.0 3.5 2.5
5 Троянские кони 1,2,3 3.5 2.5 3.5 0.5 3.0 1.5 2.0 2.5 2.5 2.5
6 Репликаторы 2 2.5 1.0 1.5 0.5 2.5 2.0 2.0 2.0 2.5 2.5
7 Программные закладки 1 2.5 2.5 2.5 1.5 2.5 1.5 1.0 2.0 3.0 2.5
8 Скрытые каналы 1 3.5 2.5 3.5 0.5 1.5 1.5 2.0 2.5 1.5 2.5
9 Компьютерные вирусы 2 2.5 1.5 2.0 3.0 1.5 2.0 2.0 2.0 3.5 1.5
10 Отказ в обслуживании 3 3.0 1.5 2.5 3.0 2.0 1.5 3.5 2.5 3.0 2.5
11 Работа между строк 4 2.5 2.5 2.5 1.5 2.5 1.5 1.5 1.5 2.5 2.5
12 Перехват 1 3.5 2.5 3.5 3.0 2.5 2.0 1.0 1.5 2.5 2.5
13 Маскарад 1,2,3 3.0 2.5 3.5 1.5 2.0 2.0 4.0 3.0 2.5 2.5
14 Подкладывание свиньи 1,2,3 3.0 2.5 2.5 1.5 2.5 2.0 1.5 1.5 1.5 2.5
15 Пинание (спам) 2 4.0 1.0 1.5 1.5 1.5 2.0 3.0 3.0 2.5 2.5
16 Раздеватели 4 3.5 2.5 3.5 1.5 1.5 2.0 1.5 1.5 3.5 1.5
17 Поотопное использование объектов 1 2.5 2.5 3.0 1.5 2.0 1.0 4.0 1.0 2.5 2.5
18 Злоупотребления информацией 1,2,4 2.5 1.5 2.5 1.5 2.5 1.5 4.0 2.5 3.5 2.5
19 Перехват ПЭМИН 1 3.5 3.0 4.0 0.5 1.5 2.0 4.0 2.0 2.5 2.5
20 Анализ трафика 1 3.5 2.5 2.5 1.5 1.5 2.0 1.5 1.5 1.5 2.5
21 Сетевые анализаторы 1 4.0 2.5 2.5 1.5 1.5 2.0 1.5 1.5 2.0 2.5
22 Суперзагшинг 1,2,3 2.5 2.5 2.5 1.5 3.0 1.5 3.5 2.5 2.0 2.5
23 Недоступность информации 2 2.5 1.0 3.0 1.5 2.5 1.0 3.5 2.5 2.5 2.5
24 Ошибки пользователя 1.2,3 3.0 2.5 3.5 2.0 2.5 1.0 4.0 3.0 2.5 1.5
25 Ошибки программного обеспечения 1,2.3 3.5 2.5 3.0 2.0 2.0 1.0 0.0 3.0 2.5 1.5
26 Неправильная маршрутизация 2 2.0 1.5 4.0 2.0 2.0 2.0 1.0 1.5 1.5 1.5
27 Аппаратные сбои 1,2,3 4.0 1.5 1.5 2.5 1.5 1.0 0.0 3.0 1.5 2.5
28 Перегрузка трафика 3 1.5 1.0 1.5 1.0 1.5 1.5 1.0 2.5 1.5 2.5
29 Атаки салями 2 2.5 2.5 3.5 0.5 1.5 1.0 1.5 1.5 2.0 1.5
30 Воздушные змеи 2 1.5 1.0 1.5 2.5 2.0 2.0 3.5 1.5 1.5 1.5
31 Другие виды мошенничества 2 2.0 2.0 3.5 1.5 2.5 1.5 2.5 2.0 2.5 2.0
32 Умышленное повреждение данных и программ 2 2.0 2.0 2.5 1.0 2.5 1.0 3.5 2.5 1.5 1.0
33 Повреждение аппаратных средств 2 3.5 1.5 2.5 1.5 2.0 1.5 0.0 2.0 1.0 1.0
35 Кража информации 1,2,3 2.0 2.5 3.5 1.5 2.0 1.5 2.5 2.0 1.5 1.0
Примечание. А - нарушаемые принципы безопасности; Б - возможности предотвращения; В - обнаружение; Г - возможность нейтрализации /восстановления; Д - частота появления; Е - потенциальная опасность; Ж -источник появления; 3 -уровень необходимых знаний; И - затраты на проектирование и разработку злоупотребления; К - простота реализации; Л -потенциальное наказание в рамках существующего законодательства.
Сформулированы и обоснованы достаточные условия целесообразности выбора и реализации угрозы нарушителем и критерии выбора компонентов полиморфного программного злоупотребления с целью максимизации показателя привлекательности. При реализации полиморфных программных злоупотреблений (ППЗ) используются тактический и стратегический механизмы, которые, в свою очередь, могут состоять из нескольких элементов.
Тогда U угрозу можно описать множеством свойств Аш Би, ВД, ГД, Ди, ЕД, то есть
Для случая, когда ППЗ разрабатывается путем интеграции некоторого множества обычных угроз, получают новые характеристики, которые формируются следующим образом:
JJ ппз ~ [opt Аи, шах Ви, max Ви, шах Ги, max Ди, opt Еи}
то есть ППЗ формируется за счет использования "эффективных" свойств и механизмов простых программных злоупотреблений.
Операция opt означает выбор тех свойств программного злоупотребления, которые оптимально способствуют достижению желаемого результата (например, для свойства А могут быть конфиденциальность и/или целостность и/или доступность и т.д.). Операция max означает выбор показателей с наивысшей оценкой (в соответствии с предложенной шкалой оценок).
Выпонено исследование оценки эффективности и размещения элементов СИБ в экономических информационных системах. Использованы методы целочисленного и динамического программирования, эвристические методы.
При использовании динамического программирования ЭИС представляется в виде гибридной структуры, сочетающей древовидный и сетевой графы, соединенные ориентированными дугами. Проблема размещения и оценки СИБ в узлах ЭИС формулируется следующим образом: целесообразно ли устанавливать соответствующий вариант СИБ (или несколько вариантов одновременно) в каждом узле, и если целесообразно, то какой вариант СИБ следует установить.
При использовании целочисленного программирования отпадает необходимость в предварительном определении деревьев для каждого узла и считается, что данные могут передаваться в любом направлении. Для этого случая минимизируется стоимостная функция, учитывающая размещение различных вариантов СИБ.
При использовании эвристических агоритмов задача сформулирована следующим образом: необходим выбор минимальной по стоимости СИБ, обеспечивающей прохождение трафика данных от выбранной точки сети к рассматриваемому узлу, при обеспечении требуемого уровня надежности. Для данного случая минимальное по стоимости решение дожно удовлетворять условию: уровень допустимого риска для каждого узла не ниже заданного.
В рамках предложенных подходов сформулированы и решены следующие задачи:
- размещение элементов СИБ по критерию "эффективность-стоимость";
- оптимизация размещения элементов СИБ по критерию ценности информации;
- анализ размещения элементов СИБ в узлах ЭИС.
Таким образом, в результате исследования разработан комплекс агоритмов, предназначенных для оптимизации структуры СИБ, с точки зрения эффективности и затрат на обеспечение информационной безопасности. Построенный методический аппарат позволяет моделировать различные ситуации, связанные с возникновением угроз для ЭИС; разрабатывать необходимые рекомендации по размещению элементов системы информационной безопасности ЭИС; а также анализировать полученные решения и результаты.
В третьей главе "Технология оценки экономической эффективности системы информационной безопасности" исследованы показатели эффективности СИБ. Количественные показатели оценки эффективности систематизированы в следующие группы: экономические, технические, организационные, социальные.
