Финансовые методы управления информационными рисками предприятия тема диссертации и автореферата по ВАК РФ 08.00.10, кандидат экономических наук Ольхович, Евгений Александрович

Актуальность темы диссертационного исследования определяется необходимостью использования финансовых методов управления информационными рисками предприятия, базирующихся на научном подходе, анализе практического опыта российских и зарубежных предприятий, российских и международных стандартах в области защиты информации. В последние годы прогресс в сфере информационных технологий, превращение информации в производственный ресурс, колоссальный рост объемов информации обусловили формирование новой отрасли бизнеса - создание продуктов и оказание услуг по защите информации. Потребителями этих услуг потенциально являются юридические (частные и государственные) и физические лица, для которых, во-первых, информационные ресурсы являются весомой и дорогостоящей частью активов, а, во-вторых, значительные финансовые затраты вполне возможны и позволительны. При этом предприятия малого и среднего бизнеса не относятся к активным потребителям этого рынка, хотя вполне осознают и ощущают такую необходимость. Вместе с тем и они обязаны защищать свою информацию, поскольку в ином случае успешное ведение бизнеса просто не возможно.

За 2006 г. крупнейшие компании России, производящие информационные продукты для защиты бизнес-информации «выросли» на 64,3% по сравнению с 2005-м, который считался до того рекордным (его показатель роста составил 38,4%). Таким образом, первая тридцатка игроков на рынке ИБ растет в два раза быстрее, чем первая сотня ИТ-компаний страны.

Важность темы исследования определяется также беспрецедентным ростом нарушений информационной безопасности в мире и усиливающейся тяжестью их последствий. Общее число нарушений ежегодно увеличивается более, чем на 100%. В России, по статистике правоохранительных органов, число выявленных преступлений в сфере компьютерной информации возрастает за год в среднем в 3-4 раза. Статистика свидетельствует также, что если коммерческая организация допускает утечку более 20% важной внутренней информации, то она в 60-ти случаях из 100 банкротится.1 Известно также, что 93% компаний, лишившихся

1 Баутов А. Эффективность защиты информации/Юткрытые системы, 2003, № 7-8. доступа к собственной информации на срок более 10 дней, покинули бизнес, причем половина из них заявила о своей несостоятельности немедленно.2

По результатам проведенного исследования «Внутренние ИТ-угрозы в России в 2006 г.», в среднем каждая вторая отечественная организация допустила в 2006 г. минимум одну утечку информации, что в среднем принесло ущерб около 3 млн. долл. Исследование "National Survey on Managing the Insider Threats" опыта 500 компаний позволило подсчитать средний ущерб от одной утечки, составивший почти 3,4 млн. долл.3

Среди действующих методов управления информационными рисками, апробироваиных отечественными предприятиями, отсутствуют научно обоснованные, эффективные финансовые методы, которые позволяют не только сформировать стоимостные показатели оценки и эффективности затрат на мероприятия по защите информации, но планировать эти затраты.

Таким образом, актуальность избранной темы подтверждается необходимостью не только поиска финансовых способов защиты всей информации на предприятии, но и формирования целостной эффективной системы управления информационными рисками. Важность данных аспектов будет по-прежнему нарастать, и финансовые механизмы управления деятельностью предприятий по защите информации призваны сыграть в решении данной проблемы существенную роль.

Таким образом, постановка и научное обоснование проблемы информационных рисков предприятия, разработка рекомендаций по применению финансовых методов управления этими рисками представляются важными направлениями экономической науки, имеющими очевидную практическую ценность.

Объектом исследования является система управления информационными рисками предприятия (СУИР), в которой существенное место отводится финансовым методам.

Предметом исследования выступают методы финансового управления, позволяющие определить затраты на управление информационными рисками предприятия с целью минимизации убытков от потери информации.

2 Ездаков А., Макарова О. Как защитить информацию//Сети, 1997, № 8.

