Оценка эффективности инвестирования в информационную безопасность предприятия на основе нечетких множеств тема диссертации и автореферата по ВАК РФ 08.00.13, кандидат экономических наук Белецкий, Владимир Александрович

Информационная безопасность сегодня требует пристального внимания со стороны руководства, поскольку на многих предприятиях внедрены или планируются к внедрению системы автоматизации, компьютерного учета и автоматизированного планирования - все они имеют дело с базами данных, информацией, собранной централизованно и представляющей собой удобную мишень для злоумышленников. Но защита информации - это сложная и затратная задача. Помимо высоких инвестиций, необходимо решить противоречие между доступностью информационных ресурсов, то есть их удобством - одним из основных преимуществ информатизации - и необходимой степенью защиты. Так как защитные меры приводят к снижению удобства использования информационных ресурсов и несут неявную и зачастую плохо вычисленную выгоду, решения в пользу безопасности принимаются лишь в случае личностного влияния сторонника защиты информации. Другим стимулом может послужить компрометация безопасности - пока угрозы не реализуются, убедить руководство инвестировать в информационную безопасность очень сложно. Но если инцидент уже случился, то строить системы безопасности, как правило, бесполезно.

Сегодня требуется количественная, оценка рисков и преимуществ, основанная на рациональных математических моделях. В данной работе предложена методика оценки эффективности инвестиций в информационную безопасность на предприятии, основанная на нечетких множествах. Актуальность темы диссертационного исследования

Актуальность работы обусловлена растущими информационными активами предприятий и автоматизацией производственных процессов. Эти факторы обуславливают необходимость принятия решений об инвестировании в информационную безопасность в условиях неопределенности.

Зачастую решения в данном случае принимаются без достаточных сведений об угрозах из-за отсутствия статистических данных и даже информации о стоимости информационного актива, а, следовательно, и последствия компрометации информационной безопасности, известны лишь в некотором приближении. Из-за этого неизбежны экспертные оценки, добавляющие еще одну грань к неопределенности. Аппарат нечетко-множественной оценки позволяет учитывать все эти факторы при построении математической модели.

Можно сказать, что такая субъективизация неопределенности приводит нас к понятию риска. При объективно существующей неопределенности риски для каждого предприятия отличны. Именно поэтому и необходима оценка рисков.

Сегодня анализ рисков информационной безопасности является неотъемлемым элементом целостного обеспечения информационной безопасности. Федеральный закон № 152 «О персональных данных» признает данную процедуру обязательной для всех операторов персональных данных, а поскольку современное предприятие неразрывно связано с информационными технологиями, то можно сказать, что эта процедура обязательна для любого предприятия. Анализ рисков также обязателен в соответствии со стандартами ISO 27001 (ГОСТ Р ИСО/МЭК 27001) и NIST 800.

Информация является одним из наиболее ценных активов современного предприятия и ее защите уделяется порой немало внимания и средств. Но сколько инвестиций в информационную безопасность достаточно для обеспечения надежной защиты? Ответ на данный вопрос возможен лишь в том случае, если анализ рисков неразрывен с прогнозом, причем риски прогнозируются с учетом планируемых к внедрению средств защиты. Безусловно, необходимы достоверные данные об активах самого предприятия и о его окружении, что и составит начальные условия при оценке эффективности инвестирования в информационную безопасность.

Хотя к настоящему времени проблема информационной безопасности не является чем-то новым, общепринятых подходов к оценке и прогнозированию рисков до сих пор не существует. Исследования и результаты работ по этому направлению зачастую являются коммерческой тайной крупнейших современных предприятий. Однако доступные исследования, как, впрочем, и сам факт защиты информации о методиках оценки информационной безопасности, указывают на актуальность исследований в данной области.

Степень разработанности проблемы

Рождением математического аппарата нечетких множеств можно считать публикацию статьи Лотфи Заде «Fuzzy Sets» в 1965 г. в журнале Information and Control.

Развитие нёчетко-множественного подхода рассматривается в трудах отечественных и зарубежных авторов: А.Н. Аверкина, Р.А. Алиева, А.Е. Алтунина, А.Н. Борисова, М.П. Власова, С. Готвальда, Д. Дюбуа, Дж. Клира, А. Кофмана, А.И. Орлова, Д.А. Поспелова, X. Циммермана, где исследуются методы оптимизации и принятия решений в условиях неопределенности.