К группе технических показателей отнесены следующие: Х коэффициент предотвращаемых угроз (деструктивных факторов) из множества потенциальных угроз:
где - общее количество потенциальных деструктивных факторов (из рассматриваемого множества
- количество предотвращаемых потенциальных деструктивных факторов (из рассматриваемого множества
Х коэффициент обнаруживаемых и распознаваемых угроз:
где - количество распознаваемых деструктивных факторов (из рассматриваемого множества
Х коэффициент нейтрализованных угроз:
где и, - количество обнаруженных и нейтрализованных деструктивных факторов (из рассматриваемого множества
Агрегированным коэффициентом предотвращения и нейтрализации угроз может выступить, показатель (крп.), который определяется как:
и2 | Н4_2+4
"1 л1 Щ
Другим важным показателем является отношение разности между подмножеством распознаваемых и нейтрализуемых угроз к общему количеству потенциальных деструктивных факторов:
Х коэффициент перекрытия потенциальных каналов несанкционированного доступа (кидд), который определяется как:
где скнсд - количество перекрываемых потенциальных каналов несанкционированного доступа;
сНСД - общее количество потенциальных каналов несанкционированного доступа;
При оценке эффективности СИБ необходимо в первую очередь определить и количественно измерить влияние неправомерных воздействий на ЭИС. Данная задача является одной из наиболее важных в проблеме информационной безопасности, поэтому подход к формированию множеств воздействий дожен быть в максимальной степени системным и всеобъемлющим.
Рассмотрен подход к моделированию процесса воздействия ПЗ на безопасность ЭИС. Пусть N - общее количество объектов в ЭИС (файлов, программ, узлов и т.д.); 3- количество пораженных объектов ЭИС,. /?- количество непораженных объектов Использована переменная р, которая харак-
теризует "эпидемиологическую границу". В случае ЭИС с гомогенной структурой уровень эпидемиологической границы определяется следующим образом:
Для ЭИС с гетерогенной структурой уровень "эпидемиологической границы" рассматривается с точки зрения значимости каждого узла.
Пусть 0>, - коэффициент значимости 1-го узла.
Тогда 0)= <Ч. при 1=1,N. гдеМ - количество объектов ЭИС.
Если происходит поражение 3 объектов ЭИС, уровень "эпидемиологической границы" определяется следующим образом:
При оценке надежности СИБ необходимо принимать во внимание обстоятельство, связанное с изменением среды функционирования ЭИС и допусками отдельных элементов. По аналогии с техническими системами и расчетом надежности их элементов использован показатель "дрейфа", характеризующий процесс изменения характеристик элементов СИБ (старение, деградация и др.). Но если для технических систем дрейф зависит в основном от режимов и времени эксплуатации, то на дрейф СИБ влияют такие факторы, как внешние воздействия на ЭИС, уровень технологий и др.
В работе исследован характер потерь от внешних воздействий и предложен подход к их оценке.
Средние потери от внешних воздействий определяются как:
1ср=гс1Р{х<к],
где г - надежность подсистемы;
стоимость отказа подсистемы;
х - число отказавших подсистем или элементов;
к - количество избыточных элементов СИБ;
Р{х<к} - вероятность того, что число отказавших подсистем или элементов будет меньше, чем число избыточных элементов.
Экономические показатели эффективности являются наиболее значимыми при выборе варианта СИБ. Кроме того, каждый проект при разработке и внедрении СИБ дожен завершаться проведением экспертизы и соответствующими экономическими расчетами.
Во многом затраты на создание СИБ сходны с инвестициями, поскольку они связаны с вложением средств, риском и получением прибыли. Существенным отличием является то, что под прибылью в данном случае следует понимать не конкретный поток финансовых ресурсов, а уменьшение потерь от действия угроз, то есть сокращение издержек.
В работе проведен анализ характеристик СИБ с точки зрения инвестиционной привлекательности. Введена новая категория сохраненной стоимости - величина, равная разности между потерями ЭИС без СИБ и величиной возможных потерь при использовании СИБ.
Для расчета экономической эффективности разработки, внедрения и эксплуатации СИБ принят ряд обозначений:
ЕиЛ) - стоимостной эквивалент потери свойства} ресурсом А вследствие воздействия угрозы и (воздействие угроз, потеря одного и того же свойства у одного и того же объекта может быть отличной, например: поная, частичная и т.д.);
- совокупные потенциальные потери;
- уровень возможных реальных потерь;
Е- величина уменьшения потерь - сохраненная стоимость (Е=Е'-Е");
- вероятность появления м-й угрозы в рассматриваемом интервале времени t, где и=1,2,...,п;
ЕиЛ - потенциальные потери актива А ЭИС вследствие воздействия угрозы и:
Z - совокупность средств, методов и механизмов защиты ЭИС, которая определяется как:
- вероятность распознавания и нейтрализации г-м механизмом защиты ЭИС м-й угрозы;
Потенциальные потери ЭИС (Еи) вследствие реализации м-й угрозы равны:
Е"=ШЕиА=''Е,ЕиА] >
Тогда стоимостной эквивалент вероятных потенциальных потерь ЭИС вслеястште. пе.я ттизяттии поте.нттия ттьньтх л/гпоз (Е*) равен:
и и А и А у
С учетом вероятности появления и-й угрозы в течение одного года выражение Е' принимает вид:
( г р'*
Тогда стоимостной эквивалент вероятных годовых потерь ЭИС (") вследствие реализации потенциальных угроз при условии использования множества средств, методов и механизмов защиты Ъ равен:
Показатель годовой сохраненной стоимости Е принимает вид:
Использован коэффициент уменьшения потерь, который характеризует, насколько СИБ уменьшает совокупные потенциальные потери:
Величина вероятных затрат (СУ) на восстановление ЭИС:
где СУд] - вероятные годовые затраты, необходимые для восстановления первоначального состояния нормальной работы]-го свойства ЭИС в течение одного года функционирования СИБ. Величина СУд/ принимается равной Ец (стоимость свойства А]) в случае, когда ресурс г невозможно восстановить;
Т- жизненный цикл СИБ (в годах).
Показатель "эффективность-стоимость" инвестиций в СИБ ЭИС (0 можно записать следующим образом:
где Со~ капитальные затраты на СИБ;
- постоянные затраты на эксплуатацию и поддержку СИБ; Для сравнения нескольких вариантов проектов СИБ можно использовать вариантный (сравнительный) показатель эффективности инвестиций е\. С,+Щ
где С1 - затраты на СИБ в /-м варианте;
Е1 - величина сохраненной стоимости в 1-м варианте,
- расчетный уровень риска в 1-м варианте, соответственно. В то же время (='- , где Е' - уровень риска без использования СИБ. Тогда показатель эффективности принимает вид:
- сЛй-Е,)
Из приведенного следует, что неприемлемым считается проект, для которого вариантный показатель эффективности е1 меньше единицы. Это означает, что величина сохраненной стоимости меньше суммы затрат на создание и эксплуатацию СИБ и величины возможных потерь.
В случае, когда осуществляется модернизация СИБ, сравнительный показатель предпочтительности вариантов рассчитывается по следующей формуле:
- затраты на модернизацию по /-му варианту; ЕЩ - реальная величина сохраненной стоимости (до модернизации); - расчетная величина сохраненной стоимости (после модернизации).
Годовая экономическая эффективность (ef) определяется как:
где P2(t) - годовая прибыль в t-ом году. В отношении СИБ под прибылью понимают разность между сохраненной стоимостью, фактическими потерями и величиной затрат на создание и эксплуатацию СИБ: f{t)=E{t)-E"{t) -C\t\
Cfy) - годовые инвестиции в t-ом году; но E(t)=E(t)+E"{t) и E{t)=E{t)-E"(t), тогда f*(t)=E(t)-2E"(t) -С(0 и
Показатель экономической эффективности СИБ определяется как:
Таким образом, показатель экономической эффективности СИБ дожен быть больше единицы (есив >1). так как только в этом случае СИБ будет обеспечивать прибыль (то есть совокупная сохраненная стоимость будет больше совокупных затрат на обеспечение информационной безопасности).
В работе предложена методика оценки инвестиционной привлекательности проектов СИБ с использованием принятых стандартов в области оценки инвестиционных проектов.
В заключении сформулированы основные теоретические и практические результаты диссертационного исследования.