3 Ponemon Institute, 2006.

Целью диссертационного исследования является разработка теоретических концептуальных положений и методологических подходов к использованию финансовых методов управления информационными рисками предприятий. Для достижения указанной цели в работе были поставлены и решались следующие задачи:

- провести научный анализ теоретических концепций в области применения финансовых методов управления информацией предприятия;

- выявить и научно обосновать взаимосвязи финансов и информатизации предприятий;

- определить понятие информационного риска предприятия и разработать классификацию источников информационных рисков;

- разработать концептуальную модель системы управления информационными рисками предприятия, включающую комплекс элементов;

- критически рассмотреть финансовые методы управления информационными рисками;

- разработать методику оценки информационных рисков предприятия;

- разработать для предприятия план мероприятий по снижению информационных рисков, направленный на оптимизацию затрат на управление информационными рисками; составить рекомендации по бюджетированию затрат на управление информационными рисками; предложить методические подходы для расчета экономической эффективности затрат на управление информационными рисками с использованием предложенного алгоритма.

Теоретической основой исследования явились труды зарубежных и отечественных ученых в области экономической теории, корпоративных финансов, финансового менеджмента, риск-менеджмента, управления предприятием, экономико-математических методов, теории экономической безопасности, концепций информационной безопасности, теории инвестиций, а также информатизации управленческих и экономических процессов.

При обосновании и разработке положений диссертации использовались результаты анализа взаимодействия финансовых и информационных служб отечественных предприятий и зарубежных компаний, исследовались механизмы повышения эффективности затрат на управление информацией и информационными рисками, применялись системный подход, методы статистического и системно-структурного анализа. При подготовке диссертации использованы результаты аналитических научных исследований и обзоров, опубликованных в периодической печати, законодательные и нормативные документы Российской Федерации, а также международные стандарты в области защиты информации.

Методологическую основу диссертации составили методы финансового менеджмента, экономико-математические методы и модели, логические и графические методы, системный анализ, классификация, сравнение, группировка, а также принципы диалектической логики, позволяющие рассматривать все явления и процессы в развитии и взаимосвязи.

Эмпирическую основу исследования составили: законодательные акты Российской Федерации, отечественные и международные стандарты по защите информации, рекомендательные материалы, методические указания Банка России, Ассоциации менеджеров России, Российского союза промышленников и предпринимателей, международных негосударственных организаций по обеспечению информационной безопасности предприятий и граждан, управлению информационными рисками, организации бюджетирования; статистические и аналитические материалы Министерства финансов РФ, Федеральной службы государственной статистики; публикации в профессиональных экономических российских и зарубежных изданиях периодической печати.

Научная новизна проведенного исследования состоит в следующем: - представлена концепция взаимосвязи финансов и информатизации бизнеса, включающая пять концептуальных научно-практических областей, каждая из которых содержит теоретические концепции, методологию, инструментарий, индикаторы эффективности процессов;

- обоснована необходимость разработки и применения финансовых методов управления информационными рисками предприятия, исходя из того, что информация есть актив предприятия, часть имущества, нуждающаяся в финансовом управлении;

- предложена концепция управления информационными рисками предприятия, включающая понятие риска, классификацию его источников, рисков, цель, задачи, принципы, уровни, субъекты, объекты, политику, методы управления; разработан методический комплекс финансового управления информационными рисками предприятия, включающий методики и методические подходы к определению, оценке, планированию и бюджетированию затрат предприятия на управление информационными рисками;

- предложен алгоритм расчёта экономической эффективности и формирования бюджета затрат на управление информационными ресурсами предприятия.

Практическая значимость результатов исследования состоит в разработке: методического комплекса бюджетирования затрат на управление информационными рисками с применением комбинированного способа разбивки затрат по статьям бюджета, включающего статистические данные, бенчмарки, а также прямое калькулирование затрат на реализацию плановых мероприятий с последующим суммированием их по статьям;

- алгоритма расчета экономической эффективности и формирования бюджета затрат на управление информационными рисками;

- методики оценки и планирования информационных рисков предприятия, включающей выявление состава информационных ресурсов, функционирующих в автоматизированной системе предприятия, определение их ценности, уязвимостей, оценку возможных потерь; рекомендации для предприятий по финансовому управлению информационными рисками, принятию решения в части использования собственных или привлеченных способов защиты информации.

Апробация результатов работы.

Экспериментальная проверка научных положений и методических разработок проведена в ЗАО "БАНК Кредит Свисс (Москва)" и па предприятии ООО "Эколайн". Основные положения и выводы диссертационной работы послужили основой лекционных и семинарских занятий на финансовом факультете и в магистратуре Российской экономической академии им. Г.В. Плеханова. Результаты диссертационного исследования были доложены автором на ХХ1-х Международных Плехановских чтениях (РЭА им. Г.В. Плеханова, 2008 г.), Международной научно-практической конференции молодых ученых и аспирантов «Новая российская экономика: движущие силы и факторы» в Ярославском госуниверситете в 2007 г.

