Методология оценки эффективности обеспечения безопасности в экономических информационных системах тема диссертации и автореферата по ВАК РФ 08.00.13, кандидат экономических наук Приступа, Артем Сергеевич

В современных условиях динамично развивающихся экономических, социальных, общественно-политических, технологических процессов коммерческое предприятие должно обеспечивать себе стабильное положение и авторитет на рынке, должно уметь защитить свой бизнес и, соответственно, свою информацию.

Проблема защиты информации от постороннего доступа и нежелательных воздействий на нее возникла тогда, когда владельцу этой информации по каким-либо причинам не захотелось ею с кем-либо делиться. С развитием человеческого общества, появлением частной собственности, государственного строя, борьбой за власть и дальнейшим расширением масштабов человеческой деятельности информация приобретает цену. Ценной становится та информация, обладание которой позволит ее существующему и потенциальному владельцам получить какой-либо выигрыш: материальный, политический, военный и т.д.

С переходом на использование технических средств связи информация подвергается воздействию случайных процессов: неисправностям и сбоям оборудования, ошибкам операторов и т.д., которые могут привести к ее разрушению, изменениям на ложную, а также создать предпосылки к доступу к ней посторонних лиц. С дальнейшим усложнением и широким распространением технических средств связи возросли возможности для преднамеренного доступа к информации.

С развитием сложных автоматизированных систем управления, связанных с автоматизированным вводом, хранением, обработкой и выводом информации, проблема ее защиты приобретает еще большее значение. В этих условиях, информация становится потенциальным объектом различных злоупотреблений, что в свою очередь, приводит к необходимости разработки средств противодействия этому.

Таким образом, проблема выбора и построения эффективной системы информационной безопасности для предприятий, функционирующих в различных сферах экономики, является одной из самых актуальных задач, требующих безотлагательного, грамотного, научно обоснованного решения.

Актуальность исследования. Внедрение современной компьютерной техники и средств коммуникаций в деятельность государственных организаций и коммерческих фирм, кроме существенных положительных сторон, имеет также негативный момент, связанный с возможностью реализации преступлений с использованием вычислительной техники.

В качестве объекта компьютерных преступлений выступает экономическая информационная система и, соответственно, циркулирующая в ней производственная, научная, коммерческая информация.

Экономическая информационная система (ЭИС) - это совокупности внутренних и внешних потоков прямой и обратной информационной связи экономического объекта1, методов, средств, специалистов, участвующих в процессе обработки информации и выработке управленческих решений.

Взаимосвязь информационных потоков прямой и обратной информационной связи, средства обработки, передачи и хранения данных, а также сотрудников управленческого аппарата, выполняющих операции по переработке данных, и составляет информационную систему экономического объекта.

Таким образом, любой системе управления экономическим объектом соответствует своя информационная система, называемая экономической информационной системой.

Современный уровень информатизации общества предопределяет использование новейших технических, технологических, программных средств в различных информационных системах экономических объектов. И как следст

1 Экономический объест - это объест, обязанный с производством материальных н/нли нематериальных благ н имеющий свою систему управления. Система управления представляет собой совокупность объекта управления, например предприятия, н субъекта управления — управленческого аппарата. Последний объединяет в себе сотрудников, формирующих цели, разрабатывающих планы, вырабатывающих требования к принимаемым решениям, а также контролирующих их выполнение. В задачу же объекта управления входит выполнение планов, выработанных управленческим аппаратом, то есть реализация той деятельности, для которой создавалась система управления. Оба компонента системы управления связаны прямой и обратной связями. Прямая связь выражается потоком директивной информации, направляемой от управленческого аппарата к объекту управления, а обратная представляет собой поток отчетной информации о выполнении принятых решений, направляемый в обратном направлении. вие, предполагает использование данных средств для реализации компьютерных преступлений, направленных на экономические информационные системы.

Компьютерные преступления могут быть направлены непосредственно на персональный компьютер (его процессор и оперативную память), локальную сеть, базу данных, системное программное обеспечение и т.д. В отдельных случаях, при реализации компьютерных преступлений, в качестве объекта воздействия могут выступать отношения пользователей, нарушение которых приводит к потере доверия к поступающей информации, сокрытию несанкционированного доступа и т.д.

Таким образом, ЭИС является объектом пристального внимания со стороны различного рода нарушителей, и обеспечение безопасности информационных систем является актуальной задачей.

Актуальность темы исследования обусловлена множеством факторов нарушения информационной безопасности, которые повлекли за собой огромные материальные потери. Ко всему прочему, развитие мировой компьютерной сети Internet обуславливает появление новых каналов несанкционированного доступа к информационным ресурсам.

В числе факторных групп, которые могут инициировать распространение компьютерных преступлений, следует выделить: экономические, технические и правовые.

К первой группе следует отнести развитие рыночных отношений, изменение форм собственности, отказ от государственного регулирования в экономике, развитие такой сферы предпринимательской деятельности, как информационный бизнес и др. Конкуренция выдвигает на первый план необходимость владения соответствующей информацией, характеризующей многие аспекты деятельности. Это могут быть сведения относительно цен и объема поставок товаров по контрактам, финансовое положение фирмы и перспективы ее развития, содержание и время ввода нормативных актов, и многое другое. Причем данная информация может относиться как к деятельности государственных органов и коммерческих структур, так и отдельных лиц. В любом случае, обладая необходимой информацией, ее владелец в состоянии предпринять соответствующие меры по исключению и недопущению негативных последствий изменения ситуации в свою пользу. Таким образом, если пользователь получает какую-либо информацию и при этом нарушает правовые и этические нормы, то подобные действия должны пресекаться и преследоваться, что предусмотрено в соответствующих статьях Уголовного кодекса.