Нечетко-множественный аппарат в применении к задачам экономики и инвестирования рассматриваются в работах следующих иностранных и отечественных исследователей: Дж. Бакли, Дж. Бояджиева, А.О. Недосекина, Б.Б. Оразбаева, А.С. Птускина П.В. Севастьянова, А.М. Хил Лафуэнте, и других.

Оценка рисков информационной безопасности и методика оценки эффективности инвестирования в средства защиты нашли отражение в трудах ряда зарубежных авторов, таких как С. Вей, Дж. Гарибальди, И. Коскосас, М. Кремонини, А. Мицци, В. Соненрейх, К. Су Ху, Дж. Н. Шин, Г. Шрайен и других; кроме того, в отечественной литературе в трудах Р.М. Алгулиева, А.Н. Атаманова, П.А. Балашова, П.М. Деревянко, В.И. Завгородного, Н.А. Королевой, А.С. Мизнова, В.М. Нечунаева, Э.Р. Рагимова, А.Ф. Чипига и других.

Анализ работ по данной тематике позволяет сделать вывод о необходимости проведения дальнейших теоретических и практических исследований в области оценки эффективности инвестирования в информационную безопасность с применением аппарата нечетких множеств.

Большинство исследователей не акцентируют внимание на специфику неопределенности начальных условий при постановке подобных задач и не учитывают данную неопределенность при моделировании, в результате чего отсутствует комплексный подход к решению задач оценки эффективности инвестирования в информационную безопасность предприятия. Поэтому, данная диссертационная работа посвящена комплексной оценке эффективности инвестирования в информационную безопасность предприятия.

Цель исследования

Целью диссертационного исследования является разработка теоретических и методологических основ оценки эффективности инвестирования в информационную безопасность предприятия.

Данная цель исследования предопределила постановку и последовательное решение следующих взаимосвязанных задач:

1. Определить возможности применения методов теории нечетких множеств для моделирования системы оценки эффективности инвестирования в информационную безопасность;

2. Проанализировать исторические методы оценки эффективности инвестирования в информационную безопасность предприятия в условиях неопределенности и риска;

3. Классифицировать угрозы информационной безопасности предприятия, и разработать теоретическую модель реализации угроз;

4. Разработать модель оценки начальных условий с учетом теории нечетких множеств;

5. Разработать модель оценки эффективности инвестирования в информационную безопасность предприятия.

6. Алгоритмизировать модель оценки эффективности инвестирования в информационную безопасность предприятия;

7. Провести апробацию данной модели в условиях реального предприятия.

Объектом исследования является информационная безопасность предприятия, связанные с ней информационные активы предприятия и средства их защиты.

Предметом исследования является построение модели и алгоритма оценки эффективности инвестирования в информационную безопасность предприятия на основе теории нечетких множеств.

Методологической и теоретической основой исследования являются труды зарубежных и отечественных ученых, посвященные применению методов теории нечетких множеств для оценки эффективности инвестирования. Математический аппарат исследования основан на теории нечетких множеств и финансовом анализе. В процессе диссертационного исследования использовались методы анализа и синтеза, гипотетико-дедуктивные и индуктивные методы научного познания.

Практические расчеты в рамках настоящего исследования производились с использованием таких прикладных программных средств как MS Excel, Microsoft Visual Studio (C#), ARIS.

Тема и содержание диссертации принадлежат к области исследований научной специальности ВАК 08.00.13 - Математические и инструментальные методы в экономике (раздел 1. «Математические методы», подраздел 1.4. «Разработка и исследование моделей и математических методов анализа микроэкономических процессов и систем: отраслей народного хозяйства, фирм и предприятий, домашних хозяйств, рынков, механизмов формирования спроса и потребления, способов количественной оценки предпринимательских рисков и обоснования инвестиционных решений», а также радел 2. «Инструментальные средства», подраздел 2.11. «Развитие экономических методов обеспечения информационной безопасности в социально-экономических системах»).

Информационная база исследования включает открытые статистические данные, связанные с информационной безопасностью.

Научная новизна диссертационной работы состоит в развитии концепции применения теории нечетких множеств для оценки эффективности инвестирования в информационную безопасность.

Научную новизу составляют следующие основные результаты, выносимые на защиту:

1. Классифицированы угрозы информационной безопасности предприятия и предложена модель выявления этих угроз, позволяющая найти базовые элементы начальных условий математической модели оценки инвестиций в информационную безопасность.

