Методы и модели оптимизации системы информационной безопасности на предприятиях распределенного типа тема диссертации и автореферата по ВАК РФ 08.00.13, кандидат экономических наук Тараторин, Денис Игоревич

Информатизация является характерной чертой жизни современного общества. Новые информационные технологии активно внедряются во все сферы национальной экономики. По мере развития и усложнения средств, методов, форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий.

Информационные технологии в настоящее время являются необходимым атрибутом повышения эффективности функционирования предприятий, в частности, позволяют хозяйствующим субъектам снизить издержки производства, повысить достоверность экономического анализа, правильно выбирать стратегию и тактику проведения мероприятий в быстро меняющихся условиях рынка. Одной из наиболее серьезных проблем, затрудняющих применение современных информационных технологий, является обеспечение их информационной безопасности.

Анализ результатов исследований [31, 45, 51, 52, 55, 79, 84, 96, 112, 115 и др.], ведущихся в направлении обеспечения информационной безопасности информационных технологий показывает, что в настоящее время не до конца решены вопросы научного обоснования системы информационной безопасности. В первую очередь это касается используемых методов и моделей оценки и оптимизации системы информационной безопасности, которая в свете современных тенденций организации бизнеса играет решающую роль в достижении успеха хозяйствующим субъектом. Особую важность это представляет для предприятий распределенного типа, когда отдельные подразделения (филиалы) географически разобщены, функционируют в различных условиях, подвержены различным видам угроз, обладают различными средствами защиты.

В России развитие компаний с распределенным типом управления связывают с возможностями использования технологии терминального доступа. Наибольший эффект от использования этой технологии достигается в условиях географической распределенности организационной структуры и рассредоточенное™ баз данных, при достаточно медленных и недостаточных каналах связи с удаленными филиалами, а также в условиях, когда основная часть пользователей работает с задачами, требующими большой вычислительной мощности, или запускает несколько приложений одновременно. При использовании терминального доступа предполагается установка в центральном офисе компании терминальных серверов, на которых концентрируются все пользовательские приложения и базы данных. Пользователь, где бы он ни находился, при помощи любых средств и каналов связи подключается к терминальному серверу и получает доступ ко всем приложениям, необходимым ему для работы. Рабочее место становится виртуальным. Технологии универсального доступа позволяют оптимально организовать и использовать все имеющиеся ресурсы компании. Если учесть прочие преимущества технологии терминального доступа (эффективная работа с филиалами, сокращение совокупной стоимости владения инфраструктурой, высокая защищенность ресурсов и надежность транзакций, отказоустойчивость, возможность работы на каналах с низкой пропускной способностью и др.), то можно рассматривать такую технологию в дополнение к Internet и средствам коллективной работы, как техническую составляющую будущих российских виртуальных предприятий.

Очевидно, что такая организация работы требует четкой расстановки акцентов защиты, т.к. в данном случае приоритетность филиалов с точки зрения информационной безопасности может существенно отличаться.

С учетом изложенного, разработка методов и моделей анализа, оценки и оптимизации системы информационной безопасности на предприятиях распределенного типа представляется весьма важной и актуальной задачей.

Таким образом, объектом исследования являются процессы управления промышленным предприятием со сложившейся распределенной структурой и организацией хозяйственной деятельности, а предметом - методы, модели и алгоритмы анализа, оценки и оптимизации, направленные на объективное описание, формализацию и обоснование системы информационной безопасности.

Цель исследования заключается в разработке научно-методического аппарата, обеспечивающего формирование экономически обоснованной системы информационной безопасности промышленного предприятия распределенного типа на основе наиболее перспективных концепций обеспечения защиты информации, современных математических и экономических методов анализа.

Следовательно, научная задача состоит в разработке научно-методического аппарата оценки и оптимизации системы информационной безопасности, как целостной методики, обеспечивающей формирование экономически обоснованной системы информационной безопасности промышленного предприятия распределенного типа.

В соответствии с целью исследования, для решения сформулированной научной задачи в работе решен ряд частных научных задач:

- анализ и выявление наиболее перспективных вариантов организации информационно-вычислительного процесса на предприятиях распределенного типа;

- анализ и уточнение классификации угроз информационной безопасности и обоснование угроз, наиболее характерных для предприятий распределенного типа;

- построение модели формирования системы исходных данных для оценки и оптимизации системы информационной безопасности на предприятии распределенного типа;

- разработка математической модели оценки эффективности системы информационной безопасности;

- обоснование математических алгоритмов оптимизации системы информационной безопасности;

- разработка имитационной модели функционирования системы информационной безопасности;

- практические рекомендации по синтезу вариантов системы информационной безопасности и выбору оптимального варианта.

