Темы диссертаций по экономике » Математические и инструментальные методы экономики

Система поддержки принятия управленческих решений при выборе вариантов информационной безопасности тема диссертации по экономике, полный текст автореферата

Автореферат

Ученая степень	кандидат экономических наук
Автор	Рагозин, Юрий Николаевич
Место защиты	Москва
Год	2011
Шифр ВАК РФ	08.00.13

Диссертация

Автореферат диссертации по теме "Система поддержки принятия управленческих решений при выборе вариантов информационной безопасности"

Министерство образования и науки Российской Федерации Государственное образовательное учреждение высшего профессионального образования Московский государственный индустриальный университет

(ГОУ МГИУ)

На правах рукописи

Рагозин Юрий Николаевич

СИСТЕМА ПОДДЕРЖКИ ПРИНЯТИЯ УПРАВЛЕНЧЕСКИХ РЕШЕНИЙ ПРИ ВЫБОРЕ ВАРИАНТОВ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ

Специальность 08.00.13 - "Математические и инструментальные методы

экономики"

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата экономических наук

Москва-2011

7 ДПР 2011

4842010

Диссертационная работа выпонена в

Московском государственном индустриальном университете (МГИУ)

Научный руководитель кандидат технических наук, доцент

Еремин Валерий Михайлович

Официальные оппоненты: доктор технических наук, профессор

Широков Лев Алексеевич

доктор экономических наук, профессор Мирошниченко Ольга Федоровна

Ведущая организация ООО Научно-испытательный институт

систем обеспечения комплексной безопасности (НИИ СОКБ)

Защита состоится 21 апреля в_ часов на заседании Диссертационного совета в Московском государственном индустриальном университете по адресу: 109280, г. Москва, ул. Автозаводская, д. 16.

С диссертацией можно ознакомиться в библиотеке Московского государственного индустриального университета.

Автореферат разослан "_"_2011 г.

Ученый секретарь диссертационного совета кандидат экономических наук, доцент

Сальникова Т.С.

ОБЩАЯ ХАРАКТЕРИСТИКА ИССЛЕДОВАНИЯ

Актуальность исследования. В современных условиях на динамично развивающихся предприятиях стремительно растет объем конфиденциальных баз данных и количество пользователей, подключаемых к корпоративной локальной вычислительной сети (ВС) и ее базам данных, что делает проблему защиты информационных ресурсов еще более актуальной, особенно, при организации корпоративной ВС с использованием Интернет.

При выборе варианта системы информационной безопасности (СИБ) лица, принимающие решения (ПР), вынуждены учитывать множество противоречивых критериев (безопасности, экономических, социальных) в условиях ограниченности ресурсов, удовлетворить которым одновременно невозможно. Поскольку в большинстве случаев разные люди, влияющие на принятие решения, по-разному оценивают возможность и необходимость учета различных факторов и их веса, сформировать единую целевую функцию для оценки принимаемых решений принципиально невозможно. Поэтому классические оптимизационные методы, чаще всего применявшиеся при оценке вариантов СИБ, в современных экономических условиях не работают. На их место постепенно приходят многокритериальные методы оценки. При переходе к многокритериальному оцениванию встает проблема согласования решений - проведения переговоров между заинтересованными лицами, интересы которых в большинстве случаев не совпадают, по выбору компромиссного решения. Как показал предварительный анализ, в области обеспечения информационной безопасности для ряда отраслей народного хозяйства данные проблемы стоят достаточно остро. Поэтому задача выбора варианта СИБ путем согласования несовпадающих интересов является важной народнохозяйственной задачей, и возникает необходимость в выработке концепции и методики ее решения.

Цели и задачи исследования. Целью диссертационной работы является разработка концепции и методики выбора варианта СИБ корпоративной сети путем согласования несовпадающих экономических интересов в системе поддержки принятия решений и разработанной в виде инструментального средства.

Цель диссертационной работы предопределила постановку и решение следующих задач:

Х анализ основных направлений развития СИБ корпоративных сетей, методов их оценки, экономического обоснования и выбора управленческих решений по их использованию на современном этапе;

Х анализ основных критериев выбора вариантов СИБ;

Х разработка концепции выбора вариантов СИБ путем согласования несовпадающих интересов (технических, экономических, технологических);

Х реализация разработанной концепции в виде автоматизированной подсистемы в системе поддержки принятия решений;

Х разработка методики выбора вариантов СИБ путем согласования несовпадающих интересов;

Х апробация разработанной концепции и методики на ряде конкретных задач;

Х анализ эффективности предложенных процедур выбора вариантов СИБ путем согласования несовпадающих интересов.

Объектом исследования являются процессы принятия управленческих решений по выбору вариантов системы информационной безопасности локальных вычислительных сетей коммерческих структур.

Предметом исследования являются процессы согласования несовпадающих интересов по выбору вариантов системы информационной безопасности локальных вычислительных сетей коммерческих структур.

Теоретической и методологической базой исследования явились работы ведущих отечественных и зарубежных специалистов в области

анализа СИБ корпоративных вычислительных сетей, поддержки принятия управленческих решений в условиях многокритериальноеЩ. Научно-методический инструментарий диссертационного исследования включает системный подход, методы многокритериальной оптимизации с учетом экономических критериев, методы компьютерной визуализации данных и проведения многовариантных расчетов.

Научная новизна диссертации заключается в следующем:

Х разработана концепция выбора вариантов СПБ корпоративных вычислительных сетей путем согласования несовпадающих экономических интересов в случае наличия многих критериев оценки;

Х разработана информационная модель согласования несовпадающих интересов в случае наличия многих критериев оценки, включая экономические критерии;

Х разработаны методики выбора вариантов СИБ путем согласования несовпадающих и/или антагонистических интересов ПР;

Х разработаны процедуры, обеспечивающие на каждом шаге согласования фиксацию границы варьирования экономических критериев в пространстве решений.

Практическая значимость результатов диссертационного исследования заключается в их направленности на решение конкретных задач по согласованию несовпадающих интересов, возникающих при выборе вариантов СИБ корпоративных вычислительных сетей. Разработанная в ходе исследования подсистема в системе поддержки принятия решений (СППР) для согласования несовпадающих интересов и методики ее применения использованы в практике управления Открытого Акционерного общества Центральный телеграф, г. Москва. Применение указанной подсистемы позволило повысить качество и обоснованность принятых решений, а также значительно сократить время и затраты на принятие решения. Материалы диссертации используются также в учебном процессе на факультете экономики, менеджмента и информационных технологий Московского

государственного индустриального университета при подготовке студентов по специальности Организация и технология защиты информации. Данная диссертационная работа выпонялась в рамках аналитической ведомственной целевой программы: Развитие научного потенциала высшей школы (2006-2008).

Апробация работы. Идеи и результаты выпоненного исследования докладывались и обсуждались на Шестом всероссийском симпозиуме Стратегическое планирование и развитие предприятий (Москва, 12-13 апреля 2005г.), на Международной научной конференции Проблемы регионального и муниципального управления (Москва, 5 мая 2005 г.) и на семинаре научного симпозиума Неделя горняка 2010 (МГТУ 26-29 января 2010 г.). Имеются акты о внедрении результатов диссертационного исследования в ОАО Центральный телеграф (АКТ от 15 мая 2007 г. ОАО Центральный телеграф) и о внедрении в учебный процесс в Московском государственном индустриальном университете (Акты от 23.03.10г. и 05.03.10г.). Получены авторское свидетельство о регистрации электронного ресурса, отвечающего требованиям новизны и приоритетности: Выбор компромиссного варианта системы информационной безопасности локальных вычислительных сетей (свидетельство № 15568 от 05.04.2010 г. ИНИМ РАО ОФЭРНиО, инв. номер ВНТИЦ № 50201000500) и свидетельство о государственной регистрации программ для ЭВМ № 2010614156 от 25.06.2010 г. Удаленный электронный научно-образовательный комплекс по направлению Информационная безопасность.

Публикации. Основное содержание диссертации отражено в одиннадцати публикациях общим объемом 7,3 п.л. (в том числе без соавторов Ч 4,9 п.л.). В их числе две публикации в материалах российской и международной научных конференций и три публикации в ведущих рецензируемых научных журналах и изданиях, рекомендуемых ВАК.

Структура работы. Диссертация состоит из введения, трех глав основного текста, заключения, библиографического списка (106 наименований) и четырех приложений. Основной текст диссертации содержит 92 машинописных страниц, 37 рисунков и 3 таблицы.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ Во введении обосновывается актуальность выбранной темы исследования, определяется цель работы и содержание поставленных задач, формулируются объект и предмет исследования, указываются методы исследования, а также излагается структура диссертации.

В первой главе Задача поддержки принятия экономических решений при выборе вариантов системы информационной безопасности коммерческих структур приведены основные цели, этапы и методы разработки СИБ ВС, проанализированы текущие подходы оценки безопасности информационных систем, их преимущества и недостатки. Раскрыты факторы, оказывающие определяющее влияние на процесс поддержки принятия решений с помощью СППР.

В недавнем прошлом оценка систем информационной безопасности проводилась с точки зрения народнохозяйственного подхода, то есть интересов общества в целом. Жесткая система планирования сверху, стопроцентное бюджетное финансирование, поное отсутствие рыночных отношений, в том числе нормальной конкурентной среды, информационная закрытость общества приводили к тому, что многие факторы влияния внешней среды были исключены из рассмотрения, а все учитываемые факторы (в том числе и неэкономические) сводились к денежному выражению.