Ко второй группе относят следующие факторы: рост парка персональных компьютеров, развитие компьютерных систем и коммуникаций, открытость и доступность широкого спектра программных продуктов и т.д.

И, наконец, третью группу, образуют правовые вопросы. Это объясняется, во многом, не проработанностью многих юридических аспектов относительно возможности функционирования информации в качестве специфического товара и ресурса, сложностями закрепления авторского права на программные продукты.

Анализ зарубежной и отечественной практики свидетельствует о важности решения проблемы обеспечения информационной безопасности применительно к ЭИС. В ЭИС право выбора средств и методов по обеспечению информационной безопасности принадлежит ее собственнику, который исходит из финансовых возможностей и существующих ограничений. Проектные решения по обеспечению безопасности ЭИС основываются на определенных требованиях и условиях эксплуатации (эффективности защиты, ее стоимости, эксплуатационных расходах на поддержание информационной безопасности и др.). Особую важность при проектировании системы информационной безопасности (СИБ) ЭИС имеют вопросы экономического обеспечения и увеличения жизненного цикла СИБ. К компонентам экономического обеспечения относится оптимизация структуры СИБ с учетом эффективности и затрат на обеспечение информационной безопасности, оценка экономической эффективности СИБ, методика выбора оптимальных вариантов СИБ с экономической точки зрения, модель оценки инвестиционной привлекательности проектов СИБ и др.

Оценка экономической эффективности СИБ ЭИС представляет собой комплекс различных подходов и методов: как классических, общих подходов к оценке экономической эффективности, так и специфических, с учетом особенностей применения для СИБ ЭИС. Исходной посылкой при разработке моделей эффективности СИБ является предположение, что с одной стороны, при нарушении системы защиты информации наносится ущерб, с другой стороны -формирование и обеспечение информационной безопасности сопряжено с расходованием средств. Отношение стоимости защиты и потерь от ее нарушения с учетом необходимого уровня защищенности и допустимых потерь, позволяет определить экономический эффект от использования СИБ. Затраты на создание и эксплуатацию СИБ сходны с инвестициями, поскольку они связаны с вложением средств, риском и получением прибыли. Под прибылью в данном случае следует понимать не конкретный поток финансовых ресурсов, а количественную оценку уменьшения потерь от действия угроз.

Эти вопросы на сегодняшний день недостаточно проработаны и исследованы.

Недостаточное научное и методическое обоснование, а также слабая практическая проработка положений по формированию систем информационной безопасности (СИБ) и моделей оценки экономической эффективности СИБ обусловили выбор темы диссертационного исследования, определили цель, структуру и содержание настоящей работы.

Цель и задачи исследования. Целью исследования является оптимизация процессов проектирования и эксплуатации системы информационной безопасности экономической информационной системы с точки зрения экономической эффективности и затрат на обеспечение информационной безопасности, посредством использования методов экономики и математического аппарата.

В соответствии с поставленной целью, в работе сформулированы и решены следующие основные задачи:

-анализ современного состояния и существующих подходов к построению систем информационной безопасности ЭИС, их особенностей и перепектив развития, существующих целей и задач СИБ, с целью построения общей концепции комплексной СИБ ЭИС с учетом экономических критериев эффективности;

- исследование существующих возможных угроз информационной безопасности ЭИС для оценки потенциально возможных экономических потерь в случае их реализации и разработка методики комплексной оценки угроз безопасности ЭИС;

-исследование существующих показателей эффективности СИБ, разработка модели формирования показателей эффективности СИБ и обоснование системы общих и специальных экономических показателей для определения экономической эффективности разработки, внедрения и эксплуатации СИБ;

-анализ и оптимизация размещения элементов СИБ ЭИС по критерию "эффективность-стоимость" и по критерию ценности информации, содержащейся в ЭИС;

- исследование и разработка технологии комплексной оценки экономической эффективности системы информационной безопасности ЭИС.

Предмет и объект исследований. Предметом исследований являются экономические, организационно-административные, технологические и правовые процессы функционирования системы информационной безопасности ЭИС. Объектом исследования является экономическая информационная система.

Методология исследования. В процессе исследования проанализированы и использованы достижения отечественных и зарубежных специалистов по вопросам теории и практики проектирования и эксплуатации ЭИС, машинной обработки экономической информации, организации информационно-вычислительного обслуживания, обеспечения безопасности информационных процессов. Теоретическую и методологическую основу исследования составляет системный подход к обеспечению информационной безопасности, методы системного анализа, экономико-математического моделирования и экспертных оценок, элементы теории сложных систем, теории графов и матричной алгебры.

Научная новизна диссертации. Научная новизна проведенного исследования заключается в разработке и обосновании теоретических положений и практических рекомендаций по построению системы информационной безопасности ЭИС с экономической точки зрения. Научной новизной обладают следующие результаты исследования:

-подход к оценке инвестиционной привлекательности СИБ и аппарат оценки предпочтительности вариантов СИБ с точки зрения их экономической целесообразности;

- методика оценки экономической эффективности СИБ ЭИС;

-методика оценки вероятности угроз экономической информационной системе;

-формализованное представление процессов взаимодействия нарушителя и СИБ и классификация программных злоупотреблений с учетом особенно-# стей применения в ЭИС;

-концептуальная модель построения системы информационной безопасности ЭИС;

- принципы оптимального размещения и анализа элементов СИБ в ЭИС по критерию "эффективность-стоимость", критерию ценности информации, содержащейся в ЭИС и др.;

-общая стратегия взаимодействия потенциального нарушителя и СИБ с точки зрения ожидаемого эффекта от реализации угрозы и критериев эффективности СИБ.