К положениям, выносимым на защиту, относятся:

- модель формирования системы исходных данных для оценки и оптимизации системы информационной безопасности на предприятии распределенного типа;

- математическая модель оценки эффективности системы информационной безопасности;

- порядок применения математических алгоритмов оптимизации системы информационной безопасности;

- имитационная модель функционирования системы информационной безопасности.

Приведенные положения детально раскрываются в соответствии с содержанием работы. Так, в первом разделе, на основе анализа информационной инфраструктуры предприятия и принципов ее функционирования, особенностей организации информационно-вычислительного процесса на предприятиях распределенного типа уточнена классификация угроз информационной безопасности, а также выявлены угрозы, наиболее значимые для данного типа предприятий. Во втором разделе, в соответствии с формальным представлением выделенных типов угроз разработана модель формирования системы исходных данных для оценки и оптимизации системы информационной безопасности, а также математическая модель оценки эффективности этой системы. В данном разделе предложены алгоритмы оптимизации системы, применение которых основывается на результатах формирования системы исходных данных. В третьем разделе разработана имитационная модель функционирования системы информационной безопасности, в качестве практических рекомендаций приведена общая схема синтеза ее возможных вариантов, на примере показан порядок обоснования оптимального варианта.

Научная значимость проведенных исследований заключается в том, что предложен единый научно-методический подход к анализу, оценке и оптимизации системы информационной безопасности, соответствующий ее целям и задачам, на основе взаимосвязанной совокупности методов и моделей и подтверждается тем, что разработанные теоретические положения использованы при проведении НИР «Методология реструктуризации промышленных предприятий» на этапе «Теоретические и методологические подходы к формированию информационной инфраструктуры защиты корпоративных бизнес-процессов».

Научная новизна работы состоит в разработке взаимосвязанной совокупности моделей и алгоритмов, основанных на современных математических и экономических методах и инструментальных средствах и обеспечивающих объективную оценку и оптимизацию системы информационной безопасности на предприятиях распределенного типа.

В работе получены следующие новые научные результаты:

• классификация наиболее значимых информационных угроз с учетом особенностей организации информационно-вычислительного процесса на предприятиях распределенного типа;

• модель формирования системы исходных данных для оценки и оптимизации системы информационной безопасности, учитывающая неравнозначность как самих угроз, так приоритетность подразделений предприятия с точки зрения защиты;

• математическая модель оценки эффективности функционирования системы информационной безопасности, позволяющая оценивать полезный эффект от применения тех или иных средств и мер защиты с учетом всех затрат как для отдельных подразделений, так и для всего предприятия в целом;

• имитационная модель, обеспечивающая комплексную статистическую оценку всей системы информационной безопасности, получение показателей эффективности, обработку выходных статистических данных для последующей оптимизации системы по результатам моделирования;

• научно-практические результаты применения алгоритмов оптимизации системы информационной безопасности с учетом значимости того или иного филиала с точки зрения защиты.

Практическое значение определяется тем, что результаты работы могут быть использованы при обосновании системы информационной безопасности практически любого предприятия, а также при выработке рекомендаций по совершенствованию существующей системы защиты. Результаты работы реализованы в ЗАО «Сварог», ООО «Интерфейс». Кроме того, полученные результаты могут быть также реализованы:

• в технических заданиях на проведение научно-исследовательских работ по обоснованию направлений развития систем информационной безопасности отечественных предприятий;

• в технических заданиях на проведение опытно-конструкторских работ по созданию и внедрению информационных систем промышленных предприятий;

• при оценке технических предложений по внедрению технических и программных средств защиты.

Достоверность научных результатов и обоснованность научных положений, выводов и рекомендаций обеспечивается полнотой анализа теоретических и практических разработок по теме диссертации, положительной оценкой результатов на научных конференциях и семинарах, практической проверкой и внедрением результатов исследования на промышленных предприятиях, а также положительными отзывами на отчеты о НИР, в которые включены основные результаты работы.

Структурно диссертация состоит из введения, трех разделов и заключения, содержит 25 рисунков и 19 таблиц. При разработке диссертации использовались данные 196 источников.

Выводы по главе

1. Разработанная имитационная модель, предназначенная для комплексной оценки предполагаемых к использованию мер и средств защиты информации предприятия, позволяет:

• оценить состояние информационной безопасности, как по отдельным объектам предприятия, так и в целом;

• проанализировать соотношение возможных угроз;

• оценить возможности конкретных средств и мер защиты от конкретных угроз;

• рассчитать статистические параметры показателя эффективности (оценку математического ожидания и доверительные интервалы);

• проследить характер изменения оцениваемых параметров, как в переходном, так и в установившемся режимах;

• устанавливать регрессионные зависимости между интересующими параметрами модели;

• оценить возможный положительный эффект при использовании различных систем информационной безопасности.