В настоящее время рыночные отношения, открытость общества, многократно возросшие информационные потоки требуют новых подходов к оценке систем информационной безопасности, которые учитывали бы все многообразие влияющих факторов. Отметим такие из них, как состояние экономики в соответствующих отраслях, правовое регулирование,

политические процессы, социальная и культурная составляющие общества, ресурсы, технологии, конкуренты, рынок соответствующих разработок и услуг. Например, при принятии решения о внедрении информационных технологий на предприятии необходимо учесть не только ожидаемую прибыль и необходимые капиталовложения, но и действия конкурентов, в том числе по доступу к конфиденциальной информации для ее последующего использования в конкурентной борьбе, что неизбежно влечет за собой допонительные расходы на создание, эксплуатацию и развитие систем информационной безопасности. При выборе варианта системы информационной безопасности данное обстоятельство влияет на количество, состав выбираемых критериев оценки, на веса критериев и динамику их изменения.

При практическом выпонении работ по реорганизации (проектированию) системы информационной безопасности часто принимается следующая модель построения СИБ (Рис.1):

В общем случае текущие подходы оценки безопасности информационных систем базируются на анализе рисков, опираются на использование стандартов информационной безопасности, либо объединяют оба эти подхода.

Поддержка принятия решений состоит в помощи ПР в процессе принятия решения о выборе СИБ и включает в себя:

- помощь ПР при анализе объективной составляющей, т.е. в понимании и оценке сложившейся ситуации и ограничений, накладываемых внешней средой,

- генерацию возможных решений, т.е. формирование списка альтернатив,

- оценку возможных альтернатив,

- анализ последствий принимаемых решений с учетом экономических последствий для предприятия (организации),

- согласование решений и выбор компромиссного варианта.

Модель нарушителя (1)

Угрозы безопасности (2)

Уязвимости СИ Б (3)

Информационные ресурсы

Ценность ресурсов (5)

Формирование профиля защиты ВС

РИСКИ (7)

Выводы о приемлемости

рисков

(1) разрабатывается при участии подразделения по защите информации или службы безопасности предприятия

(2) полный перечень угроз безопасности информации для конкретной ВС

(3) полный перечень уязвимостей СИБ, через которые потенциально возможна реализация угроз БИ

(4) вероятности реализации угроз через существующие уязвимости

(5) непосредственно влияет на уровень возможного ущерба

(6) уровни ущерба (материальных потерь) при реализации угроз

(7) оценка рисков в информационной системе

(8) итоговая оценка риска в информационной системе и принятие решения о допонительных мерах безопасности

Рис. 1. Модель построения СИБ

СППР - это компьютерная система, позволяющая ПР сочетать собственные субъективные предпочтения с компьютерным анализом ситуации при выработке рекомендаций в процессе принятия решения.

При переходе от индустриальной экономики к информационной, информация, как экономический ресурс, приобретает все большее значение. Так, с точки зрения информационно-системного подхода, изменение роли

информации в экономической системе ведет к изменению самой этой системы, при этом изменения направлены на повышение использования информации как экономического ресурса, что позволяет повысить эффективность управленческого труда. Применение СППР позволяет максимально эффективно использовать всю имеющуюся информацию и, в сочетании новых информационных возможностей с предпочтениями и опытом ПР, дает возможность перейти на новую ступень производительности управленческого труда.

Вопросами разработки СППР описанного типа в нашей стране занимались Ларичев О.И., Трахтенгерц Э.А., Петровский A.B., Еремин В.М., Шухман Г.А., Романец Ю.В., Тимофеев П.Н., Трубачев А.П., Черников В.В., Шаньгин В.Ф., а за рубежом Balenson D., Barker Е, Carlson Е. D., Druzdzel М. J., Flynn R. R., M. Haykin, Holsapple C.W., Marakas G. M. , Power D. J., Sprague R. H., Turban E., Whinston A.B. и др.

В настоящее время только автоматизированные системы поддержки принятия решений способны обеспечить сравнение и анализ большого количества вариантов СИБ ВС, каждый из которых оценивается по многим критериям. Поэтому разрабатываемая концепция выбора варианта СИБ ВС путем согласования несовпадающих интересов дожна быть реализована в виде подсистемы в системе поддержки принятия решений.

Разработка такой СППР особенно актуальна для промышленных коммерческих структур при их оснащении корпоративными ВС с желаемым (приемлемым) уровнем информационной безопасности, в то время, как государственные предприятия (организации) обязаны обеспечить соответствующий уровень безопасности информационной системы, определенный действующими нормативно-методическими документами Российской Федерации. Необходимость создания такой системы и предопределила выбор темы диссертации, цели и задачи исследования.

Во второй главе Разработка концепции и инструментального средства для выбора вариантов системы информационной безопасности

коммерческих структур путем согласования несовпадающих интересов рассмотрены основные критерии, применяющиеся при выборе вариантов СИБ ВС, и предложена концепция согласования несовпадающих интересов, реализованная в виде прикладной программы, которая поддерживает проведение переговоров между заинтересованными лицами по выбору вариантов СИБ.

Суть концепции заключается в следующем. Каждый возможный вариант СИБ характеризуется вектором критериев, компоненты которого принимают конкретные значения, например:

- экономические критерии (затраты на приобретение и эксплуатацию в денежном выражении),

- критерии риска (в балах),

- критерии доверия к безопасности объекта оценки (в балах).

Ниже в таблице 1 представлен набор наиболее часто применяемых критериев и шкалы их измерения.

Как правило, используемые критерии включены в различные нормативные документы, но к ним можно добавить допонительные критерии по тем или иным соображениям.

Таким образом, каждому варианту СИБ ВС в пространстве критериев соответствует некоторая конкретная точка, а множеству всех возможных проектов соответствует некоторая область в пространстве критериев. Часто такую область в пространстве критериев можно изобразить на экране компьютера в удобном и поддающемся несложной интерпретации виде. Лицам с несовпадающими взглядами на проблему, но имеющими влияние на принятие окончательного решения, предлагается в процессе дискуссии выбрать ту точку в указанной области пространства критериев, которая до некоторой степени устраивает всех. Вариант СИБ, соответствующий данной точке, как раз и будет тем компромиссным решением, которое устраивает всех. Роль СППР при этом состоит в представлении информации в наглядном графическом виде, предоставлении

ПР аналитических возможностей для исследования множества предложенных вариантов и поддержке ведения переговоров по выбору компромиссного варианта решения.

СИБ Обеспечение конфиденциальности, целостности и доступности

к информации авторизованных пользователей

Наименование критериев

К1 К2 КЗ К 4 К5 Кб К7

Номер варианта СИБ Остаточный риск реализации угроз целостности информации (балы) (Риск 1) Суммарные затраты на нейтрализацию угроз I (У-е ) Остаточный риск реализации угроз конфиденциальности информации (балы) (Риск 2) Суммарные затраты на нейтрализацию угроз 2(у.е.) Остаточный риск реализации угроз доступности информации (балы) (Риск 3) Суммарные затраты на нейтрализацию угроз 3 (у. е.) Оценочный уровень доверия к СИБ (бал)

1

- - - - - - - -

т

Подобные методы выбора компромиссного решения существуют для случая, когда множество критериальных оценок континуально (метод достижимых целей). Однако, ряд критериев (капитальные и эксплуатационные затраты, параметры рисков и др.) существенным образом зависит от параметров систем защиты и/или управления, значения которых принадлежат конечным множествам. Поэтому значения критериев и, как следствие, множества критериальных оценок оказываются дискретными. В этом случае необходимо разработать новые методы построения СППР и поиска компромиссного решения. Разработанная в результате СППР, получила название Выбор компромиссного решения - системы информационной безопасности ВС (ВКР-СИБ ВС) (рис.2).

Рис. 2. Структурная схема автоматизированной системы выбора компромиссного решения

Исходной информацией для такой концепции служат модели отображения множества всех возможных вариантов СИБ корпоративных вычислительных сетей в пространство критериев. Только согласие всех ПР, участвующих в переговорах, с тем, что представленные им критериальные оценки вариантов проекта получены с помощью моделей, адекватно описывающих ситуацию, создает основу для конструктивного проведения переговоров по выбору компромиссного решения с помощью системы ВКР-СИБ ВС.

Все действия ПР в системе ВКР-СИБ ВС протоколируются -ведется журнал операций. Протоколирование действий ПР в системе, по существу, является документированием процесса переговоров и позволяет

анализировать процесс принятия решений с целью выявления субъективных ошибок и неточностей, возможно допущенных ПР. Так как процесс выбора компромиссного решения является многошаговой процедурой, то протоколирование позволяет в любой момент времени вернуться к какому-либо из ранее зафиксированных состояний рассматриваемой системы. Также протоколирование позволяет на каждом шаге согласования фиксировать

границы варьирования

экономических критериев в пространстве решений.

Построение Парето-оптимального множества

альтернатив позволяет заранее отсеять заведомо доминируемые варианты. Эта возможность предусмотрена в системе ВКР-СИБ ВС и ее рекомендуется применять в случае, если ПР, участвующие в переговорах, не имеют антагонистических

интересов по ряду критериев.

В системе реализовано два способа визуализации критериального пространства -двумерный, когда число отображаемых на графике критериев равно двум, и многомерный, когда число критериев больше двух (рис.3,4).