Публикации. Основные положения диссертации отражены в 7 опубликованных работах общим объемом 3,2 п.л. (в т.ч. две статьи в журналах, рекомендованных ВАК).

Логика и структура исследования. Логика исследования определяет структуру работы, состоящей из введения, трех глав, заключения, списка использованной литературы и приложений. Диссертация, включая 8 приложений, изложена на 138 страницах машинописного текста, содержит 13 таблиц и 15 рисунков. Список использованной литературы включает 131 наименование.

ЗАКЛЮЧЕНИЕ

Проведенное исследование позволило сформулировать следующие выводы и предложения.

1. Автором идентифицировано пять областей взаимосвязи финансов с информационными технологиями (ИТ), каждая из которых включает собственные теоретические концепции, методологию, инструментарий, индикаторы эффективности процессов и т.д. Первая область - взаимосвязи по линии защиты финансовой информации, вторая область - взаимосвязи в части превращения информационных активов предприятий в фактор роста стоимости бизнеса; третья область - комплекс проблем финансовой оценки эффективности использования предприятием отдельных информационных технологий (ИТ-продуктов) или корпоративных систем (КИС); четвертая область - комплекс проблем применения 1Т-техпологий в финансовом менеджменте; пятая область — в части финансового управления информационными рисками.

2. Предложено использовать в научном и деловом обороте применительно к деятельности предприятий и организаций понятие информационных рисков, которое в определенной степени позволит, во-первых, исключить путаницу в терминологии, во-вторых, связать два важнейших и наиболее актуальных сегодня направления деятельности предприятий в единое целое (информатизация бизнеса и финансовое управление бизнесом), а, в-третьнх, использовать для исследования этой категории созданные экономической и управленческой наукой и апробированные деловой практикой методы риск-менеджмента.

3. Составлена классификация источников информационных рисков ( потенциально возможные событий, действий, процессов или явлений, которые могут привести к нарушению конфиденциальности информации, ее утрате или неправомерному использованию) по нескольким критериям: - по отношению к предприятию (виуфенние и внешние); - по характеру нанесенного ущерба (источники, влекущие за собой моральный или материальный ущерб); - по вероятности появления; - по причинам возникновения.

4. Обоснована необходимость создания на предприятиях эффективной системы управления информационными рисками (СУИР), обусловленная следующими причинами: обеспечением информационной безопасности, т.е. защиты от кражи, утраты, несанкционированного доступа и т.д.; возможностью извлечения доходов от использования информационных активов (информационных ресурсов) предприятия; положительным влиянием информационного капитала в составе нематериальных активов на рост стоимости предприятия; достижением эффективности использования предприятием отдельных информационных продуктов или созданной КИС и на этой основе роста внутренних бизнес-процессов.

5. СУИР предприятия представляет собой комплекс взаимосвязанных элементов, функционирование которого имеет целью минимизацию информационных рисков, т.е. убытков и ущерба. К элементам СУИР относятся цель, задачи управления ИР, принципы построения СУИР, методы управления ИР, объекты, субъекты и уровни (внешний государственный или международный уровень, бизнес-уровень самого предприятия, уровень бизнес-подразделений (функциональных единиц, использующих информационные технологии), а также уровень сотрудников) управления, политика информационной безопасности предприятия, международные и национальные стандарты регулирования.

6. Систематизированы методы управления ИР на разных уровнях управления, в т.ч. на предприятии, к которым относятся административные, процедурные (организационные), программно-технические методы, финансово-экономические (планирование, стоимостную оценку, бюджетирование, стоимостную оценку эффективности затрат, оптимизацию затрат, инвестиционный анализ 1Т-проектов, страхование), существуют различные типы классификации методов управления ИР предприятия. Так, например, их подразделяют на правовые (внутренние и внешние), организационные, инженерно-технические и финансово-экономические.

7. Определены финансовые методы управления информационными рисками, включающие оценку рисков, расчет вероятных денежных убытков от их реализации, бюджетирование затрат на управление рисками, страхование рисков и др.

8. Анализ подходов к страхованию как одному из финансовых методов управления ИР позволил заключить, что проблема оценки стоимости информационных ресурсов и методики оценки фактически отсутствуют.