Основные результаты исследования
- на основании проведенного исследования подходов к построению системы информационной безопасности ЭИС предложена концепция построения СИБ ЭИС, включающая пять последовательных этапов: подготовительный, аналитический, исследовательский, рекомендательный, этап внедрения и тех-
нической поддержки. В рамках данной концепции прорабатываются варианты размещения элементов СИБ, осуществляется выбор оптимального варианта по критерию "эффективность-стоимость" и др.;
- в результате исследования возможных угроз безопасности ЭИС выделены типовые и нетрадиционные угрозы, программные злоупотребления тактической и стратегической направленности, а также предложена классификация программных злоупотреблений, без которой невозможно комплексно оценить возможные экономические потери от реализации данных угроз;
- предложен новый подход к описанию процессов нападения и защиты в рамках конфликта "ЭИС-нарушитель", обоснована возможность и разработана функциональная модель реализации полиморфных программных злоупотреблений, которая определяет основные правила интеграции угроз тактической и стратегической направленности;
- предложена система агоритмов, предназначенных для оптимизации структуры СИБ с учетом эффективности экономических затрат на обеспечение информационной безопасности;
- разработана модель комплексной оценки возможных экономических потерь от реализации угроз, а также стоимости отказов в целом, которая позволяет оценивать общую стоимость инцидента в ЭИС. Предложено содержательное напонение категории прибыль для СИБ ЭИС, которая определяется как разность между сохраненной стоимостью и фактическими потерями и величиной затрат на создание и ввод в эксплуатацию СИБ;
- разработан комплекс моделей, позволяющих проводить сравнительную оценку проектов СИБ с точки зрения экономической эффективности;
- предложена методика оценки привлекательности инвестиций в СИБ, позволяющая рассчитать такие показатели, как срок окупаемости, чистый дисконтированный доход, внутренняя норма доходности, коэффициент чистого дисконтированного дохода и др.
Основные положения диссертации опубликованы в следующих работах:
1. Еремин В.М., Приступа А.С. Классификация угроз безопасности экономических информационных систем. / МАДИ (ГТУ). - М., 2002 - 19 с. Деп. в ВИНИТИ 28.10.2002, №1846-В2002 (1,25 п.л., из них автором 0,85 п.л.).
2. Приступа А.С. Анализ подходов к построению системы информационной безопасности экономических информационных систем. // Вестник Академии промышленности и менеджмента: Выпуск 4 / Под ред. СВ. Смирнова. -М.: МГИУ, 2004, с. 152-158 (1 п.л.).
3. Приступа А.С. Принципы обеспечения информационной безопасности в коммерческих информационных системах. // Проблемы управления безопасностью сложных систем: Труды X международной конференции. Москва, декабрь 2002 г. / Под ред. Н.И. Архиповой и В.В. Кульбы. Часть 1. - М.: РГГУ - Издательский дом МПА-Пресс, 2002, с. 134-138 (0,3 п.л.).
Подписано в печать 23.03.05.
Формат бумаги 60 х 90/16 Усл. печ. л. 1,0 Тираж 100._
Бум. множит. Уч.-изд. л. 1,0 Заказ № 164
РИЦ МГИУ, 115280, Москва, Автозаводская, 16
11 АПР 2005
Диссертация: содержание автор диссертационного исследования: кандидат экономических наук , Приступа, Артем Сергеевич
ВВЕДЕНИЕ.
ГЛАВА 1. МЕТОДОЛОГИЯ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ В ЭКОНОМИЧЕСКИХ ИНФОРМАЦИОННЫХ СИСТЕМАХ.
1.1. Современные подходы к построению системы информационной безопасности экономических информационных систем.
1.2. Концептуальные вопросы построения системы информационной безопасности экономических информационных систем.
1.3. Программные злоупотребления и классификация угроз безопасности экономических информационных систем.
1.4. Постановка задачи исследования.
ГЛАВА 2. МОДЕЛИРОВАНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ С УЧЕТОМ ПОКАЗАТЕЛЕЙ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ.
2.1. Стратегия взаимодействия потенциального нарушителя и СИБ сточки зрения ожидаемого эффекта от реализации угрозы и критериев эффективности СИБ.
2.2. Определение экономической целесообразности и привлекательности угроз для потенциального нарушителя.
2.3. Оптимизация структуры системы информационной безопасности с использованием различных экономических критериев оценки эффективности.
ГЛАВА 3. ТЕХНОЛОГИЯ ОЦЕНКИ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
3.1. Показатели экономической эффективности системы информационной безопасности.
3.2. Моделирование показателей экономической эффективности системы информационной безопасности.
3.3. Экономическая эффективность СИБ.
Диссертация: введение по экономике, на тему "Методология оценки эффективности обеспечения безопасности в экономических информационных системах"
В современных условиях динамично развивающихся экономических, социальных, общественно-политических, технологических процессов коммерческое предприятие дожно обеспечивать себе стабильное положение и авторитет на рынке, дожно уметь защитить свой бизнес и, соответственно, свою информацию.
Проблема защиты информации от постороннего доступа и нежелательных воздействий на нее возникла тогда, когда владельцу этой информации по каким-либо причинам не захотелось ею с кем-либо делиться. С развитием человеческого общества, появлением частной собственности, государственного строя, борьбой за власть и дальнейшим расширением масштабов человеческой деятельности информация приобретает цену. Ценной становится та информация, обладание которой позволит ее существующему и потенциальному владельцам получить какой-либо выигрыш: материальный, политический, военный и т.д.
С переходом на использование технических средств связи информация подвергается воздействию случайных процессов: неисправностям и сбоям оборудования, ошибкам операторов и т.д., которые могут привести к ее разрушению, изменениям на ложную, а также создать предпосыки к доступу к ней посторонних лиц. С дальнейшим усложнением и широким распространением технических средств связи возросли возможности для преднамеренного доступа к информации.
С развитием сложных автоматизированных систем управления, связанных с автоматизированным вводом, хранением, обработкой и выводом информации, проблема ее защиты приобретает еще большее значение. В этих условиях, информация становится потенциальным объектом различных злоупотреблений, что в свою очередь, приводит к необходимости разработки средств противодействия этому.
Таким образом, проблема выбора и построения эффективной системы информационной безопасности для предприятий, функционирующих в различных сферах экономики, является одной из самых актуальных задач, требующих безотлагательного, грамотного, научно обоснованного решения.
Актуальность исследования. Внедрение современной компьютерной техники и средств коммуникаций в деятельность государственных организаций и коммерческих фирм, кроме существенных положительных сторон, имеет также негативный момент, связанный с возможностью реализации преступлений с использованием вычислительной техники.
В качестве объекта компьютерных преступлений выступает экономическая информационная система и, соответственно, циркулирующая в ней производственная, научная, коммерческая информация.
Экономическая информационная система (ЭИС) - это совокупности внутренних и внешних потоков прямой и обратной информационной связи экономического объекта1, методов, средств, специалистов, участвующих в процессе обработки информации и выработке управленческих решений.
Взаимосвязь информационных потоков прямой и обратной информационной связи, средства обработки, передачи и хранения данных, а также сотрудников управленческого аппарата, выпоняющих операции по переработке данных, и составляет информационную систему экономического объекта.
Таким образом, любой системе управления экономическим объектом соответствует своя информационная система, называемая экономической информационной системой.
Современный уровень информатизации общества предопределяет использование новейших технических, технологических, программных средств в различных информационных системах экономических объектов. И как следст
1 Экономический объест - это объест, обязанный с производством материальных н/нли нематериальных благ н имеющий свою систему управления. Система управления представляет собой совокупность объекта управления, например предприятия, н субъекта управления Ч управленческого аппарата. Последний объединяет в себе сотрудников, формирующих цели, разрабатывающих планы, вырабатывающих требования к принимаемым решениям, а также контролирующих их выпонение. В задачу же объекта управления входит выпонение планов, выработанных управленческим аппаратом, то есть реализация той деятельности, для которой создавалась система управления. Оба компонента системы управления связаны прямой и обратной связями. Прямая связь выражается потоком директивной информации, направляемой от управленческого аппарата к объекту управления, а обратная представляет собой поток отчетной информации о выпонении принятых решений, направляемый в обратном направлении. вие, предполагает использование данных средств для реализации компьютерных преступлений, направленных на экономические информационные системы.
Компьютерные преступления могут быть направлены непосредственно на персональный компьютер (его процессор и оперативную память), локальную сеть, базу данных, системное программное обеспечение и т.д. В отдельных случаях, при реализации компьютерных преступлений, в качестве объекта воздействия могут выступать отношения пользователей, нарушение которых приводит к потере доверия к поступающей информации, сокрытию несанкционированного доступа и т.д.
Таким образом, ЭИС является объектом пристального внимания со стороны различного рода нарушителей, и обеспечение безопасности информационных систем является актуальной задачей.