2. Впервые предложена математическая модель оценки инвестиций в информационную безопасность организации, основанная на расчете чистой приведенной стоимости с применением теории нечетких множеств.

3. Разработан новый метод оценки зависимости конфиденциальности и доступности информационных систем.

4. Разработан модифицированный метод оценки окупаемости инвестиций в информационную безопасность, расширяющий предложенную модель.

Теоретическая значимость исследования состоит том, что в диссертационной работе получила развитие концепция описания рисков информационной безопасности предприятия с применением теории нечетких множеств.

Практическая значимость исследования заключается в разработке математической модели, которая может быть использована в процессе управления финансовыми активами предприятия, в частности принятия инвестиционных решений об информационной безопасности.

Апробация результатов исследования

Основные положения и результаты исследования докладывались на 6-ой международной научно-практической конференции «Наука и социальные проблемы общества: информатизация и информационные технологии» (Харьков, 2011), Х1У-Й Международной научно-технической конференции «Информационно-вычислительные технологии и их приложения» (Пенза, 2011), У-й Международной научной заочной конференции «Отраслевые аспекты экономики, управления, права» (Москва, 2012) , на семинаре Лаборатории конструктивных методов исследования динамических моделей (г. Пермь, ПГНИУ, 2011 г.).

Предложенные в диссертации алгоритмы и методики используются на ОАО «Пермская научно-производственная приборостроительная компания» (г. Пермь) для поддержки принятия решений при инвестировании в информационную безопасность.

Публикации

Основные результаты исследования опубликованы в 8 научных работах, в том числе 5 статьях. Общий объем изданных работ составил 2,1 п. л., в том числе две работы в изданиях, рекомендованных ВАК для публикации результатов диссертации (0,7 п. л.).

ЗАКЛЮЧЕНИЕ

Программные и технические средства, на которые опирается деятельность многих современных предприятий, зачастую разрабатываются и тестируются без достаточных мер обеспечения информационной безопасности. Сегодня необходима количественная оценка защищенности тех или иных информационных систем. Однако данная оценка всегда связана с неопределенностью. Даже в том случае, если мы уверены в своей оценки в данный момент, у нас отсутствуют гарантии о появлении новых угроз в будущем. Поскольку все данные об информационной безопасности так или иначе связаны с «квази» статистической информацией (зачастую данные должны быть привязаны к конкретному предприятию), или же с экспертными оценками, то описание неопределенности целесообразно осуществлять, основываясь на аппарате нечетких множеств.

Хотя безопасность вряд ли возможно будет оценить предельно точно когда-нибудь в обозримом будущем, в данной диссертационной работе показано каким образом мы можем адресовать неопределенность, опираясь лишь на разрозненные доступные данные. Однако, необходимы дальнейшие исследования - экономические модели угроз должны быть более тесно интегрированы с моделями оценки рисков безопасности, мы должны более точно определять начальные условия для этих моделей и иметь возможность отслеживания инцидентов для формирования статистики.

В данном исследовании получил дальнейшее развитие подход к оценке эффективности инвестирования в информационную безопасность предприятия, основанный на нечетких множествах. Подводя итог проделанной работы, сформулируем основные результаты исследования:

1. Проанализированы современные методы оценки эффективности инвестирования в информационную безопасность. Сделан вывод о целесообразности применения аппарата нечетких множеств для описания неопределенности при решении данной задачи.

2. Классифицированы угрозы информационной безопасности предприятия.

3. Предложен модифицированный способ построения дерева угроз для определения начальных условий задачи.

4. Предложена математическая модель оценки инвестирования в информационную безопасность на основе нечетких множеств.

5. Модель алгоритмизирована положена в основу программного продукта, позволяющего принимать инвестиционные решения.

6. Выдвинута гипотеза о взаимосвязи доступности и конфиденциальности информационных систем и проиллюстрирована на примере предложенной модели.

7. Предложенная математическая модель дополнена описанием окупаемости инвестиций и окупаемости атаки информационной системы. Автор считает, что цели исследования достигнуты, а полученные результаты свидетельствуют о значительном потенциале применения теории нечетких множеств к . оценке эффективности инвестирования в информационную безопасность. Полученные результаты полностью согласуются с целью и задачами диссертационного исследования.