Рис. 3. Визуализация двумерного критериального пространства

Рис.4. Визуализация многомерног о критериального пространства

В многомерном случае координатные оси представлены в виде радиусов окружности, отстоящих друг от друга на равные углы, а точка имеет п координат (п - количество критериев) и выглядит на рисунке как п-угольник. Для того, чтобы выбрать компромиссный вариант решения, ПР дожны иметь средство для отражения на критериальном пространстве своих позиций по рассматриваемой проблеме. Под целевой точкой понимается точка на критериальном пространстве, отражающая позицию участника переговоров по рассматриваемой проблеме. Назначая целевую точку, ПР выражают свое предпочтение по выбору решения. Далее применяется целевой метод - система автоматически рассчитывает три ближайшие в смысле заданного расстояния (в том числе евклидового) точки отображения, и они предлагаются ПР для выбора в качестве компромиссного решения. При расчете расстояния учитывается вес критериев. Изменение весов критериев влечет изменение расстояний от целевой точки до точек отображения, в частности, могут измениться и сами ближайшие точки. Таким образом, система дает возможность проанализировать, какие из точек будут ближайшими к выбранной целевой точке при разных значениях весов.

Обычно позиции ПР по рассматриваемой проблеме представляют собой некоторую область в критериальном пространстве. Поэтому в системе ВКР реализован выбор кластеров на заданном пространстве критериев. Под кластером для двумерного отображения понимается прямоугольная область вокруг выбранной целевой точки. В многомерном случае кластер представляет собой внутренность гиперпрямоугольника с целевой точкой в центре.

Визуализация кластера на мониторе представляет собой внутренность фигуры, ограниченной двумя многоугольниками в критериальном пространстве. Выбор кластера вокруг целевой точки есть, по сути, отражение возможностей компромисса со стороны ПР по изменению значений рассматриваемых критериев.

После того, как задан кластер, система автоматически рассчитывает варианты, попавшие в кластер, и предлагает их для рассмотрения ПР. При

изменении параметров кластера или целевой точки автоматически пересчитаются точки, попавшие в кластер. Таким образом, в процессе переговоров, изменяя координаты целевой точки и параметры кластера, можно определить вариант, наиболее устраивающий ПР.

Если в рассматриваемый кластер попало много точек, то разумно уменьшить размеры кластера, чтобы можно было более подробно исследовать данную область.

Если решение принимается группой ЛИР с близкими позициями, то нет необходимости каждому из ПР назначать свою целевую точку, можно назначить одну лобщую целевую точку и затем с помощью возможностей, предоставляемых системой ВКР-СИБ ВС, искать компромиссный вариант решения.

Если позиции ПР нельзя назвать близкими, то каждый из ПР назначает свою целевую точку, которая отражает его позицию по рассматриваемой проблеме. Тогда система предоставляет возможности по поддержке ведения переговоров, упрощающие поиск компромисса.

Во-первых, если назначено несколько целевых точек (позиции разных ПР), то система обеспечивает возможность автоматически определить варианты, которые оказались ближайшими сразу ко всем целевым точкам. Если такие варианты имеются, то они предлагаются ПР в качестве компромиссных. Во-вторых, каждому из ПР предлагается выбрать кластер вокруг своей целевой точки. Как уже отмечалось, кластер отражает возможности компромисса со стороны ПР по изменению значений рассматриваемых критериев. Тогда пересечение кластеров, относящихся к разным целевым точкам, означает, что в области пересечения может быть достигнут компромисс между ПР, которым принадлежат целевые точки. Поэтому после выбора всеми ПР кластеров система автоматически определяет варианты, которые попали сразу во все кластеры. Если такие варианты имеются, то они предлагаются ПР в качестве компромиссных. В-третьих, когда все ПР назначили свои целевые точки, то система ВКР-СИБ

Число критериев f Hassaictn критериев Г. охрэи1*^в Ввг аы игмвиг имя

Остегочньй pucrtl |0Р1 I' I Чgfsr -I

домерим затраты 1 |Ь ~ l> ! iiii.. -I

О-стато-оай (жск 2 {P2 I' .-.) Рл d

;лJMM8pHb! Затраты 2 |СЭ2 h I ЗР' d

Остоточньй риск 3 ОРЗ h I jrj |боп d

Суммарное затрате! 3 СЗЭ I' I _'] [а-л j

1ценочиьм уромньace&pisn г. СИБ ВС |0У I' I .il l6"

ВС обеспечивает вычисление центра тяжести данных целевых точек и предлагает три ближайшие к нему точки отображения как ориентир для сближения позиций (возможные компромиссные варианты решений).

В третьей главе Прикладные аспекты использования инструментального средства для выбора вариантов систем информационной безопасности коммерческих структур путем согласования несовпадающих интересов представлены методики использования инструментального средства, приведены конкретные примеры.

На первом этапе, который одинаков для всех методик, проводится

подготовка исходных данных для ВКР-С'ИБ ВС, которая включает в себя выбор критериев оценки, шкал измерений, весов критериев (Рис.5.), внесение в систему ВКР множества

альтернативных вариантов СИБ (Рис.6,) с

соответствующим им

набором критериев.

В кратце суть предлагаемых методик

проведения переговоров заключается в следующем.

В методиках 1 и 2 предполагается, что решение принимается группой ПР с

Рис.5. Задание критериев и шкал их измерения

л. Значения критериев. ..

Поиск .....Ч-----------

[Мточки

Значение для поиска Тип поиекг

Первую

Помск |

Мточли 0P1 C31 0P2i a

Ч 1 3 106 ............ ?1___________ 17-

2 л 7i 2 16-

j 2 131 3[ 14

2 14 1 20

5 1 200 2 1(3

6 S л 4 11

7 2 151 2 22

0 1 2S7 2 24

3 116 2 19

10 ? 151 3 17

11 1 236 2 25

12 л % 4 12

13 3 127 3 13

14 г 211 1 24

15 6 60 4 8

16 3 166 3 20

лI S " i 221 i 1*

CoapnmntjaapmiBe j Воейановитьмэаряивв f

лlil ilaJ

Рис. 6. Задание вариантов СИБ-ВС в критериальном пространстве

близкими позициями, так что может быть назначена одна лобщая целевая точка. Методика 3 применяется в случае, когда каждый из ПР назначает свою целевую точку.

В методике 1 все действия по поиску компромиссного варианта ведутся на многомерном множестве. Только для исследования того, почему в кластер не попали точки, применяются отображения меньшей размерности. Рассмотрим подробнее, как это может происходить.

Например, сначала проецируем многомерный кластер на двумерное пространство критериев. Определяем точки, попавшие в кластер. Далее, добавляя еще один критерий, проецируем многомерный кластер на трехмерное пространство критериев и опять определяем точки, попавшие в кластер и т. д. Таким образом, станет понятно, какие из радиусов кластера надо изменить, чтобы в кластер попали точки.

Основное отличие методики 2 от методики 1 заключается в том, что вместо многомерного отображения рассматривается ряд двумерных отображений с одним фиксированным критерием в качестве оси X. Делается это для того, чтобы, во-первых, проанализировать структуру расположения вариантов в критериальном пространстве и зависимости между критериями, а во-вторых, отбросив варианты, не устраивающие ПР, выделить из всего множества вариантов небольшое подмножество, достаточное для непосредственного рассмотрения в табличном виде и выбора из него компромиссного варианта. Достоинство данной методики состоит в том, что для ПР графическая реализация двумерного отображения выглядит гораздо понятнее и нагляднее, чем многомерного, и позволяет проще ориентироваться в ситуации. Недостаток данной методики состоит в том, что, рассматривая двумерное отображение, ПР не видят значения остальных критериев, поэтому возможна ситуация, когда ПР выбирают на двумерном пространстве кластер с устраивающими их вариантами, но при этом значения остальных критериев могут быть неприемлемыми.

Необходимо отметить, что система ВКР-СИБ ВС лишь обеспечивает поддержку процедуры переговоров по выбору компромиссного решения: представляет удобный интерфейс и средства для исследования предложенных вариантов решений, отражения позиций каждого из ПР и нахождения компромисса. Процедура переговоров с использованием данной системы принципиально является человеко-машинной. Выбор решения и ответственность за его принятие всегда остается прерогативой руководителя, и в этом процессе, кроме компьютерного анализа, большую роль играют опыт и искусство менеджера.

В третьей главе также подробно рассмотрены примеры использования методик для решения следующих задач: выбор варианта СИБ (50 вариантов проектов, 7 критериев), выбор варианта СИБ в случае антагонистических интересов ПР (51 вариант проектов, 2 критерия).

Ниже (Рис. 7.) приведена заключительная часть текста протокола журнала по согласованию и выбору субоптимального экономического варианта программно-аппаратного средства системы защиты информации (межсетевого экрана Cisco PIX с пропускной способностью от 10000 Кбит/сек третьего класса защищенности с комплектом защиты ВС от вирусов Kas-persky Corporate Suite в составе: Защита рабочих станций, Защита почтовых систем и Защита файловых серверов) корпоративной вычислительной сети ОАО Центральный телеграф (Акт о внедрении от 15 мая 2007г.)

Эффективность предложенных процедур согласования носит многосторонний характер и сводится к следующему: экономия ресурсов, возможность рассмотрения большого количества вариантов, экономия времени ПР, затраченного на принятие решения, улучшение понимания ПР проблемы, протоколирование процесса переговоров.

Рассмотрение большого числа вариантов особенно важно при переговорах между ПР, имеющими несовпадающие интересы, так как при этом повышается вероятность нахождения компромисса. Система ВКР-СИБ дает возможность рассмотреть большое число вариантов, что, по суги, означает увеличение ценности информации, представляемой ПР.

Визуализации ]| Журнал Информация

об общих точках ]

--НАЧАТО ПРИНЯТИЕ НОВОГО РЕШЕНИЯ-Заданы исходные данные.