Стоимость информации должна определяться с учетом конкретных условий, характеристик потребляющих ее систем, особенностей источника и получателя информации. Общие подходы к оценке стоимости информации таковы: прямая выгода, которая может быть обеспечена в результате получения информации; прямые убытки, которые могут быть нанесены в результате утраты информации; минимальная стоимость затрат на восстановление информации.

9. Определено содержание понятия «эффекта от управления ИР», что означает результат, который получит компания, создав и поддерживая СУ ИР. Эффект бывает как положительным, так и отрицательным. Положительный эффект может быть получен в следующих формах: меньший по стоимости ущерб от инцидентов, чем в прошлом периоде; экономия по объему затрат на управление ИР в сравнении с бюджетом прошлого периода; экономия средств за счет высвобождения персонала при внедрении новых средств защиты; привлечение новых инвесторов, деловых партнеров, клиентов (рост продаж, капитала) за счет укрепления репутации компании как надежно защищенной в части информации. Отрицательный эффект может быть получен в тех же формах, но со знаком минус. Это будут потери, затраты, ущерб. Т.о. затраты на разработку проектов защиты информации, закупку необходимых элементов безопасности и эксплуатацию систем защиты для владельца информации есть ни что иное, как материализованный экономический ущерб.

10. Разработана методика оценки и планирования информационных рисков предприятия, предназначенная для исследования состава информационных ресурсов, функционирующих в автоматизированной системе предприятия, определения их ценности, уязвнмостей, оценки ожидаемых потерь. Методика является основой для формирования комплекса мер по противодействию возможным угрозам.

11. Составлен план мероприятий, финансирование которого позволит понизить остаточные информационные риск предприятия с целью обеспечения возможности формализации потенциального экономического эффекта.

12. Проведенное обследование информационных ресурсов малого инновационного предприятия позволило идентифицировать перечень вероятных источников рисков (угроз), составить модели нарушителей и провести оценку остаточных информационных рисков.

13. Разработан и предложен для использования методический комплекс финансового управления информационными рисками предприятия.

15. Для бюджетирования затрат предприятия на управление ИР и определения структуры бюджета УИР предложены два способа. В первом случае разбивку по статьям бюджета можно осуществить на основании статистических данных, бенчмарков. Во втором варианте расчет затрат можно вести путем прямого калькулирования затрат на реализацию плановых мероприятий (табл. 6) с последующим суммированием их по статьям. В работе рекомендуется использовать комбинированный способ, который предполагает на первом этапе бюджетного проектирования использование бенчмарков для постатейной разбивки бюджета.

16. Составлен бюджет затрат па управление информационными рисками предприятия.

17. Разработана методика определения целесообразности и расчета экономической эффективности расходов на управление ИР. Предложны формулы для расчета эффективности затрат.

18. Сравнение существующих методов оценки затрат на управление ИР показало, что в большинстве случаев их применение довольно трудоемко. В условиях значительной неопределенности формализации угроз и потенциального ущерба на фоне вероятностного планирования рисков реализации этих угроз высокая точность, которую обеспечивают указанные методы, оказывается излишней. Особенно для предприятий малого и среднего бизнеса.

19. В ходе расчетов выявлено, что наибольшую сложность представляет правильный расчет величины ущерба «Угц» от установленной в результате обследования предприятия совокупности угроз. Рассмотрение методов расчета величины возможного ущерба (статистического, экспертных оценок, расчетио-аналитпческого) показало, что для исследуемого малого предприятия в большей степени подходит статистический метод.

20. Разработан и предложен алгоритм бюджетирования затрат на управление ИР и определения их экономического эффекта, который включает последовательную реализацию следующих шести шагов:

Шаг 1. Определение затрат на УИР с применением косвенного калькулирования

Шаг 2. Расчёт исходных рисков Шаг 3. Определение исходного ущерба Шаг 4. Расчёт остаточных рисков

Шаг 5. Прямое калькулирование затрат по статьям бюджета Шаг 6. Расчёт экономического эффекта и принятие бюджета

1. Нормативные документы

2. Конституция Российской Федерации (принята 2 декабря 1993 г.)

3. Гражданский кодекс Российской Федерации с изменениями и дополнениями на 1 января 2007 года.

4. Закон РФ «Об информации, информационных технологиях и защите информации» № 149-ФЗ от 27.07.2006 г.