2. Основной задачей системы информационной безопасности является обеспечение автоматизированного управления следующими механизмами защиты:

• механизмами защиты информации, встроенными в прикладное программное обеспечение;

• механизмами защиты информации операционных систем;

• механизмами управления доступом;

• механизмами обеспечения наблюдаемости за состоянием защищенности.

При этом объектами защиты СИБ являются:

• информационные активы (независимо от вида их представления), обработка которых осуществляется на предприятии и которые могут находиться на бумажных, магнитных, оптических и других носителях;

• объекты среды операционных систем и СУБД (системные ресурсы любого из узлов системы и элементов коммуникационной сети связи);

• объекты системы защиты (информационные ресурсы любого из узлов сети, информационные массивы и базы данных, прикладные ресурсы программного обеспечения);

• объекты среды коммуникационной сети связи (информационные данные и отдельные сообщения, которые передаются в каналах коммуникационной сети связи);

• объекты физической среды (оснащение и другие физические ресурсы - серверы и рабочие станции, системные блоки, носители информации, устройства ввода/вывода и т.д.).

3. Предложенная общая архитектура может служить основой для построения вариантов СИБ в автоматизированных системах, обеспечивая при этом возможность интеграции различных средств и механизмов защиты с целью обеспечения основных функциональных свойств защищенной системы. Различные варианты построения СИБ должны быть проанализированы с использованием разработанной имитационной модели на предмет выбора оптимального варианта на основе критериев, обоснованных во втором разделе.

Заключение

Обеспечить непрерывность функционирования информационной инфраструктуры предприятия возможно только при соблюдении принципа ее защищенности от информационных угроз. Принцип защищенности информационной инфраструктуры предполагает, что программно-технологические и организационные решения, используемые в информационной инфраструктуре предприятия должны, безусловно, обеспечивать необходимый уровень информационной безопасности, а также защиту конфиденциальной информации, циркулирующей на предприятии

Развитие предприятий с распределенным принципом управления предъявляет особые требования к организации системы информационной безопасности на таких предприятиях, что обусловлено их функционированием в условиях распределенной вычислительной системы. Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее эффективные средства обеспечения безопасности.

Выполненная диссертационная работа направлена на развитие теории и практики создания систем информационной безопасности на предприятиях распределенного типа. К наиболее значимым полученным научным результатам следует отнести:

• разработанную модель формирования системы исходных данных для оценки и оптимизации системы информационной безопасности, учитывающая неравнозначность как самих угроз, так приоритетность подразделений предприятия с точки зрения защиты;

• разработанную математическую модель оценки эффективности функционирования системы информационной безопасности, позволяющая оценивать полезный эффект от применения тех или иных средств и мер защиты с учетом всех затрат как для отдельных подразделений, так и для всего предприятия в целом;

• построенную имитационную модель, обеспечивающая комплексную статистическую оценку всей системы информационной безопасности, получение показателей эффективности, обработку выходных статистических данных для последующей оптимизации системы по результатам моделирования;

• полученные научно-практические результаты применения алгоритмов оптимизации системы информационной безопасности с учетом значимости того или иного филиала с точки зрения защиты.

Разработанный механизм формирования системы исходных данных для оценки и оптимизации системы информационной безопасности обеспечивает наиболее обоснованное упорядочение возможных угроз по степени их значимости, ранжирование объектов предприятия по приоритетности защиты, определение «удельных весов» объектов по степени защищенности.

Эффективность системы информационной безопасности обусловливается характером взаимоотношений системы с окружающей средой, а также процессов, протекающих в ней самой. С этой точки зрения, распределенные филиалы предприятия будут определять эффективность системы, и влиять на нее. Существенно, что предложенная модель оценки эффективности позволяет оценивать как отдельный филиал по всем типам угроз, так и предприятие в целом.

Выбор оптимального варианта системы информационной безопасности наиболее целесообразно проводить, используя методы теории статистических решений. Анализ применяемых при этом критериев показал, что их использование необходимо проводить в соответствии с системой исходных данных. Иными словами, создавая (модернизируя) систему информационной безопасности конкретного филиала предприятия, как составную часть общей системы, необходимо учитывать приоритетность защиты данного филиала, что отражено в системе исходных данных в виде кортежа приоритетности.

1. Конституция Российской Федерации с комментариями Конституционного суда РФ.-М.: Инфра -М, 2003. 200 с.

2. Уголовный Кодекс Российской Федерации. М.: Юрайтиздат, 2004. -188 с.