ЛР1 создал ЦТ: Название: ц1

Параметры: 2 150 2 220 2 20 7

Л ПР2 создал ЦТ: Название: ц2

Параметры: 312л 3 200 3 250 5

Л ПРЗ создал ЦТ: Название: цЗ

Параметры: 3 120 2 1Э0 2 270 4 Л ПРЗ создал кластер к1 Изменились данные об общих точках! ПР2 создал кластер к2

Изменились данные об общих точках!

ЧНайдено решениеЧ Точка 19

Параметры: 2 138,5 1 197.8 2 238,6 в

Рис. 7. Текст протокола журнала

Найдено решение!

Точка: 13

Параметры точки:

Остаточный риск 1 Сумм, затраты 1 Остаточный риск, 2 Сумм, затраты 2 Ост р>1С>

И 13Й.Э 1 1197,8 2

. .. г

Готово ^

Рис. 8. Визуализация решения на экране компьютера

Денежная оценка выигрыша от применения предложенных процедур согласования в общем случае затруднена, так как часть используемых критериев являются неэкономическими и выражаются в натуральных показателях. Сведение многих из этих критериев к денежным показателям в настоящее время затруднено из-за отсутствия соответствующей теоретико-

методической базы. Применение подхода позволяет получить выигрыш именно в плане общей выгоды, так как при принятии решения учитываются интересы всех ПР. При этом происходит неявное сведение предпочтений ПР на множестве экономических и неэкономических критериев к экономическому результату Ч конкретному варианту СИБ-ВС.

В заключении подводится итог исследованию, перечисляются основные результаты, полученные автором.

Основные результаты работы

1. Разработана концепция выбора вариантов СИБ-ВС коммерческих структур путем согласования несовпадающих интересов в случае наличия множества критериев оценки.

2. Разработана информационная модель согласования несовпадающих интересов в случае наличия многих критериев оценки вариантов СИБ ВС коммерческих структур.

3. Разработана автоматизированная подсистема в системе поддержки принятия решений, названная Выбор компромиссного решения -системы информационной безопасности ВС (ВКР-СИБ ВС) коммерческих структур, реализующая выдвинутую концепцию. Применение системы ВКР целесообразно в случае, когда число критериев больше или равно 2, количество рассматриваемых альтернативных вариантов проекта велико и множество критериальных оценок дискретно.

4. Разработаны методики выбора вариантов СИБ-ВС коммерческих структур путем согласования несовпадающих интересов в случае антагонистических и неантагонистических интересов ПР.

5. Апробация разработанной системы ВКР-СИБ показала эффективность ее применения при выборе вариантов СИБ-ВС коммерческих структур в случае наличия несовпадающих интересов.

6. Выбор компромиссного варианта решения с помощью системы ВКР-СИБ ВС коммерческих структур на основе учета предпочтений ПР на множестве экономических и неэкономических критериев сводятся к конкретному экономическому результату.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК ПУБЛИКАЦИЙ АВТОРА ПО ТЕМЕ ДИССЕРТАЦИОННОГО ИССЛЕДОВАНИЯ

Основные положения и результаты диссертации отражены в следующих публикациях:

1. Журналы, входящие в перечень ведущих рецензируемых научных журналов и изданий, рекомендуемых ВАК

1. Рагозин Ю.Н. Принципы выбора и вербальной оценки компромиссных решений в системах комплексной защиты информации. / Безопасность информационных технологий. №1, Москва, МИФИ, ВНИИП-ВТИ, 2007 г., стр.94-97

2. Рагозин Ю.Н., Гончаренко С.Н.. Выбор вариантов системы информационной безопасности ВС на основе компьютерной системы поддержки принятия решений. / ГОРНЫЙ информационно-аналитический бюлетень №4. 2009 г., стр.117-124

3.Рагозин Ю.Н., Федоров Н.В. Система поддержки принятия решений для многокритериального выбора ВКР-СИБ ВС. / ГОРНЫЙ информационно-аналитический бюлетень № 6,2010 г. Стр. 91-98.

II. Другие научные издания

4. Еремин В.М., Рагозин Ю.Н. Выбор вариантов обеспечения безопасности в информационных системах муниципальных организаций. / Проблемы регионального и муниципального управления. Материалы Международной научной конференции. Москва, май 2005 г., стр.207-211.

5. Еремин В.М., Рагозин Ю.Н. Информационная безопасность в стратегическом планировании предприятий./ Стратегическое планирование и развитие предприятий. Материалы Шестого Всероссийского симпозиума. Москва. 12-13 апреля 2005 г., стр.60-61.

6. Рагозин Ю.Н. Информационная безопасность корпоративных ВС - проблема выбора оптимального решения. / Вестник академии промышленности и менеджмента. Выпуск 5. Москва 2006 г..стр. 146-153.

7. Рагозин Ю.Н. Компьютерная система поддержки принятия решений при выборе варианта системы информационной безопасности корпоративной локальной вычислительной сети./ Вестник академии промышленности и менеджмента. Выпуск 7. Москва, 2008 г..стр. 75-83.

8. Рагозин Ю.Н., Еремин В.М. Выбор компромиссного варианта системы информационной безопасности локальных вычислительных се-тей./Свидетельство о регистрации электронного ресурса ИНИМ РАО ОФЭРНиО №15568 от 05.04.2010 г. (инвентарный номер ВНТИЦ №50201000500)

9. Рагозин Ю.Н. Текущие подходы оценки безопасности информационных систем, их достоинства и недостатки. / Моск. гос. Индустр. ун-т. Москва, 2010 г. Дел. в ВИНИТИ 18.06.2010 № 382-В2010

10. Рагозин Ю.Н. Многокритериальная задача выбора вариантов защиты информации в вычислительных сетях. / Моск. гос. Индустр. ун-т. Москва, 2010 г. Деп. в ВИНИТИ 18.06.2010 № 381-В2010

11 .Рагозин Ю.Н. и др. Удаленный электронный научно - образовательный комплекс по направлению Информационная безопасность / Свидетельство о государственной регистрации программы для ЭВМ № 201 061 4156 от 25 июня 2010 г.

Подписано в печать 16.03.11 Формат бумаги 60x84/16 Усл. печ. л. 1,0. Уч.-изд. л. 1,0. Тираж 150. Заказ № 75

Издательство МГИУ, 115280, Москва, Автозаводская, 16 www.izdat.msiu.ru: e-mail: izdat@msiu.ru: тел. (495)620-39-90

Диссертация: содержание автор диссертационного исследования: кандидат экономических наук , Рагозин, Юрий Николаевич

ВВЕДЕНИЕ.

ГЛАВА 1. ЗАДАЧА ПОДДЕРЖКИ ПРИНЯТИЯ УПРАВЛЕНЧЕСКИХ РЕШЕНИЙ ПРИ ВЫБОРЕ ВАРИАНТОВ СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОММЕРЧЕСКИХ СТРУКТУР.

1.1. Основные цели разработки систем информационной безопасности в экономических информационных системах

1.2. Текущие подходы оценки безопасности информационных систем, их достоинства и недостатки.

1.3. Системы поддержки принятия решений.

ГЛАВА 2. РАЗРАБОТКА КОНЦЕПЦИИ И ИНСТРУМЕНТАЛЬНОГО СРЕДСТВА ДЛЯ ВЫБОРА ВАРИАНТОВ СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОММЕРЧЕСКИХ СТРУКТУР ПУТЕМ СОГЛАСОВАНИЯ НЕСОВПАДАЮЩИХ ИНТЕРЕСОВ ЛИЦ, ПРИНИМАЮЩИХ РЕШЕНИЯ

2.1. Формализация альтернативных вариантов систем информационной безопасности с требуемыми структурными свойствами.

2.2. Формирование лексикографически упорядоченных морфологических вариантов систем информационной безопасности

2.3. Критерии оценки безопасности информационных технологий.

2.4. Концептуальная модель инструментального средства по выработке компромиссных решений при выборе вариантов систем информационной безопасности коммерческих структур.

2.5. Компьютерная поддержка принятия компромиссного решения при выборе вариантов системы информационной безопасности.

ГЛАВА 3. ПРИКЛАДНЫЕ АСПЕКТЫ ИСПОЛЬЗОВАНИЯ ИНСТРУМЕНТАЛЬНОГО СРЕДСТВА ДЛЯ ВЫБОРА ВАРИАНТОВ СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПУТЕМ СОГЛАСОВАНИЯ НЕСОВПАДАЮЩИХ ИНТЕРЕСОВ ЛИЦ, ПРИНИМАЮЩИХ РЕШЕНИЯ

3.1. Методики выбора компромиссных вариантов систем информационной безопасности коммерческих структур.

3.2. Пример реализации методики л1.

3.3. Рекомендации по использованию СППР.

3.3.1. Определение эффективного способа выбора подрядчика.

3.3.2. Система управления информацией.

Диссертация: введение по экономике, на тему "Система поддержки принятия управленческих решений при выборе вариантов информационной безопасности"

Современный уровень развития информационных и телекоммуникационных систем и сетей в значительной степени определяет ту важную роль корпоративных компьютерных автоматизированных систем в жизни предприятий и организаций различных форм собственности, которую они играют в обеспечении финансовой устойчивости предприятия в условиях рыночной экономики. При этом на динамично развивающихся предприятиях стремительно растет объем конфиденциальных баз данных и количество пользователей, подключаемых к корпоративной сети и ее базам данных, что делает проблему защиты информационных ресурсов еще более актуальной, особенно, при организации экономических информационных систем, построенных на базе корпоративной локальной вычислительной сети (ВС) с использованием сети Интернет.

Известно [ 25, 33, 36,57, 66], что создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточных средствах и времени можно преодолеть любую защиту, поэтому имеет смысл говорить только-о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов ВС и может создавать ощутимые допонительные неудобства для пользователей. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.