5. Закон РФ «О коммерческой тайне» №98-ФЗ от 29.07.2004 г. в ред. от 18.12.2006 г.

6. Закон РФ «О персональных данных» № 152-ФЗ от 27.07.2007 г.

7. Доктрина информационной безопасности РФ. Утверждена Президентом РФ 9.09.2000 г. №Пр-1895.

8. Постановление Правительства РФ «О лицензировании деятельности по технической защите конфиденциальной информации» №504 от 15.08.2006 г.

9. ГОСТ Р 51624-2000 «Автоматизированные системы в защищенном исполнении».

10. ISO 18028 IT Network Security («ИТ сетевая безопасность»),

11. ISO 17944 Framework for security in financial systems («Основа безопасности в финансовом секторе»).

12. ISO 17799 Code of practice for information security management («Свод правил для управления информационной безопасностью»)

13. ГОСТ Р 50922-96. Защита информации. Основные термины и определения.

14. ИСО/МЭК 15408-99 «Критерии оценки безопасности информационных технологий».

15. Монографии, учебно-методическая литература

16. Алексеева И.Ю., Авчаров И.В., Вотрин Д.С. , Стрельцов A.A. и др. Информационные вызовы национальной и международной безопасности./Под общей ред. Â.B. Федорова и В.Н. Цыгичко. М., ПИР-Центр, 2001.

17. Анализ типовых нарушений безопасности в сетях / Норткан С., Купер М., Фирноу М. и др.; Пер. с англ. под ред. A.A. Чекаткова. М.: Вильяме, 2001.

18. Аникин Б.А. Аутсорсинг: создание высокоэффективных и конкурентоспособных организаций., М., 2003

19. Анин Б.Ю. Защита компьютерной информации. СПб.: BHV-Саикт-Петербург, 2000.

20. Аскеров Т.М. Защита информации и информационная безопасность. Учеб. пособие. Под ред. К.И. Курбакова. М.: Рос.экоп.акад., 2001.

21. Бабаш A.B. Криптография: Учеб. пособие. / Бабаш A.B., Шанкин Т.П. М.: СОЛОН-Р, 2002.

22. Байбурин В.Б., Бровкова М.Б., Пластун р1.Л. и др. Введение в защиту информации. Учеб. пособие. М.: ФОРУМ-ИНФРА-М, 2004.

23. Баутов А.Н. Программно-методическое обеспечение «Расчет рисков и вычисление оптимальных затрат на систему защиты информации от несанкционированных действий и сохранение конфиденциальности информационных ресурсов». М., 2001.

24. БаяндинН.И. Технологии безопасности бизнеса. М.: Юристъ, 2002.

25. Беззубцев O.A. Лицензирование и сертификация в области защиты информации: Учеб. пособие / Беззубцев O.A., Ковалев А.Н. М., 1996.

26. Бланк И.А. Управление спользованием капитала / И.А. Бланк К.: «Ника-Центр», 2000. -656 с. - (Серия «Библиотека финансового менеджера»; вып. 5).

27. Бочаров В.В. Финансово-кредитные методы регулирования рынка инвестиций. М., 1993.

28. Бригхем Ю. Финансовый менеджмент: Полный курс: в 2-х т.: Пер. с англ. / Ю. Бригхем, Л. Гапенски; Под ред. В.В. Ковалева. СПб.: Экономическая школа, 2000.-т. 2. 669 с.

29. Бурцев В.В. Аналитические функции бюджетирования / В.В. Бурцев // Дайджест-Финансы. №1. -2004. -С.2-6.

30. Буянов В.П., Кирсанов К.А., Михайлов Л.А. Управление рисками (рискология). М.: Экзамен, 2002.

31. Валдайцев C.B. Оценка бизнеса и управление стоимостью предприятия : Учеб. Пособие для вузов. М.: ЮНИТИ-ДАНА, 2001.

32. Варфоломеев В.И. Алгоритмическое моделирование элементов экономических систем : Практикум. Учеб. пособие / В.И. Варфоломеев М.: Финансы и статистика, 2000. -2000. - 208 с.

33. Владимирова Л.П. Прогнозирование и планирование в условиях рынка: Учеб. пособие / Л.П. Владимирова. М.: ИД «Дашков и КО», 2000. - 308 с.