Практическая значимость. Практическая значимость диссертационного исследования заключается в возможности использования полученных результатов компаниями, занимающимися разработкой и внедрением систем информационной безопасности ЭИС, и компаниями, для которых данные системы раз-It рабатываются и внедряются.

Использование разработанных в диссертации методических рекомендаций по совершенствованию процессов проектирования систем информационной безопасности обеспечит экономию ресурсов при внедрении СИБ, повысит привлекательность проектов и снизит риски данных проектов для инвесторов.

Основные научные положения диссертации докладывались на X Международной конференции "Проблемы управления безопасностью сложных систем" (Москва, 2002 год), на международной научно-практической интернет-конференции "Системы, процессы и модели в экономике и управлении" (Москва, 2003 год), на заседании Ученого совета РОО "Академия промышленной и менеджмента" (Москва, 2003 год), а также апробировались в учебном процессе при чтении лекций и проведении семинарских занятий со студентами по специальностям: "Организация и технология защиты информации", "Прикладная информатика в экономике" в ГОУ Московском государственном индустриальном университете.

Предложенный в работе комплекс подходов к оценке экономической эффективности СИБ ЭИС, предпочтительности вариантов СИБ, а также инвестиционной привлекательности вариантов проектов СИБ, был использован при внедрении системы информационной безопасности в компании ООО "Караван-М".

Отдельные положения и методики использовались при разработке системы информационной безопасности компании ООО "Леком".

ЗАКЛЮЧЕНИЕ

Расширение состава компонентов информационных и коммуникационных технологий, используемых в рамках автоматизированных информационных систем, количественный и качественный рост пользователей и методов доступа привели к необходимости пересмотра традиционных подходов к обеспечению сохранности информации и программного обеспечения. Особое место принадлежит проблеме экономической эффективности системы информационной безопасности ЭИС, так как от ее организации и деятельности зависит множество экономических объектов.

Теоретические, организационные и прикладные проблемы построения и функционирования системы информационной безопасности, рассмотренные в работе, позволили подробно изучить наиболее существенные вопросы, относящиеся к эксплуатации ЭИС. Данный факт существенен в настоящее время, поскольку ЭИС стали объектом пристального внимания различного рода злоумышленников.

В процессе проведения диссертационного исследования, направленного на достижение поставленных целей, получены следующие теоретические и практические результаты:

1. Обобщен и систематизирован основной перечень существующих проблем, относящихся к обеспечению безопасности ЭИС. Проведен детальный анализ существующих подходов к построению систем информационной безопасности ЭИС, который позволил выявить их достоинства и недостатки, особенности и перспективы развития, обозначить существующие цели и задачи СИБ.

Выявлены несколько групп подходов, ориентированных на следующие направления:

- комплексная защита отдельных элементов ЭИС;

- создание системы защиты от конкретных злоупотреблений;

- использование организационно-административных методов и средств обеспечения информационной безопасности;

- использование программно-технических методов и средств обеспечения информационной безопасности;

- разработка комплексной системы информационной безопасности ЭИС.

Выявлено, что в рамках исследованных подходов отсутствует методика комплексной оценки эффективности СИБ ЭИС с учетом экономических критериев эффективности.

2. На основании проведенного исследования предложена концепция построения СИБ ЭИС, включающая пять последовательных этапов: подготовительный, аналитический, исследовательский, рекомендательный, этап внедрения и технической поддержки. В рамках данной концепции прорабатываются варианты размещения элементов СИБ, осуществляется выбор оптимального варианта по критерию "эффективность-стоимость" и др.

В процессе данного исследования определены как типовые, так и нетрадиционные угрозы безопасности ЭИС. Проведенный анализ угроз позволил предложить новый подход к их классификации, выделить самостоятельный класс программных злоупотреблений. На обширном фактическом материале проведено изучение тенденций развития программных злоупотреблений.

В рамках предложенной классификации выделены программные злоупотребления тактической и стратегической направленности. Обоснована возможность интеграции тактических и стратегических программных злоупотреблений, в результате которой образуется отдельная группа угроз — полиморфных программных злоупотреблений.

Проведен детальный анализ средств и методов обеспечения информационной безопасности, который позволил предложить новую классификацию методов и средств обеспечения информационной безопасности. В их составе рассматриваются методы и средства восстановления, мониторинга и последующей обработки собранной информации. Предложена структура средств и методов обеспечения информационной безопасности с учетом защищаемых объектов и ресурсов ЭИС, операционных этапов защиты и характера методов и средств защиты, которые охватывают все аспекты информационной безопасности на этапах жизненного цикла СИБ и ЭИС в целом.

3. Предложен подход к описанию процессов нападения и защиты в рамках конфликта "ЭИС-нарушитель". На его основе обоснована возможность и разработана функциональная модель реализации полиморфных программных злоупотреблений, которая определяет основные правила интеграции угроз тактической и стратегической направленности.

Разработана система оценок привлекательности угроз для нарушителя, которая позволяет разработчику СИБ определить их опасность. На основе разработанной системы оценок предложена модель оценки конкретной угрозы для ЭИС.

4. Разработана модель комплексной оценки возможных экономических потерь в случае реализации угроз, а также стоимости отказов в целом, которая позволяет оценивать общую стоимость инцидента в ЭИС.

5. Предложена система алгоритмов, предназначенных для оптимизации структуры СИБ с учетом экономической эффективности и затрат на обеспечение информационной безопасности. В составе предложенной системы алгоритмов рассматривается модель оценки размещения элементов СИБ в узлах ЭИС по критерию "эффективность-стоимость", по критерию ценности информации, содержащейся в ЭИС.

6. Исследованы, обобщены и систематизированы существующие показатели эффективности СИБ. На основе проведенного анализа определены основные группы показателей: экономические; технические; организационные; социальные. Разработаны модели формирования показателей эффективности СИБ, обоснована система общих и специфических показателей экономической эффективности. Предложенная система охватывает весь спектр аппаратных и программных средств защиты, а также административно-организационный контур.