Актуальность темы исследования обусловлена множеством факторов нарушения информационной безопасности, которые повлекли за собой огромные материальные потери. Ко всему прочему, развитие мировой компьютерной сети Internet обуславливает появление новых каналов несанкционированного доступа к информационным ресурсам.
В числе факторных групп, которые могут инициировать распространение компьютерных преступлений, следует выделить: экономические, технические и правовые.
К первой группе следует отнести развитие рыночных отношений, изменение форм собственности, отказ от государственного регулирования в экономике, развитие такой сферы предпринимательской деятельности, как информационный бизнес и др. Конкуренция выдвигает на первый план необходимость владения соответствующей информацией, характеризующей многие аспекты деятельности. Это могут быть сведения относительно цен и объема поставок товаров по контрактам, финансовое положение фирмы и перспективы ее развития, содержание и время ввода нормативных актов, и многое другое. Причем данная информация может относиться как к деятельности государственных органов и коммерческих структур, так и отдельных лиц. В любом случае, обладая необходимой информацией, ее владелец в состоянии предпринять соответствующие меры по исключению и недопущению негативных последствий изменения ситуации в свою пользу. Таким образом, если пользователь получает какую-либо информацию и при этом нарушает правовые и этические нормы, то подобные действия дожны пресекаться и преследоваться, что предусмотрено в соответствующих статьях Уголовного кодекса.
Ко второй группе относят следующие факторы: рост парка персональных компьютеров, развитие компьютерных систем и коммуникаций, открытость и доступность широкого спектра программных продуктов и т.д.
И, наконец, третью группу, образуют правовые вопросы. Это объясняется, во многом, не проработанностью многих юридических аспектов относительно возможности функционирования информации в качестве специфического товара и ресурса, сложностями закрепления авторского права на программные продукты.
Анализ зарубежной и отечественной практики свидетельствует о важности решения проблемы обеспечения информационной безопасности применительно к ЭИС. В ЭИС право выбора средств и методов по обеспечению информационной безопасности принадлежит ее собственнику, который исходит из финансовых возможностей и существующих ограничений. Проектные решения по обеспечению безопасности ЭИС основываются на определенных требованиях и условиях эксплуатации (эффективности защиты, ее стоимости, эксплуатационных расходах на поддержание информационной безопасности и др.). Особую важность при проектировании системы информационной безопасности (СИБ) ЭИС имеют вопросы экономического обеспечения и увеличения жизненного цикла СИБ. К компонентам экономического обеспечения относится оптимизация структуры СИБ с учетом эффективности и затрат на обеспечение информационной безопасности, оценка экономической эффективности СИБ, методика выбора оптимальных вариантов СИБ с экономической точки зрения, модель оценки инвестиционной привлекательности проектов СИБ и др.
Оценка экономической эффективности СИБ ЭИС представляет собой комплекс различных подходов и методов: как классических, общих подходов к оценке экономической эффективности, так и специфических, с учетом особенностей применения для СИБ ЭИС. Исходной посыкой при разработке моделей эффективности СИБ является предположение, что с одной стороны, при нарушении системы защиты информации наносится ущерб, с другой стороны -формирование и обеспечение информационной безопасности сопряжено с расходованием средств. Отношение стоимости защиты и потерь от ее нарушения с учетом необходимого уровня защищенности и допустимых потерь, позволяет определить экономический эффект от использования СИБ. Затраты на создание и эксплуатацию СИБ сходны с инвестициями, поскольку они связаны с вложением средств, риском и получением прибыли. Под прибылью в данном случае следует понимать не конкретный поток финансовых ресурсов, а количественную оценку уменьшения потерь от действия угроз.
Эти вопросы на сегодняшний день недостаточно проработаны и исследованы.
Недостаточное научное и методическое обоснование, а также слабая практическая проработка положений по формированию систем информационной безопасности (СИБ) и моделей оценки экономической эффективности СИБ обусловили выбор темы диссертационного исследования, определили цель, структуру и содержание настоящей работы.
Цель и задачи исследования. Целью исследования является оптимизация процессов проектирования и эксплуатации системы информационной безопасности экономической информационной системы с точки зрения экономической эффективности и затрат на обеспечение информационной безопасности, посредством использования методов экономики и математического аппарата.
В соответствии с поставленной целью, в работе сформулированы и решены следующие основные задачи:
-анализ современного состояния и существующих подходов к построению систем информационной безопасности ЭИС, их особенностей и перепектив развития, существующих целей и задач СИБ, с целью построения общей концепции комплексной СИБ ЭИС с учетом экономических критериев эффективности;
- исследование существующих возможных угроз информационной безопасности ЭИС для оценки потенциально возможных экономических потерь в случае их реализации и разработка методики комплексной оценки угроз безопасности ЭИС;
-исследование существующих показателей эффективности СИБ, разработка модели формирования показателей эффективности СИБ и обоснование системы общих и специальных экономических показателей для определения экономической эффективности разработки, внедрения и эксплуатации СИБ;
-анализ и оптимизация размещения элементов СИБ ЭИС по критерию "эффективность-стоимость" и по критерию ценности информации, содержащейся в ЭИС;
- исследование и разработка технологии комплексной оценки экономической эффективности системы информационной безопасности ЭИС.
Предмет и объект исследований. Предметом исследований являются экономические, организационно-административные, технологические и правовые процессы функционирования системы информационной безопасности ЭИС. Объектом исследования является экономическая информационная система.
Методология исследования. В процессе исследования проанализированы и использованы достижения отечественных и зарубежных специалистов по вопросам теории и практики проектирования и эксплуатации ЭИС, машинной обработки экономической информации, организации информационно-вычислительного обслуживания, обеспечения безопасности информационных процессов. Теоретическую и методологическую основу исследования составляет системный подход к обеспечению информационной безопасности, методы системного анализа, экономико-математического моделирования и экспертных оценок, элементы теории сложных систем, теории графов и матричной агебры.
Научная новизна диссертации. Научная новизна проведенного исследования заключается в разработке и обосновании теоретических положений и практических рекомендаций по построению системы информационной безопасности ЭИС с экономической точки зрения. Научной новизной обладают следующие результаты исследования:
-подход к оценке инвестиционной привлекательности СИБ и аппарат оценки предпочтительности вариантов СИБ с точки зрения их экономической целесообразности;
- методика оценки экономической эффективности СИБ ЭИС;
-методика оценки вероятности угроз экономической информационной системе;
-формализованное представление процессов взаимодействия нарушителя и СИБ и классификация программных злоупотреблений с учетом особенно-# стей применения в ЭИС;
-концептуальная модель построения системы информационной безопасности ЭИС;
- принципы оптимального размещения и анализа элементов СИБ в ЭИС по критерию "эффективность-стоимость", критерию ценности информации, содержащейся в ЭИС и др.;
-общая стратегия взаимодействия потенциального нарушителя и СИБ с точки зрения ожидаемого эффекта от реализации угрозы и критериев эффективности СИБ.
Практическая значимость. Практическая значимость диссертационного исследования заключается в возможности использования полученных результатов компаниями, занимающимися разработкой и внедрением систем информационной безопасности ЭИС, и компаниями, для которых данные системы раз-It рабатываются и внедряются.
Использование разработанных в диссертации методических рекомендаций по совершенствованию процессов проектирования систем информационной безопасности обеспечит экономию ресурсов при внедрении СИБ, повысит привлекательность проектов и снизит риски данных проектов для инвесторов.
Основные научные положения диссертации докладывались на X Международной конференции "Проблемы управления безопасностью сложных систем" (Москва, 2002 год), на международной научно-практической интернет-конференции "Системы, процессы и модели в экономике и управлении" (Москва, 2003 год), на заседании Ученого совета РОО "Академия промышленной и менеджмента" (Москва, 2003 год), а также апробировались в учебном процессе при чтении лекций и проведении семинарских занятий со студентами по специальностям: "Организация и технология защиты информации", "Прикладная информатика в экономике" в ГОУ Московском государственном индустриальном университете.
Предложенный в работе комплекс подходов к оценке экономической эффективности СИБ ЭИС, предпочтительности вариантов СИБ, а также инвестиционной привлекательности вариантов проектов СИБ, был использован при внедрении системы информационной безопасности в компании ООО "Караван-М".
Отдельные положения и методики использовались при разработке системы информационной безопасности компании ООО "Леком".