34. Волоткин A.B., Маношкип А.П. Информационная безопасность. М.: НТЦ «ФИОРД-ИНФО», 2002.

35. Галатенко В.А. Информационная безопасность: практический подход / Под ред. БетелинаВ.Б.; Рос. акад. наук. НИИ систем, исслед. М.: Наука, 1998.

36. Гариаев А.Ю. Использование MS EXCEL и VBA в экономике и финансах /

37. A.Ю. Гарнаев. СПб.: БХВ - Санкт-Петербург, 1999. -336 с.

38. Гаценко О.Ю. Защита информации. Основы организационного управления. СПб.: Изд. Дом «Сентябрь», 2001.

39. Гибкое развитие предприятия: Эффективность и бюджетирование / Самочкин В.Н., Пронин Ю.Б., Логачева E.H. и др. М.: Дело, 2000. - 352 с.

40. Голиусов A.A., Дубровин A.C., Лавлинский В.А. и др. Методические основы проектирования программных систем защиты информации. Воронеж: ВИРЭ, 2002.

41. Горемыкин В.А. Планирование на предприятии. Учебник /

42. B.А.Горемыкин, Э.Р. Бугулов, А.Ю. Богомолов М.: ИИд «Филинъ», 1999. - 328 с.

43. Граф М.'Риски аутсорсинга IT', 1998.

44. Дугельный А.П., Комаров В.Ф. Бюджетное управление предприятием. -М.: Дело, 2003.

45. Завгородний В.И. Комплексная защита информации в компьютерных системах: Учеб. пособие для вузов. М.: Логос, 2001.

46. Зегжда Д.П. Основы безопасности информационных систем / Зегжда Д.П., Ивашко A.M. M.: Горячая линия-Телеком, 2000.

47. Ивашковская И.В. Управляемая стоимость. Секрет фирмы, №4 (20), 2003.

48. Информационное общество. Информационные войны. Информационное управление. Информационная безопасность. С-Пб.: СПб ун-т, 1999.

49. Карлберг К. Бизнес-анализ с помощью Excel 2000.: Пер. с англ.: Учеб. пос./ К. Карлберг. М.: ИД «Вильяме», 2000. - 480 с.

50. Календжян С.О., Аутсорсинг и делегирование полномочий в деятельности компаний. -М., 2003.

51. Кирсанов К.А. Информационная безопасность: Учеб. пособие / Кирсанов К.А., Малявина A.B., Попов H.B. М.: МАЭП, 2000.

52. Кныш М.И., Перекатов Б.А., Тютиков Ю.П. Стратегическое планирование инвестиционной деятельности. СПб., 1998.

53. Конеев И.Р., Беляев A.B. Информационная безопасность предприятия. СПб.: «БХВ-Петербург», 2003.

54. Копылов В.А. Информационное право. Учебник. М., Юристъ, 2002.

55. Крушвиц JI. Финансирование и инвестиции. Неоклассические основы теории финансов: Пер. с нем. / JI. Крушвиц; Под ред. В.В. Ковалева и З.А. Сабова. СПб.: Изд-во «Питер», 2000. - 400 с.

56. Кузьмин Ю. Системы автоматизации бюджетирования предприятий // Финансовый директор. №2. - 2003. - С. 67.

57. Левин М. Хакинг и фрикинг: Методы, атаки, секреты, взлом и защита. М.: Оверлей, 2000.

58. ЛипсицИ.В., Коссов В.В. Инвестиционный проект. М., 1996.

59. Ловцов Д.А. Информационная безопасность больших эргатических систем: концептуальные аспекты. М., 1998.

60. Лопатин В.Н. Информационная безопасность России: Человек. Общество. Государство. С-Пб.: Фонд «Университет», 2000.

61. Лукацкий A.B. Краткий толковый словарь по информационной безопасности. М., 2000.

62. Лукацкий A.B. Обнаружение атак: Практ. рукводство. СПб. и др.: БХВ-Петербург, 2001.

63. Малюк A.A. Информационная безопасность: концептуальные и методологические основы защиты информации. М.: Горячая линия — Телеком, 2004.

64. Мельников В.П., Клейменов С.А., Петраков A.M. М.: «Академия», 2005.

65. Методические рекомендации по оценке инвестиционных проектов: (Вторая редакция) / М-во экон. РФ, М-во фин. РФ,ГК по стр-ву, архиг. и жил.политике; рук. авт. кол.: Косов В.В., Лившиц В.Н., Шахназаров А.Г. М.: ОАО НПО «Изд-во «Экономика», 2000.-421 с.