7. Предложена модель, позволяющая при оценке эффективности СИБ количественно измерить влияние неправомерных воздействий на ЭИС, описать процесс воздействия и распространения программных злоупотреблений, при этом учитывая изменение характеристик элементов СИБ (старение, деградация и др.), а также среды функционирования ЭИС. Для описания характера данных изменений использован показатель "дрейфа". Данная модель позволяет априори моделировать и определить вероятные величины потенциальных потерь ЭИС и затрат на создание СИБ, восстановление в случае реализации угроз, а также анализа дрейфа проектируемой СИБ. Полученный уровень дрейфа СИБ используется при оценке возможных отклонений затрат, эффективности и т.д.

8. На основе предложенных показателей эффективности построена модель оценки привлекательности инвестиций в СИБ, выходными показателями которой являются следующие: чистый дисконтированный доход; внутренняя норма доходности; коэффициент чистого дисконтированного дохода и др.

1. Агеев А.С. "Компьютерные вирусы" и безопасность информации. // Зарубежная радиоэлектроника. - 1989, №12, с.71-73.

2. Алексеев Л.Г., Горбатов B.C. Психофизиологическое тестирование работников служб безопасности. // Безопасность информационных технологий.-1995. №1, с.85-104.

3. Алексеев В.М., Андрианов В.В., Зефиров С.Л., Лупанов И.Ю. Комплекс защиты информации для автоматизированных информационных систем с использованием баз данных. // Безопасность информационных технологий. -1994, №3-4, с. 128-130.

4. Алексенцев А.И. Организация и управление комплексной защитой информации в системе Госкомвуза РФ. // Безопасность информационных технологий. -1994, №3/4, с. 41-43.

5. Андерсон Р. Чтобы системы на смарт-картах были надежными. // Конфидент. -1995. №3, с. 61-68.

6. Андреев Ю.Э., Мамонов Н.Е. Патентная защита в современных условиях. // Конфидент.-1995. №1, с. 3-9.

7. Андреевский Н.А. Проблемы комплексной безопасности компьютерных систем. // Безопасность информационных технологий. -1995, №2, с.59-60.

8. Андреевский Н.А. Подход к построению математической модели системы защиты информации в компьютерной системе. // Безопасность информационных технологий. №2, 1995, с. 16-17.

9. Балыбердин А.Л. Основные положения закона Российской Федерации "О государственной тайне" и их влияние на систему защиты информации. // Безопасность информационных технологий. 1994, № 1, с. 7-10.

10. Ю.Бачкаи Т., Месена Д., Мико Д., Сен Е., Хусти Э. Хозяйственный риск и методы его измерения М.: Экономика, -1979, -184 с.

11. П.Бачило И.Л. Методология решения правовых проблем в области информационной безопасности. // Информатика и вычислительная техника.1994г., №2-3,с. 21-25.

12. Батурин Ю.М., Жиджитский A.M. Компьютерная преступность и компьютерная безопасность. М.: Юридическая литература, 1991 - 162 с.

13. Безопасность компьютерных систем. Сборник публикаций журнала "Защита информации. Конфидент" 1994-1997 г. Части 1,2. СПб.: "Конфидент", 2000.

14. Безруков Н.Н. Компьютерные вирусы. М.: Наука, 1991, -159 с.

15. Безруков Н.Н. Классификация компьютерных вирусов MS-DOS и методы защиты от них. М.: Информэшн Компьютер Энтерпрайз, 1990. - 48с.

16. Безруков Н.Н. Компьютерная вирусология. Киев: УРЕ, 1991. - 416с.

17. Белкин П.Ю., Михальский О.О., Першаков А.С. и др. Программно-аппаратные средства обеспечения информаций безопасности. Защита программ и данных: Учебное пособие для вузов. М.: Радио и связь, 2000 - 168 с.

18. Библиографический указатель статей по защите информации. //Информационные ресурсы России. -1994, № 2, с. 36, № 3, с. 31-32, №5, с. 3435.

19. Бияшев Р.Г., Диев С.И., Размахнин М.К. Основные направления развития и совершенствования криптографического закрытия информации. // Зарубежная радиоэлектроника. -1989, №12, с.76-91.

20. Бияшев Р.Г., Афонская Т.А. Некоторые задачи защиты информации. // Зарубежная радиоэлектроника. 1994, №2-3, с. 42-45.

21. Бурков В.И., Грацианский Е.В., Дзюбко С.И., Щепкин А.В. Модели и механизмы управления безопасностью. Серия "Безопасность". М.: СИНТЕГ, 2001, 160 с.

22. Ватолин В. С., Ляшев С. Г. Защита программных средств от несанкционированного использования.//Зарубежная радиоэлектроника, 1989 г, №12, с. 48-56.

23. Воловик Е.М. Защита данных в распределенных системах. // Мир ПК. 1995г., №10,с. 166-170.

24. Вирковский В.А. Проблемы информационной безопасности Российской Федерации и пути их решения. // Конфидент. 1995, №1, с. 10-16.

25. Гайкович В., Першин А. Безопасность электронных банковских систем. -М.: Изд-во компания "Единая Европа", 1993 г., 363 с.

26. Галатенко В.А. Информационная безопасность. // Открытые системы.-1995, №4, с. 30-37.

27. Гендель Е.Г., Левин М.А. Оптимизация технологии обработки информации в АСУ. М.: Статистика, 1977, 232с.

28. Герасименко В.А. Комплексная защита информации в современных системах обработки данных. // Зарубежная радиоэлектроника.-1993, №2 с. 3538.

29. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: развитие, итоги, перспективы. // Зарубежная радиоэлектроника, 1992 г., №3, с. 3-21.

30. Герасименко В.А. Проблемы защиты данных в системах их обработки. // Зарубежная радиоэлектроника, 1989 г., №12, с. 5-21.

31. Герасименко В.А. Состояние, перспективы и проблемы развития теории защиты информации. // Безопасность информационных технологий. 1994, №3/4, с. 44-63.

32. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. М.:Энергоатомиздат, кн. 1,2, 1994.

33. Герасименко В.А., Размахнин М.К., Родионов В.В. Технические средства защиты информации. // Зарубежная радиоэлектроника, 1989 г., №12,с. 2235.

34. Герасименко В.А., Размахнин М.К. Организация работ по защите информации в системах обработки данных. // Зарубежная радиоэлектроника. — 1989,№ 12, с. 110-124.

35. Герасименко В.А., Скворцов А.А., Харитонов И.Е. Новые направления применения криптографических методов защиты информации. // Зарубежная радиоэлектроника.-1989, №12, с. 92-101.

36. Глазунов Л.П., Грабовецкий В.П., Щербаков О.В. Основы теории надежности автоматических систем управления. -Д.: Энергоатомиздат, Ленингр. отд-ние, 1984, 208 с.

37. Голубков А.С. Об основах федеральной и региональной политики России в сфере информационной безопасности. II Информатика и вычислительная техника. 1994 г., №2-3, с. 6-10.

38. Горбатов B.C., Кондратьева Т.А. Защита информации и право собственности. Экономические аспекты. // Безопасность информационных технологий, 1995, №3. с. 59-64.

39. ГОСТ 28195-89 Оценка качества программных средств. Общие положения.

40. Гостехкомиссия России. Руководящий документ. Концепция защиты СВТ и АС от НСД к информации. Москва, 1992.

41. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. Москва, 1992.

42. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования к защите информации. -Москва, 1992.

43. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Москва, 1992.

44. Гришина Н.В., Партыка Г.Л. Постобработка данных регистрации как стратегическая мера защиты информации АСОД. // Безопасность информационных технологий. 1995, №1, с. 65-69.

45. Гроувер Д., Сатер Р., Фипс Дж. И др. Защита программного обеспечения. Под ред. В.Г. Потемкина.- М.: Мир, 1992г., 286 с.

46. Груздев С. 16 вариантов русской защиты. //КомпьютерПресс, 1992 г., №10, с. 23-34.

47. Давыдовский А.И. Методология построения безопасных процессов обработки информации. // Безопасность информационных технологий. 1994, №1, с. 63-65.

48. Давыдовский А.И., Дорошкевич П.В. Защита информации в вычислительных сетях. // Зарубежная радиоэлектроника. 1989, №12, с. 60-70.

49. Девянин П.Н., Михальский О.О., Правиков Д.И. и др. Теоретические основы компьютерной безопасности: Учеб. пособие для вузов. М.: Радио и связь, 2000.- 192 е.: ил.

50. Диев С.И. Защита информации в персональных компьютерах // Зарубежная радиоэлектроника, 1989 г., №12, с. 57-59.

51. Диллон Б., Сингх Ч. Инженерные методы обеспечения надежности систем.- М.: Мир, 1984. 318 с.

52. Днепровский А.Г. Правовые проблемы нового международного информационного порядка.- М.: Наука ,1989 142 с.

53. Домрачев А.А. Общие проблемы информационной безопасности и программа создания ИТКС. // Конфидент. 1995, №3, с. 3-6.

54. Дорошкевич П.В., Медников В.Н. Криптография в вашем компьютере. //Мир ПК№6,1991, 7 с.

55. Дружинин В.В., Конторов Д.С., Конторов М.Д. Введение в теорию конфликта. М.: Радио и связь, 1989. - 288 с.

56. Дэвид Стинг, Сильвия Мур. Секреты безопасности сетей., К.: "Диалектика", 1995 544 с.

57. Еремин В.М., Приступа А.С. Классификация угроз безопасности экономических информационных систем. / МАДИ (ГТУ). М., 2002 - 19 с. Деп. в ВИНИТИ 28.10.2002, №1846-В2002.

58. Ермоленко А.Ю., Зегжда П.Д., Матвеев В.А., Шмаков Э.М. Принципы построения систем обеспечения безопасности информационных технологий.

59. Безопасность информационных технологий. 1995, №2, с. 13-14.

60. Жаринов В.Ф., Киреев A.M., Синелев Д.В., Хмелев JI.C. К вопросу об использовании электронных идентификаторов Touch Memory в системах защиты конфиденциальной информации. // Конфидент. 1995. №3, с. 26-31.

61. Жельников В. Криптография от папируса до компьютера. — М., ABF, 1996, ил, 336с.62.3акон Российской Федерации "О коммерческой тайне" (проект) // Информатика и вычислительная техника. 1994, №2-3, с. 105-108.

62. Иванов И.Г., Попов В.И. Рабочее место администратора безопасности сети "Dallas Lock 3.1 for NetWare" // Конфидент. 1995, №2, с. 33-44.

63. Карпов А. Г. Нормативно-правовое обеспечение защиты информации. // Информатика и вычислительная техника. 1994 г., №2-3, с. 25-30.

64. Касперский Е. "Дыры" в MS-DOS и программы защиты информации.//КомпьютерПресс, 1991, №10.

65. Кедровская JL, Ярочкин В. Коммерческая тайна в условиях рыночной экономики. // Информационные ресурсы России. 1992, №5-6, с. 11-15.

66. Киселев А.Е., Чаплыгин В.М., Шейкин М.С. Коммерческая безопасность. М.: ИнфоАрт, 1993, с. 3.