3. Доктрина информационной безопасности Российской Федерации. Руководящий документ. № Пр-1895, 2000.-М.: Ось-89, 2004,- 48 с.

4. Федеральный закон "Об информации, информатизации и защите информации", № 24-ФЗ, 1995.

5. Федеральный закон "Об участии в международном информационном обмене", № 85-ФЗ, 1996.0 сертификации средств защиты информации. Постановление правительства РФ № 608 от 26.06.95.

6. ГОСТ Р 51624-00 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования"

7. ГОСТР 50922-96 Защита информации. Основные термины и определения.

8. ГОСТ 51583-00 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие требования".

9. ГОСТ Р ИСО 7498-2-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Архитектура защиты информации".

10. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. -Москва, 1992.

11. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.- М., 1997.

12. Хв.ИСО/МЭК 15408-99 «Критерии оценки безопасности информационных технологий».

13. Положение о сертификации средств и систем вычислительной техники и связи по требованиям безопасности информации. М.: 1994.

14. Приказ Минфина РФ от 16 октября 2000 г. N 91 "Об утверждении Положения по бухгалтерскому учету "Учет нематериальных активов" ПБУ 14/ 2000.

15. Афифи А., Эйзен С. Статистический анализ. Подход с использованием ЭВМ,- Мир, 1982.-488 с. Т.ЗО.

16. Баканов М.И., Мельник М.В, Шеремет A.JI. Теория экономического анализа. М.: Финансы и статистика, 2005. - 536с.

17. Балашов Е.П., Пузанков Д.В. Проектирование информационно-управляющих систем.- М.:Радио и связь, 1987.-255 с.31 .Баутов А. Н. Эффективность защиты информации. // Открытые системы. Июль-август 2003. С. 56-60.

18. Баутов А.Н. Экономический взгляд на проблемы информационной безопасности // Открытые системы.- 2002, №2. С. 28-33.

19. Баутов А.Н., Козлов В.И. Страховая стоимость информационных ресурсов. Анализ нормативной базы. //Страховое дело.- 2001, №7. С. 14-19.

20. Беллман Р. Введение в теорию матриц,- М.:Наука, 1978.-367 с.

21. Березин А.С., Петренко С.А. Посторенние корпоративных защищенных виртуальных частных сетей //Конфидент. Защита информации. 2001. - №1. -С. 54-61.

22. Бетелин В., Галатенко В. Информационная безопасность в России: опыт составления карты// Jet Info. 1998, №1. - С. 15-22.

23. Бронников М. К вопросу о цене информации: Электронный ресурс.: http://www.ptpu.ru/issues/l99/13l99.htm, 18.01.2005,25.12.2004.

24. Брукинг Т.Э. Интеллектуальный капитал. СПб.: Питер, 2001. 288 с.41 .Бугорский В.Н., Соколов Р.В. Экономика и проектирование информационных систем. СПб.: «Роза мира», 1998. 340 с.

25. Бусленко В.И. Автоматизация имитационного моделирования сложных систем. М.: Наука, 1977. - 240 с.

26. Вентцель Е.С., Овчаров JI.A. Теория вероятностей.- М.:Наука, 1969.-356 с.

27. Вихорев С., Ефимов А. Практические рекомендации по информационной безопасности// Jet Info.- 1996, № 10-11.-С. 15-18.

28. AS.Buxopee С., Кобцев Р. Как определить источники угроз/Юткрытые системы. 2002, № 7-8.-С. 6-11.4б.Волик Б.Г. Методы анализа и синтеза структур управляющих систем.-М.:Энергоиздат, 1988.-295 с

29. М.Волкова В.Н. Искусство формализации. СПб.: СПГТУ, 1999. - 200 с.

30. АЪ.Волкова В.Н. и др. Теория систем и методы системного анализа в управлении.- М.:Радио и связь, 1983.-248 с.

31. Волокитин А.В., Маношкин А.П., Солдатенков А.В. и др. Информационная безопасность государственных организаций и коммерческих фирм. Справочное пособие.- М.: НТЦ «ФИОРД ИНФО», 2002. - 272 с.

32. Денисов Ю.И., Киселев В Д., Мягков В.Ю., Щербина А.М Модели и методы решения задач проектирования и испытаний АСУ. М.: «ВПК», 1997. 250 с.

33. ЫДудченко В.К., Сороколетов П.В. Информационная инфраструктура рынка электроэнергии России //Рынок Электроэнергии. 2003, №1. - С. 17-19.

34. Дюбуа Д., Прад А. Теория полезности.- М.:Радио и связь, 1990.-288 с.