Чтобы обеспечить неизменность характеристик безопасности информации, к ее обработке в автоматизированных системах нужно предъявлять и реализовывать соответствующие требования по ее защите. Эти требования необходимо задавать как для изделий (программных, программно-аппаратных или аппаратных средств), применяемых в ВС, так и для ВС в целом, реализующей конкретную информационную технологию.

В соответствии с этим большое значение имеет система стандартов и иных нормативных документов, устанавливающих требования к защищенности информации в компьютерных системах. В большинстве случаев эти требования задаются перечнем механизмов защиты, которые необходимо иметь в компьютерной системе для того, чтобы она соответствовала определенному классу защиты. Что касается автоматизированных систем, то в этой области действуют как новые, так и старые нормативные документы. Это, прежде всего, Руководящий документ Гостехкомиссии России (ныне ФСТЭК - Федеральная служба технического и экспортного контроля) 1992 года Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования по защите информации, предъявляющий к ним статичные и порой труднореализуемые требования, которые инвариантны к результатам оценки рисков безопасности и среде эксплуатации, а реализация этих требований не всегда эффективна с точки зрения результативности защиты. Кроме того, задаваемые на основе этого документа требования безопасности не согласуются ни по структуре, ни по форме представления с новой нормативной базой оценки безопасности изделий информационных технологий (т.е. с международными Общими критериями и ГОСТ Р ИСО\МЭК 15408 - 2002) [ 16 ].

В настоящее время разработкой и реализацией проектов по защите объектов информатизации занимается достаточно большое количество специализированных российских предприятий, наиболее известными из которых являются Научно-испытательный институт систем обеспечения комплексной безопасности (НИИ СОКБ), Ассоциация Защиты Информации КОНФИДЕНТ - крупный системный интегратор, ФГУП НП Гамма, компании Мульти Софт Сервис, Центр безопасности информации МАСКОМ, Лаборатория Касперского, АНКАД, МО ПНИЭИ и др. Наличие необходимого пакета лицензий федеральных органов позволяет им оказывать широкий спектр услуг в области защиты информации, рекламируя соответствующим образом преимущества как своих разработок, так и технологий зарубежных производителей - своих потенциальных партнеров. К примеру, в свое время на основе проведенной аналитической работы компания Конфидент рекомендовала к применению перспективную, на их взгляд, технологию лZero Knowledge based Security, разработанную американской фирмой MICROFRAME и используемую ею в широком спектре устройств обеспечения безопасных сетевых соединений.

Для существующих объектов информатизации современный рынок средств защиты информации можно условно разделить на две группы:

- средства защиты для госструктур, позволяющие выпонять требова ния нормативно-правовых документов (федеральных законов, указов президента РФ, постановлений Правительства РФ), а также требования нормативно-технических документов (государственных стандартов, руководящих документов ФСТЭК( Гостехкомиссии) России^ Министерства обороны РФ и ФСБ РФ);

- средства защиты для коммерческих компаний и структур, позволяющие выпонять рекомендации СТР-К Гостехкомиссии России, ГОСТ Р ИСО/МЭК 15408-2002 и ISO 17799:2 [15, 16, 52-54].

Для выпонения существующих требований и надлежащей защиты конфиденциальной информации в госструктурах допускается использование только сертифицированных средств. Например, средства защиты от несанкционированного доступа (НСД), межсетевые экраны и средства построения VPN, средства защиты информации от утечки за счет ПЭМИН и прочие дожны иметь соответствующие сертификаты по требованиям безопасности информации. В частности, для защиты от НСД рекомендуется использовать аппаратно-программные средства семейств Secret Net (Информзащита), Dallas Lock (Конфидент), Аккорд (ОКБ САПР), электронные замки Соболь и их модификации (Информзащита), USB - токены (Аладдина) и прочие. Для защиты информации, передаваемой по открытым каналам связи рекомендованы аппаратно-программные межсетевые экраны с функциями организации VPN, например, Firewall-1 /VPN-1 (Check Point), Застава (Эвис +), VipNet (Инфотекс), Континент (Информзащита) и другие.

Средства защиты информации для коммерческих структур более многообразны, среди них:

- средства управления обновлениями программных компонент автоматизированных систем;

- средства межсетевого экранирования;

- средства построения VPN;

- средства контроля доступа;

- средства обнаружения вторжений и аномалий;

- средства резервного копирования и архивирования;

- средства централизованного управления безопасностью;

- предотвращение вторжений на уровне серверов;

- аудита и мониторинга средств безопасности;

- контроля деятельности сотрудников в сети Интернет;

- анализа содержимого почтовых сообщений;

- анализа защищенности информационных систем;

- защиты от спама;

- защита от атак класса Отказ в обслуживании;

- контроля целостности;

- инфраструктура открытых ключей;

- усиленной аутентификации и прочие.

Наряду с рынком систем защиты информации быстрыми темпами развивается рынок услуг консатинга, внедрения и сопровождения таких систем. Предложения российских поставщиков пользуются растущим спросом, однако еще не все руководители осознали необходимость комплексного внедрения подобных средств. Часто для обеспечения безопасности применяется различное бесплатное или условно бесплатное программное обеспечение, а многие виды сетевого оборудования уже содержат поддержку VPN и встроенные межсетевые экраны, которыми корпоративная система информационной безопасности (СИБ) нередко и ограничивается. Как правило, имеющиеся в компании решения СИБ допоняются и наращиваются постепенно, поскольку количество продуктов и технологий постоянно растет, да и необходимые средства на их получение не удается выделить сразу. В результате в крупных организациях получаются трудно управляемые системы с компонентами от разных производителей, а в месте стыковки систем возникают допонительные уязвимости СИБ.

Очевидно, что при наличии конкурирующих предложений для выбора приемлемой системы информационной безопасности локальной вычислительной сети (СИБ ВС) конкретного предприятия желательно иметь некую систему поддержки принятия решения (СППР) для лиц принимающих решения (ПР).

В условиях многокритериального оценивания, определяемого множеством служб и механизмов безопасности ВС, встает проблема согласования решений - проведения переговоров между заинтересованными лицами по выбору компромиссного решения. В настоящее время только компьютерные СППР способны обеспечить сравнение и анализ большого количества вариантов (проектов) СИБ ВС, каждый из которых оценивается по многим критериям.

Разработка такой СППР особенно актуальна для коммерческих структур при их оснащении корпоративными ВС с желаемым (приемлемым) уровнем информационной безопасности, в то время, как государственные предприятия (организации) обязаны обеспечить соответствующий уровень безопасности ВС, определенный действующими нормативно-методическими документами Российской Федерации в области защиты государственной тайны и конфиденциальной информации.

Цель и задачи исследования. Целью диссертационной работы является разработка методического обеспечения выбора вариантов систем информационной безопасности коммерческих структур на основе предложенных критериев (и шкал их измерений), принципиально не сводимых к одному критерию, и компьютерной СППР.

Цель диссертационной работы предопределила постановку и решение следующих задач:

- анализ основных целей СИБ ВС, структуры и назначения служб и механизмов безопасности современных корпоративных информационных сетей;

- анализ текущих подходов оценки безопасности информационных систем и выбор определяющих критериев для СИБ ВС;

- анализ основных направлений развития компьютерных СППР на современном этапе;

- разработка агоритмов и компьютерных программ для выработки компромиссных решений ПР с несовпадающими интересами.

Предметом исследования являются процессы принятия управленческих экономических решений по выбору вариантов систем информационной безопасности коммерческих структур.

Теоретической и методологической базой исследования являлись международные и отечественные нормативно-методические и руководящие документы [6-10, 14-16, 21-24, 52-54] в области информационной безопасности и защите информации, а также работы ведущих отечественных и зарубежных специалистов в области принятия решений в условиях многокритериально-сти.

Научная новизна диссертации заключается в следующем:

- предложен набор критериев и шкал их измерения для оценки СИБ корпоративных информационных сетей коммерческих структур, принципиально не сводимых к одному критерию, и на их основе разработан многокритериальный подход к выбору компромиссных вариантов СИБ ВС;

- разработаны методики выбора компромиссных решений ПР с несовпадающими интересами, только часть из которых являются строго экономическими.

Практическое значение результатов диссертации заключается в реальной возможности их использования коммерческими структурами при выборе приемлемого варианта СИБ ВС для конкретных условий их функционирования.

Результаты диссертационного исследования нашли практическое применение, подтвержденные соответствующими актами о внедрении: Акт о внедрении ОАО Центральный телеграф г. Москва от 16.05.07 г., Акт от 05.03.10 г. о внедрении в учебный процесс в Московском государственном индустриальном университете по дисциплине Организация и технология защиты информации. Получены авторские свидетельство о регистрации электронного ресурса, отвечающего требованиям новизны и приоритетности: Выбор компромиссного варианта системы информационной безопасности локальных вычислительных сетей (свидетельство № 15568 от 05.04.2010 г. ИНИМ РАО ОФЭРНиО , инв. номер ВНТИЦ № 50201000500) и свидетельство о государственной регистрации программ для ЭВМ № 2010614156 от 25.06.2010 г. Удаленный электронный научно-образовательный комплекс по направлению Информационная безопасность.

Публикации. Основное содержание диссертации отражено в одиннадцати публикациях общим объемом 7,3 п.л. (в том числе без соавторов Ч 4,9 п.л.). В их числе две публикации в материалах российских и международных научных конференций и три публикации в ведущих рецензируемых научных журналах и изданиях, рекомендуемых ВАК.