67. Козьминых С.И., Десятов Д.Б., Забияко С.В. Основы проектирования систем безопасности предпринимательской деятельности. // Оборудование, системы, технологии. 2001, №6, с.84-85.

68. Копылов В.А. Вопросы информационного законодательства. //НТИ.

69. Сер. 2. Информационные процессы и системы. 1995, №6, с. 1-13.

70. Королев В.И., Морозова Е.В. Методы оценки качества защиты информации при ее автоматизированной обработке. // Безопасность информационных технологий. 1995, №2, с. 79-87.

71. Королев В.И., Филипповский В.В. Инновационный проект комплексной защиты информационных технологий и информатизация служб безопасности. // Безопасность информационных технологий. 1995, №3, с. 98-105.

72. Костогрызов А.И., Щацирули В.Ш. Методы оценки эффективности антивирусной профилактики в автоматизированной системе. // Информатика и вычислительная техника. 1994 , № 2-3, с. 57-59.

73. Криптография. Сборник публикаций журнала "Защита информации. Конфидент" 1994-2000 г., Санкт-Петербург, 2001.

74. Куранов А.И. Безопасность. // Системы безопасности. 1995. №4, с. 38-41.

75. Курило А.П. Формирование законодательства РФ по проблемам информационной безопасности. // Безопасность информационных технологий.1994, №1, с. 10-13.

76. Курило А. П. О проблеме компьютерной преступности. // НТИ. Серия 2. Организация и методика информационной работы.- 1993 , №8. с. 6-9.

77. Ларичев В.Д., Пешков А.И., Чеботарев А.Н. Некоторые социологические аспекты преступности в кредитно-денежной сфере. // Деньги и кредит.1995, №3, с. 55-61.

78. Левин Е.М. Touch Memory для защиты информации? Да! // Конфидент. 1995, №3, с. 31-33.

79. Левкин В.В., Малюк А.А., Петров В.А., Прелов А.В. Проблемы автоматизированной разработки технического задания на проектирование системы защиты информации. // Безопасность информационных технологий. 1994, №1, с. 40-44.

80. Липаев В.В. Надежность программного обеспечения (обзор концепций). // Автоматика и телемеханика, 1986, №10, с. 5-31.

81. Липаев В.В. Стандартизация сертификации информационных технологий и программных средств за рубежом (обзор). // НТИ, Серия 2.1994, №1,с. 14-21.

82. Логинов АЛ., Елхимов Н.С. Общие принципы функционирования международных электронных платежных систем и осуществление мер безопасности при защите от злоупотребления и мошеничества. //Конфидент. 1995, №2, с. 48-54.

83. Лонгботтом Р. Надежность вычислительных систем: пер. с англ. -М.: Энергоатомиздат, 1985 -288с.

84. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информации в автоматизированных системах. Уч. Пособие. М.: Горячая линия-Телеком, 2001. - 148 е.: ил.

85. Максименко С.В. Технологическая модель обеспечения достоверности данных информационных технологий. // Безопасность информационных технологий. 1995, №2, с. 14-15.

86. Марков А.А. Введение в теорию кодирования. -М.: Наука, 1982.192с.

87. Мафтик С. Механизмы защиты в сетях ЭВМ. М.: Мир, 1993. - 216с.

88. Матвеев В.А., Молотков С.В. Специфика обеспечения безопасности информационных технологий. // Безопасность информационных технологий.1995, №1, с. 43-50.

89. Мецатунян М.В. Некоторые вопросы проектирования комплексных систем защиты информации. // Безопасность информационных технологий. -1995, №1,с. 53-54.

90. Михайлов А.Г. Пластиковые карты с магнитной полосой и защита систем электронных платежей. // Конфидент. 1995. №2, с. 43-47.

91. Моисеенков И.Э. Суета вокруг Роберта или Моррис-сын и все, все, все.// КомпьютерПресс, 1991, №8, с.45-62, №9, с. 7-20.

92. Моисеенков И.Э. Основы безопасности компьютерных систем // КомпьютерПресс, 1991, №10, с. 19-24, №11, с. 7-21, №12, с. 57-67.

93. Молдовян А.А. Некоторые вопросы защиты программной среды ПЭВМ. // Безопасность информационных технологий. 1995, №2, с. 22-28.

94. Недков С. Программи за проникване в изчислительните системи. // Автоматика изчислительна техника автоматизировани системи. 1989, №3.

95. Никифоров И. Компьютерные преступления. Уголовные меры борьбы с компьютерной преступностью. // Конфидент. -1995, №3, с. 17-24.

96. Осипов В.Ю. Оценка ущерба от несанкционированного доступа к электронно-вычислительной системе. // Безопасности информационных технологий. 1995, №2, с. 17-19.

97. Охрименко С.А. Защита от компьютерных вирусов. Кишинев "Штиинца", 1991, 101 с.

98. Охрименко С.А., Черней Г.А. Программный продукт оценки размещения и эффективности системы информационной безопасности компьютерных систем Кишинев: ВНИИТИ, - 1995, 3 с.

99. Охрименко С., Черней Г., Фотенко В., Руссу В. Система банковской безопасности. -Банковско-финансовый центр Республики Молдова, 1996, -79 с.

100. Першин А. Организация защиты вычислительных систем. // КомпьютерПресс. 1992, № 10, с. 35-50, № 11, с. 33-38.

101. Петров В.А., Пискарев А.С., Шеин А.В. Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах. М.: МИФИ, 1995. 48 с.

102. Поволоцкий A.M. Физические методы защиты информации. // Информатика и вычислительная техника. 1991, №2, с. 44-55.