Диссертация: заключение по теме "Математические и инструментальные методы экономики", Приступа, Артем Сергеевич
ЗАКЛЮЧЕНИЕ
Расширение состава компонентов информационных и коммуникационных технологий, используемых в рамках автоматизированных информационных систем, количественный и качественный рост пользователей и методов доступа привели к необходимости пересмотра традиционных подходов к обеспечению сохранности информации и программного обеспечения. Особое место принадлежит проблеме экономической эффективности системы информационной безопасности ЭИС, так как от ее организации и деятельности зависит множество экономических объектов.
Теоретические, организационные и прикладные проблемы построения и функционирования системы информационной безопасности, рассмотренные в работе, позволили подробно изучить наиболее существенные вопросы, относящиеся к эксплуатации ЭИС. Данный факт существенен в настоящее время, поскольку ЭИС стали объектом пристального внимания различного рода злоумышленников.
В процессе проведения диссертационного исследования, направленного на достижение поставленных целей, получены следующие теоретические и практические результаты:
1. Обобщен и систематизирован основной перечень существующих проблем, относящихся к обеспечению безопасности ЭИС. Проведен детальный анализ существующих подходов к построению систем информационной безопасности ЭИС, который позволил выявить их достоинства и недостатки, особенности и перспективы развития, обозначить существующие цели и задачи СИБ.
Выявлены несколько групп подходов, ориентированных на следующие направления:
- комплексная защита отдельных элементов ЭИС;
- создание системы защиты от конкретных злоупотреблений;
- использование организационно-административных методов и средств обеспечения информационной безопасности;
- использование программно-технических методов и средств обеспечения информационной безопасности;
- разработка комплексной системы информационной безопасности ЭИС.
Выявлено, что в рамках исследованных подходов отсутствует методика комплексной оценки эффективности СИБ ЭИС с учетом экономических критериев эффективности.
2. На основании проведенного исследования предложена концепция построения СИБ ЭИС, включающая пять последовательных этапов: подготовительный, аналитический, исследовательский, рекомендательный, этап внедрения и технической поддержки. В рамках данной концепции прорабатываются варианты размещения элементов СИБ, осуществляется выбор оптимального варианта по критерию "эффективность-стоимость" и др.
В процессе данного исследования определены как типовые, так и нетрадиционные угрозы безопасности ЭИС. Проведенный анализ угроз позволил предложить новый подход к их классификации, выделить самостоятельный класс программных злоупотреблений. На обширном фактическом материале проведено изучение тенденций развития программных злоупотреблений.
В рамках предложенной классификации выделены программные злоупотребления тактической и стратегической направленности. Обоснована возможность интеграции тактических и стратегических программных злоупотреблений, в результате которой образуется отдельная группа угроз Ч полиморфных программных злоупотреблений.
Проведен детальный анализ средств и методов обеспечения информационной безопасности, который позволил предложить новую классификацию методов и средств обеспечения информационной безопасности. В их составе рассматриваются методы и средства восстановления, мониторинга и последующей обработки собранной информации. Предложена структура средств и методов обеспечения информационной безопасности с учетом защищаемых объектов и ресурсов ЭИС, операционных этапов защиты и характера методов и средств защиты, которые охватывают все аспекты информационной безопасности на этапах жизненного цикла СИБ и ЭИС в целом.
3. Предложен подход к описанию процессов нападения и защиты в рамках конфликта "ЭИС-нарушитель". На его основе обоснована возможность и разработана функциональная модель реализации полиморфных программных злоупотреблений, которая определяет основные правила интеграции угроз тактической и стратегической направленности.
Разработана система оценок привлекательности угроз для нарушителя, которая позволяет разработчику СИБ определить их опасность. На основе разработанной системы оценок предложена модель оценки конкретной угрозы для ЭИС.
4. Разработана модель комплексной оценки возможных экономических потерь в случае реализации угроз, а также стоимости отказов в целом, которая позволяет оценивать общую стоимость инцидента в ЭИС.
5. Предложена система агоритмов, предназначенных для оптимизации структуры СИБ с учетом экономической эффективности и затрат на обеспечение информационной безопасности. В составе предложенной системы агоритмов рассматривается модель оценки размещения элементов СИБ в узлах ЭИС по критерию "эффективность-стоимость", по критерию ценности информации, содержащейся в ЭИС.
6. Исследованы, обобщены и систематизированы существующие показатели эффективности СИБ. На основе проведенного анализа определены основные группы показателей: экономические; технические; организационные; социальные. Разработаны модели формирования показателей эффективности СИБ, обоснована система общих и специфических показателей экономической эффективности. Предложенная система охватывает весь спектр аппаратных и программных средств защиты, а также административно-организационный контур.
7. Предложена модель, позволяющая при оценке эффективности СИБ количественно измерить влияние неправомерных воздействий на ЭИС, описать процесс воздействия и распространения программных злоупотреблений, при этом учитывая изменение характеристик элементов СИБ (старение, деградация и др.), а также среды функционирования ЭИС. Для описания характера данных изменений использован показатель "дрейфа". Данная модель позволяет априори моделировать и определить вероятные величины потенциальных потерь ЭИС и затрат на создание СИБ, восстановление в случае реализации угроз, а также анализа дрейфа проектируемой СИБ. Полученный уровень дрейфа СИБ используется при оценке возможных отклонений затрат, эффективности и т.д.
8. На основе предложенных показателей эффективности построена модель оценки привлекательности инвестиций в СИБ, выходными показателями которой являются следующие: чистый дисконтированный доход; внутренняя норма доходности; коэффициент чистого дисконтированного дохода и др.
Диссертация: библиография по экономике, кандидат экономических наук , Приступа, Артем Сергеевич, Москва
1. Агеев А.С. "Компьютерные вирусы" и безопасность информации. // Зарубежная радиоэлектроника. - 1989, №12, с.71-73.
2. Алексеев Л.Г., Горбатов B.C. Психофизиологическое тестирование работников служб безопасности. // Безопасность информационных технологий.-1995. №1, с.85-104.
3. Алексеев В.М., Андрианов В.В., Зефиров С.Л., Лупанов И.Ю. Комплекс защиты информации для автоматизированных информационных систем с использованием баз данных. // Безопасность информационных технологий. -1994, №3-4, с. 128-130.
4. Алексенцев А.И. Организация и управление комплексной защитой информации в системе Госкомвуза РФ. // Безопасность информационных технологий. -1994, №3/4, с. 41-43.
5. Андерсон Р. Чтобы системы на смарт-картах были надежными. // Конфидент. -1995. №3, с. 61-68.
6. Андреев Ю.Э., Мамонов Н.Е. Патентная защита в современных условиях. // Конфидент.-1995. №1, с. 3-9.
7. Андреевский Н.А. Проблемы комплексной безопасности компьютерных систем. // Безопасность информационных технологий. -1995, №2, с.59-60.
8. Андреевский Н.А. Подход к построению математической модели системы защиты информации в компьютерной системе. // Безопасность информационных технологий. №2, 1995, с. 16-17.
9. Балыбердин А.Л. Основные положения закона Российской Федерации "О государственной тайне" и их влияние на систему защиты информации. // Безопасность информационных технологий. 1994, № 1, с. 7-10.
10. Ю.Бачкаи Т., Месена Д., Мико Д., Сен Е., Хусти Э. Хозяйственный риск и методы его измерения М.: Экономика, -1979, -184 с.
11. П.Бачило И.Л. Методология решения правовых проблем в области информационной безопасности. // Информатика и вычислительная техника.1994г., №2-3,с. 21-25.
12. Батурин Ю.М., Жиджитский A.M. Компьютерная преступность и компьютерная безопасность. М.: Юридическая литература, 1991 - 162 с.
13. Безопасность компьютерных систем. Сборник публикаций журнала "Защита информации. Конфидент" 1994-1997 г. Части 1,2. СПб.: "Конфидент", 2000.
14. Безруков Н.Н. Компьютерные вирусы. М.: Наука, 1991, -159 с.
15. Безруков Н.Н. Классификация компьютерных вирусов MS-DOS и методы защиты от них. М.: Информэшн Компьютер Энтерпрайз, 1990. - 48с.
16. Безруков Н.Н. Компьютерная вирусология. Киев: УРЕ, 1991. - 416с.
17. Бекин П.Ю., Михальский О.О., Першаков А.С. и др. Программно-аппаратные средства обеспечения информаций безопасности. Защита программ и данных: Учебное пособие для вузов. М.: Радио и связь, 2000 - 168 с.