35. Ездаков А., Макарова О. Как защитить информацию.//Сети 1997, №8 -С. 25-28.вА.Емельянов А.А., Власова Е.А., Дума Р.В. Имитационное моделирование экономических процессов: Учеб. пособие под ред. Емельянова А.А. М.: Финансы и статистика, 2004. - 368 с.

36. Ы.Железнов ИГ. Сложные технические системы: оценка характеристик.-М.:Радио и связь, 1984.-250 с.

37. Зегжда Д.П., Ивашко A.M. Как построить защищенную информационную систему,- СПб.: Мир и семья-95, 1997.-312 с.

38. Зегжда Д.П., Ивашко A.M. Основы безопасности информационных систем. -М.: Горячая линия-Телеком, 2000. 452 с.

39. Игнатович Н. Брокер интеграции приложений./Юткрытые системы.- 2003.-Сентябрь. С. 8-14.1Ъ.Ильина М., Колыванов С. ERP-решение для среднего бизнеса //Открытые системы. -2000, №1-2. С. 41-46.

40. Ильина О.П., Стельмашонок Е.В. Блинов А. В Управление информационными рисками в бизнес-процессах// The Business (ITIB) International Conference in St. Petersburg, June 14-17, 2005. C. 14.

41. Информационная безопасность как процесс управления рисками: Электронный ресурс.: http://www/contrterror.tsure.ru, 04.03.2005.

42. Как инвестировать в технологии.//Директор ИС. 1999, № 08, // Издательство "Открытые системы": Электронный ресурс.: http://www.osp.ru/cio/ 1999/08/01 .htm, 27.11.2004.

43. Касти Дж. Большие системы. Связность, сложность и катастрофы.- М.:Мир, 1982.-216 с.1%.Кобелев Н.Б. Основы имитационного моделирования сложных экономических систем. М.: Дело, 2003. - 378с.

44. Кобзарь М., Сидак А. Методология оценки безопасности информационных технологий по общим критериям: Электронный ресурс.: http://www.jetinfo.rU/2004/6/l/articlel. 6.2004.html, 17.07.2005.

45. Комаров С. Н., Кочергина И. И. Программы для ЭВМ и базы данных как нематериальные активы. Управленческие, правовые, учетные аспекты: Электронный ресурс.: http://www.audit.ru/articles, 24.10.2004.

46. Компьютерная преступность и борьба с нею: Электронный ресурс. http://www.cyberpol.ru, 25.12.2005.

47. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия.- СПб.: БХВ-Петербург, 2003. 752с.

48. Королев В.Н. Методологические вопросы оценки влияния информационных рисков на деятельность организации: Электронный ресурс.: http://www.contel.iacis.ru/rus/actions/doc/tab4tezkorolev.doc, 13.02.2005.

49. Кошелев А. Защита сетей и firewall//KoMnbK>Tepnpecc. -2000. -№7. -С. 44-48.

50. Кузнецова B.JI., Раков М.А. Самоорганизация в технических системах,- Ки-ев:Наук. думка, 1987.-200 с.

51. Кузьмин И.А. и др. Распределенная обработка информации в научных исследованиях.- СПб.:Наука, 1991.-304 с.

52. Кукушкин А.А. Системный анализ в управлении. М.: Финансы и статистика, 2002.-368с.

53. Курило А., Голованов В. Национальные стандарты информационной безопасности для кредитно-финансовой сферы: Электронный ресурс.: http://www.bdm.ru/arhiv/2004/06/61-63 .htm, 18.03.2005.

54. Ли Че. Управление активами //LAN. 1998, №10. - с. 12-16.

55. Липаев В., Филинов Е. Формирование и применение профилей открытых информационных систем. //Открытые системы. 1997, № 5. - С. 18-25.

56. Липаев В.В. Стандарты на страже безопасности информационных систем// PC WEEC/RE. -2000. -№30. с. 34-40.94Лодон Дж., Лодон К. Управление информационными системами. 7-е изд. /Пер. с англ. под ред. Д.Р. Трутнева. СПб.: Питер, 2005. - 912 с.

57. Маккарти Линда. IT-безопасность: стоит ли рисковать корпорацией? М.: Кудиз-образ, 2004.- 208 с.

58. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. пособие для вузов.- М: Горячая линия Телеком, 2004.- 280 с.

59. Мамаев М., Петренко С. Технологии защиты информации в Интернете. -СПб.: Питер, 2002. 848 с.

60. Медведовский И. Риски, сопряженные с недостаточной безопасностью систем: Электронный ресурс.: http://www.dsec.ru, 18.03.2005

61. Медведовский ИД., Семьянов П.В., Леонов Д.Г. Атака на Internet. М.:ДМК, 1999.-336 с.