Структура работы. Диссертация состоит из введения, трех глав основного текста, заключения, библиографического списка (111 наименований) и шести приложений. Основной текст диссертации содержит 127 машинописных страниц, 41 рисунок и 4 таблицы.

Диссертация: заключение по теме "Математические и инструментальные методы экономики", Рагозин, Юрий Николаевич

Выводы о приемлемости рисков

Формирование профиля защиты ВС

8) итоговая оценка риска в информационной системе и принятие решения о допонительных мерах безопасности

Рис.1 Л. Модель формирования профиля защиты СИБ ВС

Объективными факторами являются:

- угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;

- уязвимости СИБ ВС, влияющие на вероятность реализации угрозы. Уязвимости могут возникать из-за недостатков: а) требований, т.е. продукт или система ИТ могут обладать требуемыми от них функциями и свойствами, но все же содержать уязвимости, которые делают их непригодными или неэффективными в части безопасности, б) проектирования, т.е. продукт или система ИТ не отвечает спецификации, и/или уязвимости являются следствием некачественных стандартов проектирования или неправильных проектных решений, в) эксплуатации, т.е. продукт или система ИТ разработаны в поном соответствии с корректными спецификациями, но уязвимости возникают как результат неадекватного управления при эксплуатации ;

- риск - фактор, определяющий возможный ущерб предприятия в результате реализации угрозы информационной безопасности (отражает вероятные финансовые потери - прямые или косвенные).

На этапе анализа рисков определяется возможность понести убытки из-за нарушения режима информационной безопасности организации, детализируются характеристики (или составляющие) рисков для информационных ресурсов и технологий. Результаты анализа используются при выборе средств защиты, оценке эффективности существующих и проектируемых подсистем информационной безопасности. Под управлением рисками понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему. Наличие системы управления рисками (Risk Management) является обязательным компонентом общей системы обеспечения информационной безопасности на всех этапах жизненного цикла информационной системы. В-свое время в середине 90-х схожие концепции анализа рисков, управления рисками на всех стадиях жизненного цикла информационной технологии были предложены многими зарубежными национальными институтами стандартов и крупными организациями, специализирующихся в решении комплексных проблем информационной безопасности. Российские аналитики стали использовать эти методики на практике. Несколькими отечественными организациями также были разработаны собственные методики анализа и управления рисками, разработано собственное программное обеспечение, которое наряду с зарубежным, имеется на отечественном рынке.

Оценка рисков может проводиться с использованием различных как качественных, так и количественных шкал. Главное, чтобы существующие риски были правильно идентифицированы и проранжированы в соответствии со степенью их критичности для организации. На основе такого анализа может быть разработана система первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня.

В настоящее время имеется большое разнообразие как методов анализа и управления рисками, так и реализующих их программных средств. Современные методы и средства анализа и управления рисками информационных систем компаний достаточно подробно и в доступной форме изложены в работах С.В. Симонова и Н. Кукановой [59,60]. Одним из популярных является метод CRAMM (ССТА Risk Analysis and Management Method), разработанный Агентством по компьютерам и телекоммуникациям Великобритании по заданию Британского правительства в 1985 г. и используемый в качестве государственного стандарта как правительственными, так и коммерческими организациями. Разработкой и сопровождением одноименного программного продукта, реализующего этот метод, занимается фирма Insight Consulting Limited.

В результате обобщения практического опыта использования метода CRAMM были выявлены его сильные и слабые стороны [48].

К сильным сторонам метода относят следующие:

CRAMM является хорошо структурированным и широко опробованным методом анализа рисков, позволяющим получать реальные практические результаты, программный инструментарий метода может использоваться на всех стадиях проведения аудита безопасности ИС, в основе программного продукта лежит достаточно объемная база знаний по контрмерам в области информационной безопасности, базирующейся на рекомендациях британского стандарта BS 7799, гибкость и универсальность метода позволяет использовать его для аудита ИС любого уровня сложности и назначения, CRAMM можно использовать в качестве инструмента для разработки плана непрерывности бизнеса и политик информационной безопасности предприятия, метод может использоваться в качестве средства документирования механизмов безопасности ИС.

К недостаткам метода CRAMM относят следующее:

Х использование метода требует специальной подготовки и высокой квалификации аудитора,

Х метод в гораздо большей степени подходит для оценки уже существующих ИС, находящихся на стадии эксплуатации, нежели для ИС, находящихся на стадии разработки,

Х аудит по методу CRAMM Ч процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы,

Х программный инструментарий метода генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике,

Х метод не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся.

Х Возможность внесения допонений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации.

Другим мощным средством анализа и управления рисками является программное обеспечение Risk Watch, разрабатываемое американской компанией Risk Watch, Inc. В семейство Risk Watch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:

Х Risk Watch for Physical Security - для физических методов защиты ИС,

Х Risk Watch for Information Systems Ч для информационных рисков,

Х HIPАА-WATCH for Healthcare Industry- для? оценки соответствия требованиям стандарта HIPАА,

Х Risk Watch RW17799 for IS017799 - для оценки требованиям стандарта ISO 17799.

В методе Risk Watch в качестве критериев для'оценки и управления рисками используются предсказание годовых потерь (Annual Loss Expectancy Ч ALE) и оценка возврата от инвестиций (Return on Investment Ч ROI).

Семейство программных продуктов-Risk. Watch по мнению специалистов имеет массу достоинств. К недостаткам данного продукта относят его относительно высокую стоимость.

Следует отметить и еще один программный продукт, разрабатываемый компанией Risk Associates, - систему COBRA ( Consultative Objective and Вi-Functional Risk Analysis) как средство анализа рисков и оценки соответствия ИС стандарту ISO 17799: COBRA реализует методы количественной оценки рисков, а также инструменты для консатинга и проведения обзоров безопасности. При разработке инструментария COBRA были: использованы принципы построения экспертных систем, обширная база знаний по угрозам и уязвимостям, а также большое количество вопросников, с успехом применяющихся на практике. В семейство программных продуктов COBRA входят COBRA ISO 17799 Security Consultant, COBRA Policy Compliance Analyst и COBRA Data Protection Consultant.

Из отечественных продуктов, представленных на российском рынке, следует отметить программное обеспечение ПО АванГард разработки института системного анализа РАН, которое позиционируется как экспертная система управления информационной безопасности. Предлагаются две версии метода: АванГард Ч Анализ - для проведения анализа рисков и АванГард -Контроль для управления рисками. Данный программный комплекс обладает развитыми средствами для построения моделей информационных систем с позиций информационной безопасности и позволяет строить модели разных уровней (административного, организационного, программно-технического, физического) и разной степени абстракции. К недостатку следует отнести то, что введение исходных данных (ущерба и вероятности реализации угрозы) поностью перекладывается на аналитика (пользователя). Какой-либо верификации значений не предполагается

Наряду с рассмотренными достаточно сложными подходами к оценке уровня риска существуют и простые одномерные подходы [ 1],.которые рассматривают только ограниченные компоненты. При этом основой формального описания системы защиты традиционно считается модель системы защиты с поным перекрытием, в которой рассматривается взаимодействие лобласти угроз, защищаемой области и системы защиты. Таким образом, рассматриваются три множества:

T={t} Ч множество угроз безопасности информации 0={oj} Ч множество объектов защищаемой системы М={шк} Ч множество механизмов защиты ВС

Элементы этих множеств находятся между собой в определенных отношениях, собственно и описывающих систему модели. Для описания системы защиты может быть использована графовая модель, в которой множество отношений лугроза-объект образует двухдольный граф. Цель защиты состоит в том, чтобы перекрыть все возможные ребра в графе. Это достигается введением третьего набора М, в результате чего получается трехдольный граф.

Развитие модели предполагает введение еще двух элементов: V = {у;} - множества уязвимостей системы, под которыми на практике понимают не саму возможность осуществления угрозы безопасности информации, а те свойства системы, которые либо способствуют успешному осуществлению угрозы, либо могут быть использованы злоумышленником для осуществления угрозы;

В ={Ь|} - множества барьеров, представляющих собой пути осуществления угроз безопасности информации, перекрытые средствами защиты.

В результате получаем следующую модель (рис. 1.2) , описывающую систему защиты информации с учетом наличия в ней уязвимостей. Множество

Область утро > Т Система ащшы 11 Набор барьеров О унвимостей V

Защищаемая область О

Рис. 1.2. Модель системы защиты объектов информатизации

Таким образом, в такой модели с поным перекрытием для любой уязвимости существует устраняющий ее барьер. Наличие механизмов защиты и их прочность является важным фактором, определяющим защищенность корпоративной информационной сети.

В идеале каждый механизм защиты дожен исключать соответствующий путь реализации угрозы. В действительности же механизмы защиты обеспечивают лишь некоторую степень сопротивляемости угрозам безопасности. Поэтому в качестве характеристик элемента множества барьеров рассматривают набор Рк, XV/с, Ш, где Ра - вероятность реализации угрозы, а- - величина возможного ущерба при удачном осуществлении угрозы в отношении защищаемого объекта,

Ш - степень сопротивляемости механизма защиты, характеризующаяся вероятностью его преодоления.

При таком подходе прочность к-го барьера характеризуется величиной остаточного риска (Шэкл), связанного с возможностью осуществления угрозы при использования соответствующего механизма защиты, и определяется по следующей формуле:

Ш8кй = Р* \Уа(1-К*) (1.1)

Для определения величины защищенности 8 всей автоматизированной системы используют следующую формулу: в = 1/ Е Ш8кА= 1/(Е РЛ \а(1- ИА)) (1.2)

РА ,\УА, Ш е [ ОД]

В этой формуле знаменатель определяет суммарную величину остаточных рисков, связанных с возможностью осуществления угроз в отношении ВС при использовании соответствующих механизмов защиты. Суммарная величина остаточных рисков характеризует общую уязвимость системы защиты, а защищенность определяется как величина, обратная уязвимости. При отсутствии в ВС барьеров, перекрывающих определенные уязвимости, степень сопротивляемости механизма защиты Ш принимается равной нулю.