18. Библиографический указатель статей по защите информации. //Информационные ресурсы России. -1994, № 2, с. 36, № 3, с. 31-32, №5, с. 3435.
19. Бияшев Р.Г., Диев С.И., Размахнин М.К. Основные направления развития и совершенствования криптографического закрытия информации. // Зарубежная радиоэлектроника. -1989, №12, с.76-91.
20. Бияшев Р.Г., Афонская Т.А. Некоторые задачи защиты информации. // Зарубежная радиоэлектроника. 1994, №2-3, с. 42-45.
21. Бурков В.И., Грацианский Е.В., Дзюбко С.И., Щепкин А.В. Модели и механизмы управления безопасностью. Серия "Безопасность". М.: СИНТЕГ, 2001, 160 с.
22. Ватолин В. С., Ляшев С. Г. Защита программных средств от несанкционированного использования.//Зарубежная радиоэлектроника, 1989 г, №12, с. 48-56.
23. Воловик Е.М. Защита данных в распределенных системах. // Мир ПК. 1995г., №10,с. 166-170.
24. Вирковский В.А. Проблемы информационной безопасности Российской Федерации и пути их решения. // Конфидент. 1995, №1, с. 10-16.
25. Гайкович В., Першин А. Безопасность электронных банковских систем. -М.: Изд-во компания "Единая Европа", 1993 г., 363 с.
26. Галатенко В.А. Информационная безопасность. // Открытые системы.-1995, №4, с. 30-37.
27. Гендель Е.Г., Левин М.А. Оптимизация технологии обработки информации в АСУ. М.: Статистика, 1977, 232с.
28. Герасименко В.А. Комплексная защита информации в современных системах обработки данных. // Зарубежная радиоэлектроника.-1993, №2 с. 3538.
29. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: развитие, итоги, перспективы. // Зарубежная радиоэлектроника, 1992 г., №3, с. 3-21.
30. Герасименко В.А. Проблемы защиты данных в системах их обработки. // Зарубежная радиоэлектроника, 1989 г., №12, с. 5-21.
31. Герасименко В.А. Состояние, перспективы и проблемы развития теории защиты информации. // Безопасность информационных технологий. 1994, №3/4, с. 44-63.
32. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. М.:Энергоатомиздат, кн. 1,2, 1994.
33. Герасименко В.А., Размахнин М.К., Родионов В.В. Технические средства защиты информации. // Зарубежная радиоэлектроника, 1989 г., №12,с. 2235.
34. Герасименко В.А., Размахнин М.К. Организация работ по защите информации в системах обработки данных. // Зарубежная радиоэлектроника. Ч 1989,№ 12, с. 110-124.
35. Герасименко В.А., Скворцов А.А., Харитонов И.Е. Новые направления применения криптографических методов защиты информации. // Зарубежная радиоэлектроника.-1989, №12, с. 92-101.
36. Глазунов Л.П., Грабовецкий В.П., Щербаков О.В. Основы теории надежности автоматических систем управления. -Д.: Энергоатомиздат, Ленингр. отд-ние, 1984, 208 с.
37. Голубков А.С. Об основах федеральной и региональной политики России в сфере информационной безопасности. II Информатика и вычислительная техника. 1994 г., №2-3, с. 6-10.
38. Горбатов B.C., Кондратьева Т.А. Защита информации и право собственности. Экономические аспекты. // Безопасность информационных технологий, 1995, №3. с. 59-64.
39. ГОСТ 28195-89 Оценка качества программных средств. Общие положения.
40. Гостехкомиссия России. Руководящий документ. Концепция защиты СВТ и АС от НСД к информации. Москва, 1992.
41. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. Москва, 1992.
42. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования к защите информации. -Москва, 1992.
43. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Москва, 1992.
44. Гришина Н.В., Партыка Г.Л. Постобработка данных регистрации как стратегическая мера защиты информации АСОД. // Безопасность информационных технологий. 1995, №1, с. 65-69.
45. Гроувер Д., Сатер Р., Фипс Дж. И др. Защита программного обеспечения. Под ред. В.Г. Потемкина.- М.: Мир, 1992г., 286 с.
46. Груздев С. 16 вариантов русской защиты. //КомпьютерПресс, 1992 г., №10, с. 23-34.
47. Давыдовский А.И. Методология построения безопасных процессов обработки информации. // Безопасность информационных технологий. 1994, №1, с. 63-65.
48. Давыдовский А.И., Дорошкевич П.В. Защита информации в вычислительных сетях. // Зарубежная радиоэлектроника. 1989, №12, с. 60-70.
49. Девянин П.Н., Михальский О.О., Правиков Д.И. и др. Теоретические основы компьютерной безопасности: Учеб. пособие для вузов. М.: Радио и связь, 2000.- 192 е.: ил.
50. Диев С.И. Защита информации в персональных компьютерах // Зарубежная радиоэлектроника, 1989 г., №12, с. 57-59.
51. Дилон Б., Сингх Ч. Инженерные методы обеспечения надежности систем.- М.: Мир, 1984. 318 с.
52. Днепровский А.Г. Правовые проблемы нового международного информационного порядка.- М.: Наука ,1989 142 с.
53. Домрачев А.А. Общие проблемы информационной безопасности и программа создания ИТКС. // Конфидент. 1995, №3, с. 3-6.
54. Дорошкевич П.В., Медников В.Н. Криптография в вашем компьютере. //Мир ПК№6,1991, 7 с.
55. Дружинин В.В., Конторов Д.С., Конторов М.Д. Введение в теорию конфликта. М.: Радио и связь, 1989. - 288 с.
56. Дэвид Стинг, Сильвия Мур. Секреты безопасности сетей., К.: "Диалектика", 1995 544 с.
57. Еремин В.М., Приступа А.С. Классификация угроз безопасности экономических информационных систем. / МАДИ (ГТУ). М., 2002 - 19 с. Деп. в ВИНИТИ 28.10.2002, №1846-В2002.
58. Ермоленко А.Ю., Зегжда П.Д., Матвеев В.А., Шмаков Э.М. Принципы построения систем обеспечения безопасности информационных технологий.
59. Безопасность информационных технологий. 1995, №2, с. 13-14.
60. Жаринов В.Ф., Киреев A.M., Синелев Д.В., Хмелев JI.C. К вопросу об использовании электронных идентификаторов Touch Memory в системах защиты конфиденциальной информации. // Конфидент. 1995. №3, с. 26-31.
61. Жельников В. Криптография от папируса до компьютера. Ч М., ABF, 1996, ил, 336с.62.3акон Российской Федерации "О коммерческой тайне" (проект) // Информатика и вычислительная техника. 1994, №2-3, с. 105-108.
62. Иванов И.Г., Попов В.И. Рабочее место администратора безопасности сети "Dallas Lock 3.1 for NetWare" // Конфидент. 1995, №2, с. 33-44.
63. Карпов А. Г. Нормативно-правовое обеспечение защиты информации. // Информатика и вычислительная техника. 1994 г., №2-3, с. 25-30.
64. Касперский Е. "Дыры" в MS-DOS и программы защиты информации.//КомпьютерПресс, 1991, №10.
65. Кедровская JL, Ярочкин В. Коммерческая тайна в условиях рыночной экономики. // Информационные ресурсы России. 1992, №5-6, с. 11-15.
66. Киселев А.Е., Чаплыгин В.М., Шейкин М.С. Коммерческая безопасность. М.: ИнфоАрт, 1993, с. 3.
67. Козьминых С.И., Десятов Д.Б., Забияко С.В. Основы проектирования систем безопасности предпринимательской деятельности. // Оборудование, системы, технологии. 2001, №6, с.84-85.
68. Копылов В.А. Вопросы информационного законодательства. //НТИ.
69. Сер. 2. Информационные процессы и системы. 1995, №6, с. 1-13.
70. Королев В.И., Морозова Е.В. Методы оценки качества защиты информации при ее автоматизированной обработке. // Безопасность информационных технологий. 1995, №2, с. 79-87.
71. Королев В.И., Филипповский В.В. Инновационный проект комплексной защиты информационных технологий и информатизация служб безопасности. // Безопасность информационных технологий. 1995, №3, с. 98-105.