62. Медынский В.Г., Ипьдеменов С.В Реинжиниринг инновационного предпринимательства: Учеб. пособие / Под ред. проф. В.А. Ирикова . М.:ЮНИТИ, 1999.-414 е.

63. Месаревич М. и др. Теория иерархических многоуровневых систем.-М.:Мир, 1973.-344 е.

64. Николаев Ю.И. Проектирование защищенных информационных технологий. СПб.: Издательство СПбГТУ, 1997.-312 с.

65. Обеспечение информационной безопасности в экономической и телекоммуникационной сферах. Коллективная монография./ Под ред. Е.М. Сухарева. Кн.2. -М.: Радиотехника, 2003.- 216 с.

66. Общесистемные вопросы защиты информации. Коллективная монография / Под ред. Е.М. Сухарева. Кн.1. -М.: Радиотехника, 2003. -296 с.

67. Ойхман Е.Г., Попов Э.В. Реинжиниринг бизнеса: реинжиниринг организационной и информационной технологии.- М.: Финансы и статистика, 1997,-336 с.

68. Оре Э. Теория графов.- М.:Наука, 1982.-336 с.

69. Орлов С. Фундамент информационной инфраструктуры//ЬАЫ. 2003, №1.-С. 14-17.

70. Орлова Е.В. Налоговый и бухгалтерский учет компьютеров, программного обеспечения, интернета. //Российский налоговый курьер. 2002, N 7. -С. 25-29.

71. Острейковский В.А. Теория систем.- М.:Высшая школа, 1997.- 240 с.

72. Перегудов Ф.И., Тарасенко Ф.П. Введение в системный анализ. М.: Высшая школа, 1989. - 386 с.

73. Петренко С. А. Методика построения корпоративной системы защиты информации: Электронный ресурс.: http://www.myportal.ru/sec/doc24.html, 22.12.2004.]

74. Петренко С. Методические вопросы защиты информационных активов компании: Электронный ресурс.: http://citforum.edunet.kz/security/articles /zahitaaktivov/, 20.12.2004

75. Петренко С., Симонов С., Кислое Р. Информационная безопасность: экономические аспекты: Электронный ресурс.: www.jetinfo.ru, 14.11.2004.

76. Петренко С., Симонов С. Методики и технологии управления информационными рисками //«IT Manager» 2003, №3. - С. 34-45.

77. Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность М.:Компания АйТи; ДМК Пресс, 2004.- 384 е.

78. Петренко С.А. Аудит безопасности корпоративных информационных систем// Конфидент. Защита информации. -2002, №2. -С. 30-37.

79. Плинк О.В. Построение распределенной информационной системы на основе службы каталогов: Электронный ресурс.: http://www.iteco.ru/ doclad4.html, 25.03.2005.

80. Практическое руководство по использованию политик безопасности, стандартов и процедур: Электронный ресурс.: http://www.symantec.com/ region/ru/resources/ADefinitiveIntroduction.html, 12.11.2004.]

81. Пугачев B.C. Теория вероятностей и математическая статистика. М.: Физ-матлит, 2002. 496 е.

82. Пупков К.А. Основы кибернетики.- М.:Высшая школа, 1974.-416с.

83. Райцин Т.М. Синтез САУ методом направленных графов.- СПб:Энергия, 1970-94 с.

84. Распределенные вычислительные системы. Электронный ресурс. www.deimes.ru/content/view/25/91/ 19.03.2006

85. Распределенные системы. Книга 1. Ресурсы Microsoft Windows 2000 Server. М.: Русская редакция, 2001.- 864 с.

86. Расторгуев С.П. Об обеспечении защиты АИС от недокументированных возможностей программного обеспечения // Конфидент. Защита информации.-2001, №2.-С. 26-29.

87. Ровенский Ю. Первое IPO в России: брэнд, репутация, транспарентность: Электронный ресурс.: http://www.advi.ru/pages.php3?id=5, 29.10.2004.

88. Родин А.В., Бурцев B.JJ. Параллельные или распределенные вычислительные системы? Электронный ресурс.

89. Романец Ю.В., Тимофеев П.А., Шанъгин В.Ф. Защита информации в компьютерных системах и сетях.- М.: Радио и связь, 1999.- 328 с.

90. Рыжиков Ю.И. Имитационное моделирование. Теория и технологии. -СПб.: КОРОНА принт; М.: Альтекс-А, 2004. 384 с.

91. Саати Д., Керне К Аналитическое планирование. Организация систем.-М.:Радио и связь, 1991.-224 с.

92. Сальников В.П. Концептуальные основы обеспечения информационной безопасности российского государства: Электронный ресурс. http://domarev.kiev.ua/obuch/tez/s001 .htm, 14.12.2004.