На практике получение точных значений величин защищенности 8 затруднено, поскольку понятия угрозы, ущерба и сопротивляемости механизмов защиты трудно формализовать. Вместе с тем, для защиты информации экономического характера, допускающей оценку ущерба, разработаны стоимостные методы оценки эффективности средств защиты информации. В этом случае выбор оптимального состава средств защиты связан с минимизацией затрат на внедрение средств защиты и возможных потерь в результате успешного осуществления угроз.

Существует также и подход, при котором риск, связанный с угрозой, рассматривается как функция относительной вероятности, что угроза может произойти, и ожидаемых потерь, которые могут быть понесены при реализации угрозы. В этом случае риск рассчитывается как произведение нормализованных вероятности появления угрозы (через определенное уязвимое место) и возможных потерь.

Вероятность появления угрозы может быть нормализована как значение, которое меняется от 1 до 3. Единица будет соответствовать низкой вероятности, двойка - умеренной вероятности, а тройка - высокой. Стоимость потерь также определяется как целое число в интервале от 1 до 3. Поэтому риск может быть рассчитан как число в интервале от 1 до 9. Значение риска 1 или 2 будет считаться низким риском, риск 3 или 4 будет умеренным риском, а риск 6 или 9 будет высоким риском (таблица 1.1).

ЗАКЛЮЧЕНИЕ

1. Разработана концепция выбора вариантов систем информационной безопасности корпоративных сетей коммерческих структур путем согласования несовпадающих интересов в случае наличия множества критериев оценки.

2. Предложен инструментарий по упорядочению и сокращению вариантов систем информационной безопасности с определенными структурными

Х свойствами на базе методов морфологического анализа сложных систем.

3. Разработана информационная модель согласования несовпадающих интересов в случае наличия многих критериев оценки вариантов СИБ ВС коммерческих структур.

4. Разработана автоматизированная подсистема в системе поддержки принятия решений, названная Выбор компромиссного решения -системы информационной безопасности ВС (ВКР-СИБ ВС) коммерческих структур, реализующая выдвинутую концепцию. Применение системы ВКР целесообразно в случае, когда число критериев больше или равно 2, количество рассматриваемых альтернативных вариантов проекта велико и множество критериальных оценок дискретно.

5. Разработаны методики выбора вариантов СИБ-ВС коммерческих структур путем согласования несовпадающих интересов в случае антагонистических и неантагонистических интересов ПР.

6. Апробация разработанной системы ВКР-СИБ показала эффективность ее применения при выборе вариантов СИБ-ВС коммерческих структур в случае наличия несовпадающих интересов.

7. Выбор компромиссного варианта решения с помощью системы ВКР-СИБ ВС коммерческих структур на основе учета предпочтений ПР на множестве экономических и неэкономических критериев сводится к конкретному экономическому результату.

Диссертация: библиография по экономике, кандидат экономических наук , Рагозин, Юрий Николаевич, Москва

1. Астахов А. Анализ защищенности корпоративных автоматизированных систем. CISA, 2002 г.

2. Барсуков B.C. Обеспечение информационной безопасности М.;ТЭК,1996.

3. Баутов А. Стандарты и оценка эффективности защиты информации. Доклад на Третьей Всероссийской практической конференции Стандарты в проектах современных информационных систем. Москва. 23-24 апреля 2003 г.

4. Баутов А. Экономический взгляд на проблемы информационной безопасности. /Открытые системы. № 2, 2002 г.

5. Борисов В.И. Проблемы векторной оптимизации.// Исследование операций. Методологические аспекты. М.: Наука, 1972.

6. Вихорев С., Ефимов А. Практические рекомендации по информационной безопасности. Jet Info, № 10-11. 1996.

7. Вихорев С., Кобцев Р. Как определить источник угроз. Открытые системы, № 7-8. 2002.

8. Вокович B.JI. Многокритериальные задачи и методы их решения. // Труды семинара Кибернетика и вычислительная техника, " Сложные системы управления".- Киев: Наукова думка, вып.1, 1969.

9. Гайкович В., Першин А*. Безопасность электронных банковских систем. М.; Компания Единая Европа. 1994.

10. Ю.Гайкович В.Ю., Ершов Д.В. Основы безопасности информационных технологий. М. 1995.

11. Галатенко В. Информационная безопасность Ч основы.Л Системы управления базами данных, № 1, 1996.

12. Геннадиева Е.Г. Технико-экономические задачи защиты информации. \Безопасность информационных технологий. № 3. 1997.

13. З.Герасименко В.А. Защита информации в автоматизированных системах обработки данных. M. 1993

14. Горбунов А., Чуменко В. Выбор рациональной структуры средств защиты информации в АСУ. Ссыка на домен более не работаетbox/2/26.shtml

15. ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Агоритм криптографического преобразования.

16. ГОСТ Р ИСО\МЭК 15408-2002 Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий

17. Д.А. Ляшко. Вопросы построения защищенных гетерогенных корпоративных ВС \Information Security, № 3, 2005 г.

18. Девянин П.М. и др. Теоретические основы компьютерной безопасности: Учебное пособие -М.; Радио и связь. 2000.

19. Джоффрион А., Дайер Дж., Файнберг А. Решение задач оптимизации при многих критериях на основе человеко-машинных процедур. // Вопросы анализа и процедуры принятия решений. -М.: Мир, 1976.

20. Домарев В.В. Защита информации и безопасность компьютерных систем. К. 1999.

21. Дубов Ю.А., Травкин С.И., Якимец В.Н. Многокритериальные модели формирования и выбора вариантов систем. -М.: Наука, 1986.

22. Емельянов C.B., Ларичев О.И. Многокритериальные методы принятия решений. М.: Знание, 1985.

23. Еремин В.М., Рагозин Ю.Н. Выбор вариантов обеспечения безопасности в информационных системах муниципальных организаций. \ Проблемы регионального и муниципального управления. Материалы Международной научной конференции. Москва, 2005г.

24. Зима В., Млодовян А. Модовян Н. Безопасность глобальных сетевых технологий. СПБ.; BHV Санкт-Петербург. 2002.

25. Кини Р. Функции полезности многомерных альтернатив.// Вопросы анализа и процедуры принятия решений. М.: Мир, 1976.

26. Краснекер A.C. Об адаптивном подходе к задаче принятия решений при нескольких критериях. //Вопросы оптимального программирования в производственных задачах. Изд. Воронежского университета, 1972, с. 18-23.

27. Ларичев О.И., Поляков O.A. Человеко-машинные процедуры решения многокритериальных задач математического программирования (обзор). Экономика и математические методы, 1980, t.XVI, вып.1, с.129-145.

28. Липаев В. Филинов Е. Формирование и применение профилей открытых информационных систем.\ Открытые системы. № 5. 1997.

29. М.Т. Кобзарь, A.A. Сидак Методология оценки безопасности информационных технологий по Общим критериям. // Защита информации. Инсайд № 4 июль-август 2005 г.

30. Максименков A.B., Селезнев М.Л. Основы проектирования информационно-вычислительных систем и сетей ЭВМ. Москва. Радио и связь, 1991 г.

31. Макж A.A., Пазизин C.B., Погожин Н.С. Введение в защиту информации в автоматизированных системах: Учебное пособие.- М.; Горячая линия Телеком, 2001.

32. Методологические основы обеспечения информационной безопасности объектаЛ Конфидент № 1. 2000.- С 75-86

33. Михайлов A.C. Система анализа безопасности и исследования протоколов информационного обмена. Диссертация на соискание ученой степени кандидата технических наук. МИФИ. Москва.2004.

34. Михеев Д.А. Защита компьютерных систем объектов от внешних и внутренних атак. \Организация работ по обеспечению комплексного подхода к защите объектов. ООО КОНФИДЕНТ, Санкт-Петербург, 2001г.

35. Мельников В.В. Защита информации в компьютерных системах. Ч М.: Финансы и статистика, 1997.

36. Мельников В.В. Основы теории защиты информации в автоматизированных системах //Вопросы защиты информации . 2000.-№3 - С.39-48.

37. Мудариев В.К. Все об ВС. Москва, Юпитер, 1999 г.

38. Назаров C.B. Локальные вычислительные сети. Книги 1-3. Москва, Финансы и статистика, 1995 г.

39. Нанс Б. Компьютерные сети. Москва. Бином. 1996 г.

40. Перфенков Д.П. Структуры локальных сетей и принципы их работы. Москва. Айвенго, 2002 г

41. Рагозин Ю.Н. Принципы выбора и вербальной оценки компромиссных решений в системах комплексной защиты информации. / Безопасность информационных технологий. №1, Москва, МИФИ, ВНИИП-ВТИ, 2007 г., стр.94-97

42. Рагозин Ю.Н. Информационная безопасность корпоративных ВС проблема выбора оптимального решения. / Вестник академии промышленности и менеджмента. Выпуск 5. Москва 2006 г.стр. 146-153.

43. Рагозин Ю.Н. Компьютерная система поддержки принятия решений при выборе варианта системы информационной безопасности корпоративной локальной вычислительной сети./ Вестник академии промышленности и менеджмента. Выпуск 7. Москва, 2008 г.стр. 75-83.

44. Рагозин Ю.Н. и др. Удаленный электронный научно-образовательный комплекс по направлению Информационная безопасность / Свидетельство о государственной регистрации программы для ЭВМ № 201 061 4156 от 25 июня 2010 г.