Создание нового метода оценки эффективности инвестирования в средства защиты, стало возможным благодаря комплексному использованию как математического аппарата теории нечетких множеств, так и учета экономической специфики рынка информационной безопасности. Полученные результаты предлагается использовать в практической деятельности как крупных предприятий, так и инвестиционных и консалтинговых компаний. Предлагаемый метод нашел свое применение в соответствующих департаментах ОАО «Пермская научно-производственная приборостроительная компания».

Автор выражает признательность научному руководителю, доктору технических наук, профессору Владимиру Павловичу Первадчуку, за неоценимые советы и идеи, использованные при осуществлении исследования, а также руководство всем исследовательским процессом.

Автор также выражает признательность всем коллегам, наставникам, преподавателям, при осуществлении исследования оказывавшим значительную помощь, которую сложно переоценить.

1. Национальный стандарт РФ «Защита информации. Основные термины и определения» (ГОСТ Р 50922-2006)

2. Национальный стандарт РФ «Информационная технология. Практические правила управления информационной безопасностью» (ГОСТ Р ИСО/МЭК 17799—2005)

3. Национальный стандарт РФ «Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» (ГОСТ Р ИСО/МЭК 13335-1 —2006)

4. Рекомендации по стандартизации «Информационные технологии. Основные термины и определения в области технической защиты информации» (Р 50.1.053-2005)

5. Рекомендации по стандартизации «Техническая защита информации. Основные термины и определения» (Р 50.1.056-2005).

6. Государственный стандарт РФ «Аспекты безопасности. Правила включения в стандарты» (ГОСТ Р 51898-2002)

7. Найт Ф.Х. Риск, неопределенность и прибыль. М.: Дело, 2003.

8. Недосекин А.О. Нечетко-множественный анализ риска фондовых инвестиций. СПб, тип. Сезам, 2002.

9. Шарп У., Александер Г., Бейли Дж. «Инвестиции». Пер. с англ. — М.: ИНФРА-М, 1999. — 1028 с.

10. Оценка проектов в условиях неопределенности / П.М. Деревянко — Электрон, дан. — 2006. — Режим доступа:http://www.cfin.ru/finanalysis/invest/fuzzyanalysis.shtml, свободный. — Загл. с экрана.

11. П.Царев В.В. «Оценка экономической эффективности инвестиций». — СПб.: «Питер», 2004. — 464 е.: ил.

12. Бирман Г., Шмидт С. «Экономический анализ инвестиционных проектов». — М.: ЮНИТИ, 1997. — 345 с.

13. Ендовицкий Д.А. «Комплексный анализ и контроль инвестиционной деятельности: методология и практика». Под ред. проф. JI.T. Гиляровской. — М.: Финансы и статистика, 2001. — 400 е.: ил.

14. Федеральный закон «Об инвестиционной деятельности в РФ,осуществляемой в форме капитальных вложений» от 25 февраля 1999 г. №39-Ф3

15. Чернов В.А. Инвестиционная стратегия. — М.: ЮНИТИ-Дана, 2003. -158 с.

16. Кельтон В., Лоу А. Имитационное моделирование. — «Классика CS». 3-е изд. — СПб.: «Питер»; Киев: Издательская группа BHV, 2004. — 847 с.

17. Количественные методы в экономических исследованиях» / Под ред. М.В. Грачевой и др. — М.: ЮНИТИ-ДАНА, 2004. — 791 с.

18. Виленский П.Л., Лившиц В.Н., Смоляк С.А. Оценка эффективности инвестиционных проектов. Теория и практика. — М.: «Дело», 2004. — 888 с.21 .Hurwicz L. Optimality Criteria for Decision Making under Ignorance // Cowles commission papers, 1951, № 370

19. Zadeh L.A. Fuzzy Sets // Information and Control, 1965, Vol. 8, № 3, pp. 338353.

20. Степанов Л.В. Моделирование конкуренции в условиях рынка. М. : Академия Естествознания, 2009.

21. Классификация угроз информационной безопасности / Вихорев C.B. — Электрон, дан. — 2001. — Режим доступа:http://www.masters.donntu.edu.ua/2005/fVti/vorotyntsev/library/class.pdf, свободный. — Загл. с экрана.

22. Как определить источники угроз? / Вихорев C.B., Кобцев Р.Ю. — Электрон, дан. — 2001. — Режим доступа:http://citforum.ru/security/articles/threats/, свободный. — Загл. с экрана.