93. Сердюк В.А. Сетевые и виртуальные организации: состояние, перспективы развития/Менеджмент в России и за рубежом, №5; 2002.

94. Силин В.Б. Поиск структурных решений комбинаторными методами.-М.:Изд. МАИ, 1992.-216 с.

95. Симионова Н.Е., Симионов Р.Ю. Оценка стоимости предприятия (бизнеса). М.:ИКЦ «МарТ», Р. н/Д:Издательский дом «МарТ», 2004. 464 с. 149.

96. Симонов С. В. Методология анализа рисков в информационных систе-мах//Конфидент. 2001, №1.- С. 48-53.

97. Симонов С.В Технологии аудита информационной безопасности// Конфидент. Защита информации.- 2002, № 2. С. 36-41.

98. Система управления информационной инфраструктурой предприятия: Электронный ресурс.: http://www.ecoprog.ru/suii.shtml, 16.04.2005.

99. Система управления информационной инфраструктурой: Электронный ресурс.: http://www.incom.ua/products/Softwareintegration/Standartsoftware solutions /sysmanage/index.shtml, 16.10.2005.

100. Слинъков Д. Что там, за Е11Р-горизонтом?//Директор ИС,- 2001, №7. -С. 32-40.

101. Смирнова Г.Н., Сорокин А.А., Тельное Ю.Ф. Проектирование экономических информационных систем/ Под ред. Тельнова Ю.Ф. -М.: Финансы и статистика, 2002. 512 с.

102. Снитко Н. Учет компьютерных программ и баз данных.// Досье бухгалтера. Выпуск газеты №39 (656) 2003. - 30 мая.

103. Современные подходы к управлению информационной инфраструктурой: Электронный ресурс.: www.computel.ru, 17.11.2004.

104. Спицнадель В.Н. Основы системного анализа. — СПб.: Изд. дом «Бизнес-пресса», 2000. -376с.

105. Старкова И.О., Костецкий А.Н. Проблемы количественной оценки объема интеллектуальных активов фирмы: Электронный ресурс.: http://intel-assets.hl.ru/articles/articlel 1.htm, 28.05.2005.

106. Стельмашонок Е.В. Информационная инфраструктура поддержки и защиты корпоративных бизнес-процессов: экономико-организационные проблемы. Монография.- СПб.:СПбГИЭУ, 2005.- 148 с.

107. Стельмашонок Е.В. Использование информационных технологий для поддержки и защиты бизнес-процессов в промышленных корпорациях. //Проблемы современной экономики, № 1/2 (13/14) 2005. -С. 180 183.

108. Стельмашонок Е.В Концепция обеспечения информационной безопасности корпоративных бизнес-процессов// Научно-технические ведомости СПбПТУ №4, 2005.- 125-131.

109. Стельмашонок Е.В. Концепция обеспечения информационной безопасности промышленной корпорации на основе процессного подхода // Проблемы современной экономики, № 3/4 (15) 2005.- С. 76-83.

110. Стельмашонок Е.В. Методика выбора варианта системы защиты информации корпоративных бизнес-процессов //Межвузовская научно-практическая конференция «Инновации и инвестиции в экономике России». СПб: СПбГПТУ 2005. 491-495 с.

111. Стельмашонок Е.В Синтез системы защиты информации промышленного предприятия//«Вестник ИНЖЭКОНа». № 4, СПбГИЭУ, 2005,- С. 52-57.

112. Стрелкова Е. Интеграция данных предприятия/Юткрытые системы. -, 2003. Апрель.-с. 58-61.

113. Стрельцов А. А. Правовое обеспечение информационной безопасности России: теоретические и методологические основы. Мн., Беллитфонд, 2005. -304 е.

114. Сэйер П. Lloyd страхует от хакеров.// Computerworld Россия. 2000. -№ 30. - с. 44-49.

115. Таненбаум Э., Ван Стеен М. «Распределенные системы: принципы и парадигмы». СПб: Питер, 2003. - 877 с.

116. Тараторш Д.И. Анализ тенденций развития и использования распределенных вычислительных систем. //Современные проблемы прикладной информатики: II научно-практическая конференция 23-25 мая 2006 г.: Сб. науч. трудов- СПб.: СПбГУВК, 2006. с. 156-158.

117. Тараторин Д.И Разработка математической модели оценки эффективности системы информационной безопасности предприятия распределенного типа // Сб.науч. ст. асп. СПбГИЭУ. Вып. 16. СПб.: СПбГИЭУ, 2006.

118. Тельное Ю.Ф. Реинжиниринг бизнес-процессов.- М.: МЭСИ, 1999.- 106 с.