103. Пономарев В.П., Корнменко А.А., Максимов Ю.Н., Платонов В.В. Организационно-технические аспекты обеспечения безопасности информации в ходе информатизации. Санкт-Петербург. // Информатика и вычислительная техника. 1994, №2-3, с. 46-49.

104. Постановление Правительства Российской Федерации от 26 июня 1995г. № 608 "О сертификации средств защиты информации". //Конфидент. -1995, №3, с. 12-16.

105. Преснухин В.В., Пискова Г.К. Некоторые аспекты моделирования воспроизведения компьютерного вируса и совершенствования программных средств защиты. // Информатика и вычислительная техника. 1991, №4, с. 5258.

106. Приступа А.С. Анализ подходов к построению системы информационной безопасности экономических информационных систем. // Вестник Академии промышленности и менеджмента: Выпуск 4 / Под ред. С.В. Смирнова. М.: МГИУ, 2004, с. 152-158.

107. Приходько А.Я. Информационная безопасность в событиях и фактах. Серия "Информационная безопасность". М.: СИНТЕГ, 2001, 260 с.

108. Проблемы управления безопасностью сложных систем: труды X международной конференции. Москва, декабрь 2002 г./ Под редакцией Н.И. Архиповой и В.В. Кульбы. Части 1,2. М.: РГГУ - Издательский дом МПА-Пресс, 613 с.

109. Проскурин В.Г., Крутов С.В., Мацкевич И.В. М.: Радио и связь, 2000-168 с.

110. Ракитянский Н. Информационная безопасность предприятия. // Информационные ресурсы России. 1992, №2, с. 5.

111. Расторгуев С.П. Программные методы защиты информации в компьютерах и сетях. -М.: Изд-во агенства "Яхтсмен", 1993. 187 с.

112. Расторгуев С.П., Дмитревский Н.Н. Искусство защиты и раздевания программ. М.: Совмаркет, 1991, 94 с.

113. Расторгуев С. Купить или украсть? Оценка защиты. // КомпьютерПресс, 1992, №8, с. 21-24.

114. Расторгуев С.П. Исследование систем защиты информации. // НТИ.

115. Сер. 2. Информационные процессы и системы, 1993, №12, с. 10-15.

116. Рубанов В. Проблемные вопросы обеспечения информационной безопасности России. // Информатика и вычислительная техника. 1994, №2-3, с. 3-5.

117. Руководство по оценке эффективности инвестиций: Пер. с англ. пе-рераб. и дополн. изд-е. М.: АОЗТ "Интерэксперт", "ИНФРА-М", 1995. - 528 с.

118. Самоукина Н.В. Анализ социально-психологических проблем банковских служащих. // Деньги и кредит. -1995. №2, с. 70-72.

119. Сертификация продукции. Основные положения. Нормативы. Организация. Методика и практика. Часть 1 -М.: Изд-во стандартов, 1993 .-213 с.

120. Симонов С.В. Методология анализа рисков в информационных системах. // Защита информации. Конфидент 2001, №1, с.72-73.

121. Скородумов Б.И. Информационная безопасность. Обеспечение безопасности информации электронных банков. М.:МИФИ, 1995, -104с.

122. Спесивцев А.В., Вегнер В.А., Крутяков А.Ю., Серегин В.В., Сидоров В.А. Защита информации в персональных ЭВМ М.: Радио и связь, "Веста", 1992, 191 с.

123. Стрельченко Ю.А. Некоторые вопросы обеспечения информационный безопасности банков. // Банковское дело, 1995 г., №4.

124. Сюнтюренко О.В. Формирование норм защищенности на основе модели идеальной защиты. // Зарубежная радиоэлектроника. 1993, №7-9, с. 9296.

125. Сюнтюренко О.В., Клочков Ю.М. Проблемы правового обеспечения защиты информации и компьютерной безопасности. // НТИ. Серия 1. Организация и методика информационной работы. 1993, №8, с. 9-12.

126. Сюнтюренко В.О., Гришина Н.В. Постобработка регистрационных данных в структуре защиты информации.

127. Сяо Д., Керр Д., Мэдник С. Защита ЭВМ. М.: Мир, 1982. - 263 с.

128. Тепляев А.В. Механизм обеспечения безопасности в Огас1е7. // Конфидент. 1995, №2, с. 27-35.

129. Толстой А.И. Технические средства систем защиты современных объектов. // Безопасность информационных технологий. №3, 1995, с. 64-71.

130. Уолкер Б.Дж., Блейк Я.Ф. Безопасность ЭВМ и организация их защиты. М.: Связь, 1980. - 112 с.

131. Ухлинов Л.М., Казарин О.В. Методология защиты информации в условиях конверсии военного производства. // Вестник Российского общества информатики и вычислительной техники. 1994, №1-2, с. 54-60.

132. Федеральный закон об информации, информатизации и защите информации. 25 января 1995 года. // Вестник Российского обзества информатики и вычислительной техники. -1995. №1-3, с. 68-82.

133. Фигурнов В.Э. IBM PC для пользователя. М.: Финансы и статистика, 1990, 240 с.

134. Фишер С. и др. Экономика. Пер.с .англ. М.: "Демо ЛТД", - 1994,864 с.

135. Флорен М.В. Проблемы автоматизации управления доступом в помещения. Методы решений. Использование новых электронных технологий. // Конфидент.-1994. №1, с. 84-89.

136. Хорошилов А.В., Черней Г.А. Безопасность автоматизированных информационных систем. // Тезисы докладов на научно-практической конференции. Кишинев, 24-25 октября 1995, с. 38-40.

137. Хоффман Л. Современные методы защиты информации. М.: Советское радио, 1980.-264 с.

138. Черней Г. А. Программа защиты информации от несанкционированного доступа. МолдВНИИТИ, 1993, 5 с.