72. Костогрызов А.И., Щацирули В.Ш. Методы оценки эффективности антивирусной профилактики в автоматизированной системе. // Информатика и вычислительная техника. 1994 , № 2-3, с. 57-59.
73. Криптография. Сборник публикаций журнала "Защита информации. Конфидент" 1994-2000 г., Санкт-Петербург, 2001.
74. Куранов А.И. Безопасность. // Системы безопасности. 1995. №4, с. 38-41.
75. Курило А.П. Формирование законодательства РФ по проблемам информационной безопасности. // Безопасность информационных технологий.1994, №1, с. 10-13.
76. Курило А. П. О проблеме компьютерной преступности. // НТИ. Серия 2. Организация и методика информационной работы.- 1993 , №8. с. 6-9.
77. Ларичев В.Д., Пешков А.И., Чеботарев А.Н. Некоторые социологические аспекты преступности в кредитно-денежной сфере. // Деньги и кредит.1995, №3, с. 55-61.
78. Левин Е.М. Touch Memory для защиты информации? Да! // Конфидент. 1995, №3, с. 31-33.
79. Левкин В.В., Малюк А.А., Петров В.А., Прелов А.В. Проблемы автоматизированной разработки технического задания на проектирование системы защиты информации. // Безопасность информационных технологий. 1994, №1, с. 40-44.
80. Липаев В.В. Надежность программного обеспечения (обзор концепций). // Автоматика и телемеханика, 1986, №10, с. 5-31.
81. Липаев В.В. Стандартизация сертификации информационных технологий и программных средств за рубежом (обзор). // НТИ, Серия 2.1994, №1,с. 14-21.
82. Логинов АЛ., Ехимов Н.С. Общие принципы функционирования международных электронных платежных систем и осуществление мер безопасности при защите от злоупотребления и мошеничества. //Конфидент. 1995, №2, с. 48-54.
83. Лонгботтом Р. Надежность вычислительных систем: пер. с англ. -М.: Энергоатомиздат, 1985 -288с.
84. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информации в автоматизированных системах. Уч. Пособие. М.: Горячая линия-Телеком, 2001. - 148 е.: ил.
85. Максименко С.В. Технологическая модель обеспечения достоверности данных информационных технологий. // Безопасность информационных технологий. 1995, №2, с. 14-15.
86. Марков А.А. Введение в теорию кодирования. -М.: Наука, 1982.192с.
87. Мафтик С. Механизмы защиты в сетях ЭВМ. М.: Мир, 1993. - 216с.
88. Матвеев В.А., Молотков С.В. Специфика обеспечения безопасности информационных технологий. // Безопасность информационных технологий.1995, №1, с. 43-50.
89. Мецатунян М.В. Некоторые вопросы проектирования комплексных систем защиты информации. // Безопасность информационных технологий. -1995, №1,с. 53-54.
90. Михайлов А.Г. Пластиковые карты с магнитной полосой и защита систем электронных платежей. // Конфидент. 1995. №2, с. 43-47.
91. Моисеенков И.Э. Суета вокруг Роберта или Моррис-сын и все, все, все.// КомпьютерПресс, 1991, №8, с.45-62, №9, с. 7-20.
92. Моисеенков И.Э. Основы безопасности компьютерных систем // КомпьютерПресс, 1991, №10, с. 19-24, №11, с. 7-21, №12, с. 57-67.
93. Модовян А.А. Некоторые вопросы защиты программной среды ПЭВМ. // Безопасность информационных технологий. 1995, №2, с. 22-28.
94. Недков С. Программи за проникване в изчислительните системи. // Автоматика изчислительна техника автоматизировани системи. 1989, №3.
95. Никифоров И. Компьютерные преступления. Уголовные меры борьбы с компьютерной преступностью. // Конфидент. -1995, №3, с. 17-24.
96. Осипов В.Ю. Оценка ущерба от несанкционированного доступа к электронно-вычислительной системе. // Безопасности информационных технологий. 1995, №2, с. 17-19.
97. Охрименко С.А. Защита от компьютерных вирусов. Кишинев "Штиинца", 1991, 101 с.
98. Охрименко С.А., Черней Г.А. Программный продукт оценки размещения и эффективности системы информационной безопасности компьютерных систем Кишинев: ВНИИТИ, - 1995, 3 с.
99. Охрименко С., Черней Г., Фотенко В., Руссу В. Система банковской безопасности. -Банковско-финансовый центр Республики Модова, 1996, -79 с.
100. Першин А. Организация защиты вычислительных систем. // КомпьютерПресс. 1992, № 10, с. 35-50, № 11, с. 33-38.
101. Петров В.А., Пискарев А.С., Шеин А.В. Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах. М.: МИФИ, 1995. 48 с.
102. Поволоцкий A.M. Физические методы защиты информации. // Информатика и вычислительная техника. 1991, №2, с. 44-55.
103. Пономарев В.П., Корнменко А.А., Максимов Ю.Н., Платонов В.В. Организационно-технические аспекты обеспечения безопасности информации в ходе информатизации. Санкт-Петербург. // Информатика и вычислительная техника. 1994, №2-3, с. 46-49.
104. Постановление Правительства Российской Федерации от 26 июня 1995г. № 608 "О сертификации средств защиты информации". //Конфидент. -1995, №3, с. 12-16.
105. Преснухин В.В., Пискова Г.К. Некоторые аспекты моделирования воспроизведения компьютерного вируса и совершенствования программных средств защиты. // Информатика и вычислительная техника. 1991, №4, с. 5258.
106. Приступа А.С. Анализ подходов к построению системы информационной безопасности экономических информационных систем. // Вестник Академии промышленности и менеджмента: Выпуск 4 / Под ред. С.В. Смирнова. М.: МГИУ, 2004, с. 152-158.
107. Приходько А.Я. Информационная безопасность в событиях и фактах. Серия "Информационная безопасность". М.: СИНТЕГ, 2001, 260 с.
108. Проблемы управления безопасностью сложных систем: труды X международной конференции. Москва, декабрь 2002 г./ Под редакцией Н.И. Архиповой и В.В. Кульбы. Части 1,2. М.: РГГУ - Издательский дом МПА-Пресс, 613 с.
109. Проскурин В.Г., Крутов С.В., Мацкевич И.В. М.: Радио и связь, 2000-168 с.
110. Ракитянский Н. Информационная безопасность предприятия. // Информационные ресурсы России. 1992, №2, с. 5.
111. Расторгуев С.П. Программные методы защиты информации в компьютерах и сетях. -М.: Изд-во агенства "Яхтсмен", 1993. 187 с.
112. Расторгуев С.П., Дмитревский Н.Н. Искусство защиты и раздевания программ. М.: Совмаркет, 1991, 94 с.
113. Расторгуев С. Купить или украсть? Оценка защиты. // КомпьютерПресс, 1992, №8, с. 21-24.
114. Расторгуев С.П. Исследование систем защиты информации. // НТИ.
115. Сер. 2. Информационные процессы и системы, 1993, №12, с. 10-15.
116. Рубанов В. Проблемные вопросы обеспечения информационной безопасности России. // Информатика и вычислительная техника. 1994, №2-3, с. 3-5.
117. Руководство по оценке эффективности инвестиций: Пер. с англ. пе-рераб. и допон. изд-е. М.: АОЗТ "Интерэксперт", "ИНФРА-М", 1995. - 528 с.
118. Самоукина Н.В. Анализ социально-психологических проблем банковских служащих. // Деньги и кредит. -1995. №2, с. 70-72.
119. Сертификация продукции. Основные положения. Нормативы. Организация. Методика и практика. Часть 1 -М.: Изд-во стандартов, 1993 .-213 с.
120. Симонов С.В. Методология анализа рисков в информационных системах. // Защита информации. Конфидент 2001, №1, с.72-73.
121. Скородумов Б.И. Информационная безопасность. Обеспечение безопасности информации электронных банков. М.:МИФИ, 1995, -104с.
122. Спесивцев А.В., Вегнер В.А., Крутяков А.Ю., Серегин В.В., Сидоров В.А. Защита информации в персональных ЭВМ М.: Радио и связь, "Веста", 1992, 191 с.
123. Стрельченко Ю.А. Некоторые вопросы обеспечения информационный безопасности банков. // Банковское дело, 1995 г., №4.
124. Сюнтюренко О.В. Формирование норм защищенности на основе модели идеальной защиты. // Зарубежная радиоэлектроника. 1993, №7-9, с. 9296.