66. Моделирование рисковых ситуаций в экономике и бизнесе: Учеб. пособие /A.M. Дубров, Б.А. Лагоша, Е.Ю. Хрусталев; Под ред. Б.А. Лагоши. М.: Финансы и статистика, 2000. - 176 с.

67. Панкратьев В.В. Корпоративная безопасность. Методическое пособие по спецкурсу. М., 2005.

68. Партыка Т.Л., Попов И.И. Информационная безопасность. М.: ИД «Форум», 2002.

69. Петраков A.B. Основы практической защиты информации. М.: Радио и связь, 2000.

70. Петровский А.И. Хакинг, крэкинг и фрикинг: Секреты, описания атак, взлом и защита. М.: Солон-Р, 2001.

71. Почепцов Г.Г. Информационные войны. М.: «Рефл-бук», 2001.

72. Приходько А.Я. Информационная безопасность в событиях и фактах. М.: Синтег, 2001.

73. Проскурин В.Г. Защита в операционных системах: Програм.-аппарат. средства обеспечения информ. безопасности: Учеб. пособие / Проскурин В.Г., Кругов C.B., Мацкевич И.В. М.: Радио и связь, 2000.

74. Пярин В.А., Кузьмин A.C. , Смирнов С.Н. Безопасность электронного бизнеса. М.: Гелиос-АРВ, 2002.

75. Романец Ю.В. Защита информации в компьютерных системах и сетях / Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. 2-е изд., перераб. и доп. М.: Радио и связь, 2001.

76. Садсрдинов A.A., Трайнев В.А., Федулов A.A. Информационная безопасность предприятия. М.: «Дашков и К», 2004.

77. Семкин С.Н. Основы информационной безопасности объектов обработки информации: Науч.-практ. пособие / Семкин С.Н., Семкин А.Н. М., 2000.

78. Скембрей Д. Секреты хакеров. Безопасность сетей готовые решения: Пер. с англ. / Скембрей Д., Мак-Клар С., Курц Д. - 2-е изд. М.: Вильяме, 2001.

79. Соколов A.B. Методы информационной защиты объектов и компьютерных сетей / Соколов A.B., Степангок О.М. СПб.: Полигон; М.: ACT, 2000.

80. Стрельцов A.A. Обеспечение информационной безопасности России. Под ред. В.А. Садовничего и В.П. Шерстюка М.: МЦНМО, 2002.

81. Теоретические основы информатики и информационная безопасность. Под ред. В.А. Минаева, В.Н. Саблина. М.: Радио и связь, 2000.

82. Технические методы и средства защиты информации / Максимов Ю.Н., Сонников В.Г., Петров В.Г. и др. СПб: Полигон, 2000.

83. Торокин A.A. Инженерно-техническая защита информации: Учебное пособие. М.: Гелиос АРВ, 2005.

84. Терри Дики. Бюджетирование малого бизнеса. Азбука предпринимательства / Терри Дики С-П.: ООО «Изд-во «Полигон». - 230 с.

85. Уотшем Т.Дж. Количественные методы в финансах: Учеб. пособие для вузов: Пер. с англ. / Т. Дж. Уотшем, К. Паррамоу; Под. ред. М.Р. Ефимовой. М.: Финансы, ЮНИТИ, 1999. - 527 с.

86. Управление затратами на предприятии: Учебник / Лебедев В.Г., Дроздов Т.Т., Кустарев В.П. и др.; Под общ. ред Г.А. Краюхина. СПб.: ИД «Бизнес-пресса», 200. -277 с.

87. Устинов Г.Н. Основы информационной безопасности систем и сетей передачи данных. М.: Синтег, 2000.

88. Уфимцев Ю.С., Ерофеев Е.А. Информационная безопасность России. М., Экзамен, 2003.

89. Фабоцци Ф. Управление инвестициями : Пер. с англ. М.: ИНФРА-М,2000.

90. Хруцкий В.Е., Сизова Т.В. Гамаюнов В.В. Внутрифирменное бюджетирование: настольная книга по постановке финансового планирования -М.: Финансы и статистика, 2004.

91. Шарп У.Ф., Александер Г.Дж., Бэйли Д.В. Инвестиции. М.: ИНФРА-М,1997.