139. Шеин А.В. Защита информации от НСД в АС. // Безопасность информационных технологий, 1994, №1, с. 66.

140. Шураков В.В. Обеспечение сохранности информации в системах обработки данных. М.: Финансы и статистика, 1985 - 224 с.

141. Щербаков А. Разрушающие программные воздействия. М.: Изд-во Эдель, 1993 г. 64 с.

142. Щербаков А. Защита от копирования. Построение программных средств. М.: Изд-во Эдель, 1992, 80 с.

143. Щербаков А.Ю. Нетрадиционные методы проникновения к информации в компьютерных системах. // Информатика и вычислительная техника. -1994, №2-3, с. 49-56.

144. Эшби У.Р. Введение в кибернетику. -М.:1959.

145. Ярочкин В.И. Как совершаются преступления. // Системы безопасности. 1995, №5, с. 42-43.

146. Ярочкин В.И. Информационная безопасность. Учебное пособие для студентов непрофильных вузов. М.: Международные отношения, 2000. — 400 с.

147. Alchian A.A., Demsetz Н. Production: information costs and economic organization. // Economic Review. 1972, N12. p. 777-795.

148. Baker R.H. Computer Security Handbook. Blue Ridge Summit (Pensyl-vania): TAB Professional Reference Books, 1991.

149. Barker L.K., Nelson L.D. Security standart government and commercial. II AT&T Technical Journal. - 1988, vol.67, N3,p. 9-18.

150. Coase R.H. The nature of the firm. // Economica 4. 1937 p. 386-405.

151. Cooper J.A. Computer and Communications Security. Strategies for the 1990 s Intertext Publications McGrowHill Book Company, 1989.

152. Daly J. Virus vagaries foil feuds. // Computerworld. -1993, vol.27, №28, p. 1,15.

153. Diffe W., Hellman M.E. New directions in cryptography, IEE Trans. Informal Theory, 1976, VolIT-22, p. 644-654.

154. Downs D.P., Rub J.R. Issues in Discretionary Access Control. Proc. Of the 1985 IEEE Symp. On Security and Privacy, p. 208-218.

155. Feseability Study and financial appraisal. UNIDO, 1991, 386 p.159. 143. Goguen J.A., Meseguer J. Security Policies and Security Models. Proc. Of the 1982 IEEE Symp. On Security and Privacy., p. 11-20.

156. Gurbaxani V., Whang S. The impact of information systems on organization and markets. // Communication of the ACM. N1, 1994. p. 59-73.

157. Hartson H.K., Hsiao D.K. Full Protection Specification in the Semantic Model for Data Bases Protection Laguages. Proceeding of ASM Annual Conference, October 1976, Houston, Texas.

158. Heime M., Jack C., Shulman A. Planning for new services in the local loop. // Teletraffic Science in new cost-eff. systems, networks and services. Amsterdam: 1989, p. 461-472

159. Hinde S. Computer security and control principles. // Computer-Audit Update.-1993 (September), p. 11-12.

160. Holbrook P., Reynolds J. Site Security Handbook. CICNet&ISI - 1991,101 p.

161. Hrushka J. Jackson K. Computer security solutions. Boca Ratou (Ohio): CRC Press, 1990.

162. Jensec M.C., Meckling W.H. Theory of the firm: managerial behavior, agency costs and ownership structure. // Journal of Finance and Economy. 1973, №10, p 94-101.

163. Jensen M.C. Lectures on organization theory. William E.Simon Graduate School of Business Administration. University of Rochester, 1985.

164. Kephart J.O., White S.R. Measuring and modeling computer virus prevalence. //Research in security and privacy. IEEE Computer Society Symposium. -1993, p. 2-15.

165. Martin J. Security, Accuracy and Computer Systems, Prentice-Hall Inc. Englewood Cliffs, New Jersey, 1973.

166. McAfee J. The virus cure // Datamation, 1989, Vol.35, №4.

167. Millen J.K. Covert Chanal Capacity. Proc. Of the 1987 IEEE Sympo-sion on Security & Privacy, p. 57-65.

168. Proc. Of the 1980-1990 IEEE Symposium on Security & Privacy.

169. Rainbow Series. Dod Trusted Computer Systems Evaluation Criteria /Dod 5200.28 STD Orange Book/.

170. Rainbow Series. Industrial Security Manual For Safeguarding Classified1.formation /Dod 5220.22-M Yellow Book/.

171. Rainbow Series. A Guide To Understanding Discretionary Access Control In Trusted Systems /NCSC TG - 003: Version 1 - Orange Book/.

172. Rainbow Series. Computer Security Subsystem Interpretation Of The Trusted Computer System Evaluation Criteria /NCSC TG - 009 - Vehice Blue Book/.

173. Rainbow Series. A guide to understanding identification and authentifi-cation in trusted systems /NCSC TG017/.

174. Romanu I., Vasilescu I. Eficienta economica a investitiilor si a capitalu-lui fix. Editura Didactica si Pedagogica, R.A. Bucuresti, 1993.

175. Stas M. Principles and architecture of a dedicateed systems for software reliability measuremene and prediction using trend analisys. // Software engineering and applicatios. ASE: Bucharest, 1995, p. 122-125.

176. Styblinski M.A. Formulation of the drift reliability optimization problem.//Microelectronic Reliab.- 1991, vol. 31, № l,p. 159-171.

177. Verdes N., Ohrimenco S., Paramonov D., Cernei Gh. Abuzuri pro-gramate // Ciber.№l-2, 1993, p. 22-23.

178. Wolfe A.B. Computer Security: For Fun and Profit. // Computer & Security.-1995, №14, p. 113-115.

179. Анализ инвестиционной привлекательности проектов системы информационной безопасности

180. Анализ инвестиционных проектов СИБ