23. В.В.Репин, В.Г.Елиферов. Процессный подход к управлению. Моделирование бизнес-процессов. Москва: Стандарты и качество, 2004.

24. Алтунин А.Е., Семухин М.В. Модели и алгоритмы принятия решений в нечетких условиях. — Тюмень: Изд-во «ТГУ», 2000. — 352 с.

25. Дюбуа Д., Прад А. Теория возможностей. Приложения к представлению знаний в информатике. — М: «Радио и связь». 1990. — 288 е.: ил.

26. Севастьянов П.В., Севастьянов Д.П. Оценка финансовых параметров и риска инвестиций с позиций теории нечетких множеств // Надежные программы, 1997, №1, с. 10-19.

27. Кравец A.C. Природа вероятности. — М.: «Мысль», 1976. — 173 с.

28. Виленский П.Л., Лившиц В.Н., Смоляк С.А. Оценка эффективности инвестиционных проектов. Теория и практика. — М.: «Дело», 2004. — 888 с.

29. Количественные методы в экономических исследованиях / Под ред. М.В. Грачевой и др. — М.: ЮНИТИ-ДАНА, 2004. — 791 с.

30. Кофман А., Хил Алуха X. Введение теории нечетких множеств в управлении предприятиями. Пер. с исп. —Мн.: «Вышэйшая школа», 1992. —224 с.

31. Kahraman С., Ruan D., Tolga Е. Capital Budgeting Techniques Using Discounted Fuzzy versus Probabilistic Cash Flows // Information Sciences, 2002, № 142, pp. 57-76.

32. Li Calzi M. Towards a General Setting for the Fuzzy Mathematics of Finance // Fuzzy Sets and Systems, 1990, № 35, pp. 265-280.

33. Ward T.L. Discounted Fuzzy Cashflow Analysis // Proceedings of Fall Industrial Engineering Conference, 1985, pp. 476-481.

34. Вощинин А.П. Задачи анализа с неопределенными данными — интервальность и/или случайность? // Интервальная математика и распространение ограничений: Рабочие совещания. — МКВМ-2004, с. 147-158.

35. Ноо S., 'How much is enough? A risk management approach to Computer Security', 200041 .National Bureau of Standards, Guideline for Automatic Data Processing Risk Analysis, FIPS PUB 65 (Washington, DC: U.S. General Printing Office, 1979).

36. Куканова H. Современные методы и средства анализа и управления рисками информационных систем компаний. — Электрон, дан. — Режим доступа: http://www.dsec.ru/about/articles/arcompare/, свободный. — Загл. с экрана.

37. Cremonini М., Martini P., Evaluating Information Security Investments from Attackers Perspective: the Return-On-Attack (ROA) / 4th Workshop on the Economics on Information Security, 2005

38. Wei H., Frinke D. Cost-Benefit Analysis for Network Intrusion Detection Systems / CSI 28th Annual Computer Security Conference, 2001

39. Wes Sonnenreich, Return on security investment (ROSI). A practical quantitative model // Journal of Research and Practice in Information Technology, Vol. 38, No. 1, February 2006

40. Adrian Mizzi. Return on information security investment — Электрон, дан. — 2005. — Режим доступа:http://www.infosecwriters.com/textresources/pdf/ROISI.pdf, свободный. — Загл. с экрана.,

41. Ioannis V. Koskosas Ray J. Paul. Information Security Management in the Context of Goal-Setting // Risk Management, Vol. 6, No. 1 (2004), pp. 19-29

42. Мизнов А.С., Шевяхов М.Ю. Некоторые подходы к оценкеинформационных рисков с использованием нечётких множеств // Электронный журнал «Системный анализ в науке и образовании» № 1, 2010, с. 54-60

43. Чипига А.Ф., Плешенко B.C. Оценка эффективности защищённости автоматизированных систем от несанкционированного доступа // Вестник СевКавГТУ Серия «Физико-химическая», №1 (8), 2004

44. Нечунаев В.М. Оценка рисков информационной безопасности корпоративной информационной системы / Доклады ТУСУРа, № 1 (19), часть 2, 2009

45. Sheen J.N. Information Security Investment Decision-making based on Fuzzy Economics // WSEAS transactions on systems, v.9 №6, 2010

46. Guido Schryen. A Fuzzy Model for IT Security Investments // Felix C. Freiling, ed., 'Sicherheit', GI,, pp. 289-304

47. Kurt Aubuchon, Applying NPV and ROI to Security Investment Decisions — Электрон, дан. — Режим доступа:http://defaultdenyjournal.com/blog/2009/10/30/extended-article-applying-npv-and-roi-to-security-investment-decisions/, свободный. — Загл. с экрана.