92. Шумский A.A., Шелупанов A.A. Системный анализ в защите информации: Учебное пособие. М.: Гелиос АРВ, 2005.

93. Щербаков А.Ю. Введение в теорию и практику компьютерной безопасности. М.: Молгачева, 2001.

94. Щиборщ К.В. Бюджетирование деятельности промышленных предприятий России / К.В. Щиборщ. 2-е изд., переоаб и доп. - М.: Издательство «Дело и Сервис», 2004. - 592 с.

95. Ярочкин В.И. Безопасность информационных систем / Попеч. совет правоохран. органов. М.: Ось-89, 1996.

96. Ярочкин В.И. Информационная безопасность. Учебник для вузов. М., Фонд «Мир», 2003.1. Статьи

97. А. Баутов, Экономический взгляд на проблемы информационной безопасности. //Открытые системы, 2002, № 2.

98. В. Козлов. Критерии информационной безопасности и поддерживающие их стандарты: состояние и тенденции, «Стандарты в проектах современных информационных систем». Сборник трудов Н-й Всероссийской практической конференции. Москва, 27-28 марта 2002 года.

99. Волков Д. Части и целое./Юткрытые системы, 2004, № 10.

100. Демин В. Безопасность в виртуальном пространстве // Безопасность. Достоверность. Информация, 2002, № 2.97. Журнал «Сети», 2004, №9.

101. Иноземцев В. Парадоксы постиндустриальной экономики (инвестиции, производительность и хозяйственный рост в 90-е годы).//МэиМО, 2000, №3.

102. Информатизация и информационная безопасность правоохранительных органов. XI Международная научная конференция 21-22.05.2002. Сборник трудов. М.: Академия управления МВД, 2002.

103. Как подготовиться к выбору корпоративной информационной системы //Финансовый директор, 2002, № 3 (сентябрь).

104. Керимов В.Э. Профилактика и предупреждение преступлений в сфере компьютерной информации / Керимов В.Э., Керимов В.В. // "Черные дыры" в Российском законодательстве, 2002, № 1.

105. Кононов А. Страхование нового века. Как повысить безопасность информационной инфраструктуры. М.: Connect, 12, 2001.

106. Jl. Хмелев. Оценка эффективности мер безопасности, закладываемых при проектировании электронно-информационных систем. Труды научно-технической конференции «Безопасность информационных технологий», Пенза, июнь 2001.

107. Махинов Д.В., Рогозин Д.А., Савченко А.В. Комплексная оценка угроз качеству функционирования эргатических информационно-управляющих систем//Телекоммуникации, 2002, № 1.

108. Мещеряков В.А. Криминалистическая классификация преступлений в сфере компьютерной информации.// Конфидент, 1999, №4-5.

109. Минаев В., Карпычев В. Экономические аспекты информационной безопасности//Вестник связи International, 2003, № 8.

110. Петренко С. А., Терехова Е.М. Оценка затрат на защиту информации.//Защита информации, 2005, № 1, январь-февраль.

111. Провоторов В. Агенты конкурента на вашем предприятии // Безопасность. Достоверность. Информация, 2002, № 3.

112. С. Вихорев, Р. Кобцев, Как определить источники угроз.// Открытые системы, 2002, № 7-8.

113. Симонов С. Технологии и инструментарий для управления рисками./ZJet Info, 2003, №2.

114. Стратегия компании в области информационных техпологий//Финансовый директор, 2003, № 7 (июль).1. Прочие источники

115. Математический энциклопедический словарь./Под ред. Ю.В. Прохорова. М.: Изд-во «Большая российская энциклопедия», 1995.

116. Ожегов С.И. Словарь русского языка, 20-е издание. М.: Рус. яз, 1988.1. Зарубежные источники114. 2003 Industry Survey — Information Security, October 2003.

117. Anne Marie Willhite. Systems Engineering at MITRE Risk Management, Rl, MP96Booool20, September, 1998; Risk Matrix.

118. Hackett Group, Ongoing Benckmarking Survey, 2000.

119. Managing the Threat of Denial-of-Service Attacks, CERT- Coordination Center, October 2003.

120. R. Witty, J. Dubiel, J. Girard, J. Graff, A, Hallawell ets. The Price of Information Security. Gartner Research, Strategic Analysis Report, K-11-6534, June, 2001.