125. Сюнтюренко О.В., Клочков Ю.М. Проблемы правового обеспечения защиты информации и компьютерной безопасности. // НТИ. Серия 1. Организация и методика информационной работы. 1993, №8, с. 9-12.
126. Сюнтюренко В.О., Гришина Н.В. Постобработка регистрационных данных в структуре защиты информации.
127. Сяо Д., Керр Д., Мэдник С. Защита ЭВМ. М.: Мир, 1982. - 263 с.
128. Тепляев А.В. Механизм обеспечения безопасности в Огас1е7. // Конфидент. 1995, №2, с. 27-35.
129. Тостой А.И. Технические средства систем защиты современных объектов. // Безопасность информационных технологий. №3, 1995, с. 64-71.
130. Уокер Б.Дж., Блейк Я.Ф. Безопасность ЭВМ и организация их защиты. М.: Связь, 1980. - 112 с.
131. Ухлинов Л.М., Казарин О.В. Методология защиты информации в условиях конверсии военного производства. // Вестник Российского общества информатики и вычислительной техники. 1994, №1-2, с. 54-60.
132. Федеральный закон об информации, информатизации и защите информации. 25 января 1995 года. // Вестник Российского обзества информатики и вычислительной техники. -1995. №1-3, с. 68-82.
133. Фигурнов В.Э. IBM PC для пользователя. М.: Финансы и статистика, 1990, 240 с.
134. Фишер С. и др. Экономика. Пер.с .англ. М.: "Демо ТД", - 1994,864 с.
135. Флорен М.В. Проблемы автоматизации управления доступом в помещения. Методы решений. Использование новых электронных технологий. // Конфидент.-1994. №1, с. 84-89.
136. Хорошилов А.В., Черней Г.А. Безопасность автоматизированных информационных систем. // Тезисы докладов на научно-практической конференции. Кишинев, 24-25 октября 1995, с. 38-40.
137. Хоффман Л. Современные методы защиты информации. М.: Советское радио, 1980.-264 с.
138. Черней Г. А. Программа защиты информации от несанкционированного доступа. МодВНИИТИ, 1993, 5 с.
139. Шеин А.В. Защита информации от НСД в АС. // Безопасность информационных технологий, 1994, №1, с. 66.
140. Шураков В.В. Обеспечение сохранности информации в системах обработки данных. М.: Финансы и статистика, 1985 - 224 с.
141. Щербаков А. Разрушающие программные воздействия. М.: Изд-во Эдель, 1993 г. 64 с.
142. Щербаков А. Защита от копирования. Построение программных средств. М.: Изд-во Эдель, 1992, 80 с.
143. Щербаков А.Ю. Нетрадиционные методы проникновения к информации в компьютерных системах. // Информатика и вычислительная техника. -1994, №2-3, с. 49-56.
144. Эшби У.Р. Введение в кибернетику. -М.:1959.
145. Ярочкин В.И. Как совершаются преступления. // Системы безопасности. 1995, №5, с. 42-43.
146. Ярочкин В.И. Информационная безопасность. Учебное пособие для студентов непрофильных вузов. М.: Международные отношения, 2000. Ч 400 с.
147. Alchian A.A., Demsetz Н. Production: information costs and economic organization. // Economic Review. 1972, N12. p. 777-795.
148. Baker R.H. Computer Security Handbook. Blue Ridge Summit (Pensyl-vania): TAB Professional Reference Books, 1991.
149. Barker L.K., Nelson L.D. Security standart government and commercial. II AT&T Technical Journal. - 1988, vol.67, N3,p. 9-18.
150. Coase R.H. The nature of the firm. // Economica 4. 1937 p. 386-405.
151. Cooper J.A. Computer and Communications Security. Strategies for the 1990 s Intertext Publications McGrowHill Book Company, 1989.
152. Daly J. Virus vagaries foil feuds. // Computerworld. -1993, vol.27, №28, p. 1,15.
153. Diffe W., Hellman M.E. New directions in cryptography, IEE Trans. Informal Theory, 1976, VolIT-22, p. 644-654.
154. Downs D.P., Rub J.R. Issues in Discretionary Access Control. Proc. Of the 1985 IEEE Symp. On Security and Privacy, p. 208-218.
155. Feseability Study and financial appraisal. UNIDO, 1991, 386 p.159. 143. Goguen J.A., Meseguer J. Security Policies and Security Models. Proc. Of the 1982 IEEE Symp. On Security and Privacy., p. 11-20.
156. Gurbaxani V., Whang S. The impact of information systems on organization and markets. // Communication of the ACM. N1, 1994. p. 59-73.
157. Hartson H.K., Hsiao D.K. Full Protection Specification in the Semantic Model for Data Bases Protection Laguages. Proceeding of ASM Annual Conference, October 1976, Houston, Texas.
158. Heime M., Jack C., Shulman A. Planning for new services in the local loop. // Teletraffic Science in new cost-eff. systems, networks and services. Amsterdam: 1989, p. 461-472
159. Hinde S. Computer security and control principles. // Computer-Audit Update.-1993 (September), p. 11-12.
160. Holbrook P., Reynolds J. Site Security Handbook. CICNet&ISI - 1991,101 p.
161. Hrushka J. Jackson K. Computer security solutions. Boca Ratou (Ohio): CRC Press, 1990.
162. Jensec M.C., Meckling W.H. Theory of the firm: managerial behavior, agency costs and ownership structure. // Journal of Finance and Economy. 1973, №10, p 94-101.
163. Jensen M.C. Lectures on organization theory. William E.Simon Graduate School of Business Administration. University of Rochester, 1985.
164. Kephart J.O., White S.R. Measuring and modeling computer virus prevalence. //Research in security and privacy. IEEE Computer Society Symposium. -1993, p. 2-15.
165. Martin J. Security, Accuracy and Computer Systems, Prentice-Hall Inc. Englewood Cliffs, New Jersey, 1973.
166. McAfee J. The virus cure // Datamation, 1989, Vol.35, №4.
167. Millen J.K. Covert Chanal Capacity. Proc. Of the 1987 IEEE Sympo-sion on Security & Privacy, p. 57-65.
168. Proc. Of the 1980-1990 IEEE Symposium on Security & Privacy.
169. Rainbow Series. Dod Trusted Computer Systems Evaluation Criteria /Dod 5200.28 STD Orange Book/.
170. Rainbow Series. Industrial Security Manual For Safeguarding Classified1.formation /Dod 5220.22-M Yellow Book/.
171. Rainbow Series. A Guide To Understanding Discretionary Access Control In Trusted Systems /NCSC TG - 003: Version 1 - Orange Book/.
172. Rainbow Series. Computer Security Subsystem Interpretation Of The Trusted Computer System Evaluation Criteria /NCSC TG - 009 - Vehice Blue Book/.
173. Rainbow Series. A guide to understanding identification and authentifi-cation in trusted systems /NCSC TG017/.
174. Romanu I., Vasilescu I. Eficienta economica a investitiilor si a capitalu-lui fix. Editura Didactica si Pedagogica, R.A. Bucuresti, 1993.
175. Stas M. Principles and architecture of a dedicateed systems for software reliability measuremene and prediction using trend analisys. // Software engineering and applicatios. ASE: Bucharest, 1995, p. 122-125.
176. Styblinski M.A. Formulation of the drift reliability optimization problem.//Microelectronic Reliab.- 1991, vol. 31, № l,p. 159-171.
177. Verdes N., Ohrimenco S., Paramonov D., Cernei Gh. Abuzuri pro-gramate // Ciber.№l-2, 1993, p. 22-23.
178. Wolfe A.B. Computer Security: For Fun and Profit. // Computer & Security.-1995, №14, p. 113-115.
179. Анализ инвестиционной привлекательности проектов системы информационной безопасности
180. Анализ инвестиционных проектов СИБ
Похожие диссертации
- Социальный капитал как фактор повышения эффективности управленческой деятельности
- Формирование финансовых отношений предприятий в системе электроэнергетики Российской Федерации
- Формирование информации о затратах на производство и калькулирование себестоимости продукции хлебопечения в системе управленческого учета
- Методы сравнительного анализа программных средств реализации инфраструктуры открытых ключей в экономических информационных системах
- Экономические информационные системы органов Федерального казначейства: анализ и моделирование бизнес-процессов