48. Глобальное исследование утечек за 2010 год / Info Watch — Электрон, дан. — 2009. — Режим доступа: http://www.infowatch.ru/report/462, свободный. — Загл. с экрана.55.2008 CSI Computer Crime & Security Survey / R. Richardson, CSI Director

49. Электрон, дан. — 2009. — Режим доступа:http://i.cmpnet.com/v2.gocsi.com/pdf/CSIsurvey2008.pdf, свободный. — Загл. с экрана.

50. Hans-Jurgen Zimmermann. Fuzzy set theory—and its applications 4th ed., 2001, 544 p.

51. Gottwald, S. Universes of Fuzzy Sets and Axiomatizations of Fuzzy Set Theory. Part I: Model-Based and Axiomatic Approaches // Studia Logica 82 (2): 211-244, 2006

52. Попков В.П., Семенов В.П. Организация и финансирование инвестиций.

53. СПб.: «Питер», 2001. — 224 с.

54. Румянцева Е.Е. Новая экономическая энциклопедия . — М.: «Инфра-М», 2010. —826 с.

55. Круглов В. В., Борисов В. В. Искусственные нейронные сети. Теория и практика. М., Горячая линия - Телеком, 2001.

56. Вилкас Э. И., Майминас Е. 3. Решения: теория, информация, моделирование. М., Радио и связь, 1981

57. Кузьмин В.Б. Параметрическое отношение лингвистических значений переменных и ограничений // Модели выбора альтернатив в нечеткой среде, Рига, 1980, с.75-76

58. Ротштейн А.П. Интеллектуальные технологии идентификации — Электрон, дан. — Режим доступа:http://matlab.exponenta.ru/fuzzylogic/book5/index.php. — Загл. с экрана.

59. Штовба, С. Д. Введение в теорию нечетких множеств и нечеткую логику

60. Электрон, дан. — Режим доступа: http: // matlab.exponenta.ru / fuzzy-logic / bookl / index.php — Загл. с экрана.

61. Штовба, С. Д. Идентификация нелинейных зависимостей с помощью нечеткого логического вывода в системе MATLAB / С. Д. Штовба // Exponenta Pro: Математика в приложениях 2003. № 2. - С. 9-15.

62. Aswath Damodaran. Strategic risk taking: a framework for risk management -Pennsylvania: Wharton School Publishing, 2007

63. ISO 31000:2009, «Менеджмент рисков. Принципы и руководящие указания»

64. Астахов А. Внедрение СУИБ: как управлять рисками? — Электрон, дан.2006. — Режим доступа:http://www.cnews.ru/reviews/index.shtml72006/! 1/24/218588 1, свободный.1. Загл. с экрана.

65. Phillip J. Brooke and Richard F. Paige. Fault trees for security system design and analysis // Computers & Security, 22(3):256-264, 2003.

66. Michael Howard and David LeBlanc. Writing secure code. Microsoft Press, Redmond, Washington, 2nd edition, 2002

67. Dorothy E. Denning. The limits of formal security models. National Computer Systems Security Award Acceptance Speech, October 18, 1999.

68. Bob Blakley. An imprecise but necessary calculation // Secure Business Quarterly: Special Issue on Return on Security Investment, 1(2), Q4, 2001

69. Shawn A. Butler, P. Chalasani, Somesh Jha, Orna Raz, and Mary Shaw. The potential of portfolio analysis in guiding software decisions / In Proceedings of the First Workshop on Economics-Driven Software Engineering Research (EDSER- 1), 1999.

70. Robert V. Jacobson. What is a rational goal for security? Security Management, v. 44, №12, 2000

71. Findings from the 2011 Global State of Information Security Survey / G. Loveland, M. Lobel — Электрон, дан. — 2010. — Режим доступа: http://www.pwc.com/giss2011, свободный. — Загл. с экрана.

72. Как измерить То, О Чем Нельзя Говорить / Д. Викторов — Электрон, журн. — 2011. — Режим доступа: http://www.ibusiness.ru/10528, свободный. — Загл. с экрана.