119. Фишборн П. Теория полезности для принятия решений.- М.:Наука, 1978.352 с.

120. Хаммер М, ЧампиДж. Реинжиниринг корпорации: манифест революции в бизнесе. СПб.: СПбГУ, 1997. 332 с.

121. Харари Ф. Теория графов.- М.:Мир, 1973.-300 с.

122. Хмелев Я. Оценка эффективности мер безопасности, закладываемых при проектировании электронно-информационных систем. Труды научно-технической конференции «Безопасность информационных технологий», Пенза: ПНИЭТИ, 2001. С. 88.

123. Царегородцев А.В., Петручук С.О. Анализ функций защиты для проектирования платформ безопасности.: Электронный ресурс.: http://nit.miem. edu.ru/2003/tezisy/articles/129.htm, 30.11.2004.

124. Цеиркун А.Д. Структура сложных систем.- М.:Наука, 1975.-153с.

125. Чакон М. Как создать единый каталог// Журнал сетевых решений LAN.-2001. Май.-с. 32-37.

126. Черняк Л. Серверы корпоративных приложений- ОС для корпоративных информационных систем?// Открытые системы.- 2001. Январь. с.48-53.

127. Чулкое A. LDAP в середине пути.// Журнал сетевых решений LAN. 2001. Май. - С. 38-43.

128. Шаракшанэ А.С. и др. Сложные системы.- М.:Высшая школа, 1977.-247с.

129. Шатихин Л.Г. Структурные матрицы и их применение для исследования систем.- М.:Машиностроение, 1991.-254 с.

130. Шеннон Р. Имитационное моделирование систем искусство и наука. -М.: Мир, 1978.-418 с.

131. Шилейко А.В. и др. Введение в информационную теорию систем.-М.:Радио и связь, 1985.-280 с.

132. Шостак С.В. Информация, ее виды и проблемы получения: Электронный ресурс.: http://www.ostu.ru/conf7 soc2002/papers/shostak.htm, 29.01.2005.

133. Шпак В.Ф. Методологические основы обеспечения информационной безопасности объекта//Конфидент. Защита информации. 2000.-№1. -С. 75-78.

134. Эдвинссо Л., Мэлоун М. Интеллектуальный капитал: определение истинной стоимости компании. // Новая постиндустриальная волна на Западе. /Под ред. В. Иноземцева. М.: Academia, 1999. 640 с.

135. Эндрюс Дж., Мак-Лоун Р. Математическое моделирование,- М.:Мир, 1979.-277 с.

136. Эренберг А. Анализ и интерпретация статистических данных. М.: Финансы и статистика, 1981. - 406 с.

137. Common Criteria for Information Technology Security Evaluation. Version 1.0, 96.01.31

138. Federal Criteria for Information Technology Security (FC), Draft Version 1.0, (Volumes I and II), jointly published by National Institute of Standards and Technology and the National Security Agency, US Government, 1993.

139. ISO/IEC 15408-3. Information technology - Security techniques - Evaluation Criteria for IT security - Part 3: Security assurance requirements, 1999.

140. Standards for Information Control Professionals. -ISACA Standards, 2000.

141. An Introduction to Computer Security: The NIST Handbook. Draft ~ National Institute of Standards and Technology, Technology Administration, U.S. Department of Commerce, 1994.

142. B. Schneier. Applied Cryptography: Protocols, Algorithms, and Sourse Code in C: Second Edition. John Wiley&Sons, New York, 1996.

143. B. Schneier. Secrets and Lies: Digital Security in a Networked World. John Wiley&Sons, New York, 2000.

144. Customer Synchronized Resource Planning: Become indispensable, Catherine de Rosa, APICS.

145. Cyber Security Research and Development Agenda. Institute for Information Infrastructure Protection January 2003.

146. Information technology Code of practice for information security management/ International Standard ISO/IEC 17799:2000(E).

147. ISO/IEC 15408-1. Information technology - Security techniques - Evaluation Criteria for IT security - Part 1: Introduction and general model, 1999.

148. ISO/IEC 15408-2. Information technology - Security techniques - Evaluation Criteria for IT security - Part 2: Security functional requirements, 1999

149. Knowledge Management in the Learning Society. Paris. OECD. 2000.

150. R. Witty . The Role of the Chief Information Security Officer. Research Note, Gartner Research, Strategic Planning, SPA-13-2933 ~ Gartner Research, Strategic Analysis Report, K-l 1-6534, April 2001.

151. Sherif Mostafa Hashem. Protocols for Secure Electronic Commerce. CRC Press, 2000.

152. Standards for Information Systems Auditing. -ISАСА Standards, 2000.