45. Рагозин Ю.Н. Многокритериальная задача выбора вариантов защиты информации в вычислительных сетях. / Моск. гос. Индустр. ун-т. Москва, 2010 г. Деп. ВИНИТИ 18.06.2010 №381-В2010

46. Рагозин Ю.Н. Текущие подходы оценки безопасности информационных систем, их достоинства и недостатки. / Моск. гос. Индустр. ун-т. Москва, 2010 г. Деп. ВИНИТИ 18.06.2010 №382-В2010

47. Рагозин Ю.Н., Гончаренко С.Н. Выбор вариантов системы информационной безопасности ВС на основе компьютерной системы поддержки принятия решений. / ГОРНЫЙ информационно-аналитический бюлетень №4. 2009 г., стр.117-124

48. РД Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасностиЛ Гостехкомиссия России, 2004

49. РД Безопасность информационных технологий. Руководство по регистрации профилей защиты на основе международного стандарта ISO/IEC 15292 \ Гостехкомиссия России, 2004 г.

50. РД Безопасность информационных технологий. Руководство по формированию семейств профилей защиты. \ Гостехкомиссия России, 2004.

51. Романец Ю.В., Тимофеев П.Н. Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. М.: Радио и связь., 1999.

52. Руа Б. Проблемы и методы принятия решений в задачах с многими целевыми функциями. // Вопросы анализа и процедуры принятия решений. -М.: Мир, 1976.

53. Салуквадзе М.Е. О задаче линейного программирования с векторным критерием качества. Автоматика и телемеханика, 1972, N5, с. 99-105.

54. Семененко В.А. Информационная безопасность. Учебное пособие. М. МГИУ. 2005.

55. Симонов C.B. Анализ рисков, управление рисками \ Jet Info,l, 1999.

56. Симонов C.B. Технологии и инструментарий для управления рисками \ Jet Info, 1, 200361 .Типовые решения по применению средств VPN для защиты информационных ресурсов. \ ООО КОНФИДЕНТ, Санкт- Петербург, 2001 г.

57. Трубачев А.П. Формирование требований безопасности автоматизированных систем.\\ INSIDE. Защита информации. № 4. 2005.

58. Феррари Д. Оценка производительности вычислительных систем. Москва. Мир, 1981 г.

59. Фишберн П. Теория полезности для принятия решений. М.: Наука, 1978.

60. Фоменко Г.В. и др. Методы и средства обеспечения безопасности в сети ИНТЕРНЕТ: Научно-практическое пособие. М.; ИКСИ. 1997.

61. Черней Г.А. Оценка угроз безопасности автоматизированным информационным системам. НТИ. Сер.2. Информационные процессы и системы^ 10.1997.

62. Эйрес Р. Научно-техническое прогнозирование и догосрочное планирование. -М. : Мир. 1971.

63. Ярочкин В.И. Информационная безопасность. Учебное пособие. М. Международные отношения. 2005.

64. Alter S. L. Decision support systems : current practice and continuing challenges.

65. BonczekR.H., Holsapple C., Whinston A.B. Foundations of Decision Sup-portSystems.- New York: Academic Press,, 1981.

66. BARK89. Barkley, John F. and K. Olsen; Introduction to Heterogenous

67. Computing Environments, NIST Special Publication 500-176, November, 1989.

68. BJUL93. National Computer Systems Laboratory (NCSL) Bulletin, Connecting to the Internet: Security Considerations, July 1993.

69. BNOV91. National Computer Systems Laboratory (NCSL) Bulletin, Advanced Authentication Technology, November 1991.

70. COMM91. U.S. Department of Commerce Information Technology Management Handbook, Attachment 13-D: Malicious Software Policy and Guidelines, November 8, 1991.

71. GILB89. Gilbert, Irene; Guide for Selecting Automated Risk Analysis Tools, NIST Special Publication 500-174, October, 1989.

72. KATZ92. Katzke, Stuart W., Phd., "A Framework for Computer Security Risk Management", NIST, October, 1992.

73. KLEIN. Daniel V. Klein, "Foiling the Cracker: A Survey of, and Improvements to, Password Security", Software Engineering Institute. (This work was sponsored in part by the Department of Defense.)

74. MART89. Martin James and K.K. Chapman, The Arben Group, Inc.; Local Area Networks, Architectures and Implementations, Prentice Hall, 19989

75. NCSC85. Department of Defense Password Management Guideline, National Computer Security Center, April, 1985.

76. NCSC87. A Guide to Understanding Discretionary Access Control in Trusted Systems, NCSC-TG-003, Version 1, September 30, 1987.

77. NCSL90. National Computer Systems Laboratory (NCSL) Bulletin, Data Encryption Standard, June, 1990/

78. NIST85. Federal Information Processing Standard (FIPS PUB) 112, Password Usage, May, 1985.

79. OLDE92. Oldehoeft, Arthur E.; Foundations of a Security Policy for Use of the National Research and Educational Network, NIST Interagency Report, NISTIR 4734, February 1992.

80. ROBA91. Roback Edward, NIST Coordinator, Glossary of Computer Security Terminology, NISTIR 4659, September, 1991.

81. SMID88. Smid, Miles, E. Barker, D .Balenson, and M. Haykin; Message Authentication Code (MAC) Validation System: Requirements and Procedures, NIST Special Publication 500-156, May,1988/

82. STIE85. Steinauer, Dennis D.; Security of Personal Computer Systems: A Management Guide, NBS Special Publication 500-120, January, 1985.

83. TODD89. Todd, Mary Anne and Constance Guitian, Computer Security Training Guidelines, NIST Special Publication 500-172, November, 1989.

84. WACK91. Wack, John P.; Establishing a Computer Security Incident Response Capability (CSIRC), NIST Special Publication 800-3, No 2.8, May 31,2003.

85. WACK89. Wack, John P., and L. Carnahan; Computer Viruses and Related Threats:A Management Guide, NIST Special Publication 500-166, August 1989.'

86. X9F292. Information Security Guideline for Financial Institutions, X9TG-5, Accredited Committee X9F2, March 1992.

87. Davis G. Management Information Systems: Conceptual Foundations, Structure and Development. Ч New York: McGraw-Hill, 1974.

88. Druzdzel M. J., Flynn R. R. Decision Support Systems. Encyclopedia of Library and Information Science. A. Kent, Marcel Dekker, Inc., 1999.

89. Edwards J.S. Expert Systems in Management and Administration Are they reall different from Decision Support Systems? // European Journal of Operational Research, 1992. - Vol. 61. - pp. 114-121.

90. Eom H., Lee S. Decision Support Systems Applications Research: A Bibliograph (1971-1988) // European Journal of Operational Research, 1990. -N 46. pp. 333-342.

91. Finlay P. N. Introducing decision support systems. Oxford, UK Cambridge Mass., NCC Blackwell: Blackwell Publishers, 1994.

92. Ginzberg M.I., Stohr E.A. Decision Support Systems: Issues and Perspectives /Processes and Tools for Decision Support / ed. by H.G. Sol. Amsterdam: North Holland Pub.Co, 1983.

93. Keen P.G.W. Decision support systems: a research perspective. Decision support systems : issues and challenges. G. Fick and R. H. Sprague. Oxford ; New York Pergamon Press, 1980.

94. Hwang C.L.,Maguel A.S. Multiple objective decision making methods and applications . A state of the art survey.- Lectures notes in economics and mathematical systems. 1979. №164.

95. Keen P.G.W., Scott Morton M. S. Decision support systems :an organiza-tionalperspective. Reading, Mass.: Addison-Wesley Pub. Co., 1978.

96. Little I.D.C. Models and Managers: The Concept of a Decision Calculus /1. Management, June, 1974.

97. Power D. J. "What is a DSS?" // The On-Line Executive Journal for Data-Intensive Decision Support, 1997. v. 1. - N3.

98. Power D. J. Web-based and model-driven decision support systems: concepts andjssues. Americas Conference on Information Systems, Long Beach, California, 2000.

99. Power D.J. A Brief History of Decision Support Systems. DSSRe-sources.COM,World Wide Web,Ссыка на домен более не работаетhistory/dsshistory.html, version

100. Reading, Mass.: Addison-Wesley Pub., 1980.

101. Sen A.K. Choice functions and revealed preferences. Review of Economic Studies, №38,1971 p. 301-317.

102. Scott Morton M. S. Management Decision Systems: Computer-based Support for Decision Making. Boston: Harvard University, 1971.

103. Sprague R. H., Carlson E. D. Building Effective Decision Support Systems. Englewood Cliffs, NJ: Prentice-Hall, 1982.

104. Sprague R.H. A Framework for the Development of Decision Support Systems // MIS Quarterly, 1980. v. 4. - pp. 1-26.

105. Thieranf R.J. Decision Support Systems for Effective Planing and Control. Englewood Cliffs, N.J: Prentice Hall, Inc, 1982.

106. Turban, E. Decision support and expert systems: management support systems. Englewood Cliffs, N.J.: Prentice Hall, 1995.

107. Zwicky F. Discovery invention, research through the morphological approach/ New York: Mc.Millan & Co., 1969/

Похожие диссертации

• Экономическое обоснование перспективы производства и потребления кузнецких энергетических углей
• Методы оценки коммерческого потенциала интелектуального продукта
• Экономическая оценка эффективности управления складами тарно-штучных грузов
• Методические инструменты комплексной диагностики судостроительных предприятий для целей антикризисного управления
• Принятие управленческих решений при выборе вариантов региональных инвестиционных проектов с учетом фактора времени