Теория и методология организации инфраструктуры защиты информации на промышленном предприятии тема диссертации и автореферата по ВАК РФ 08.00.05, доктор экономических наук Стельмашонок, Елена Викторовна

Информатизация является характерной чертой жизни современного общества. Новые информационные технологии активно внедряются во все сферы национальной экономики.

По мере развития и усложнения средств, методов, форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий.

Информационные технологии (ИТ) в настоящее время являются необходимым атрибутом повышения эффективности бизнес-процессов, в частности, позволяют хозяйствующим субъектам снизить издержки производства, повысить достоверность экономического анализа, правильно выбирать стратегию и тактику проведения мероприятий в условиях наступления форс-мажорных обстоятельств. Одной из наиболее серьезных проблем, затрудняющих применение современных информационных технологий, является обеспечение их информационной безопасности.

Актуальность и важность проблемы обеспечения безопасности информационных технологий обусловлены следующими причинами:

• резкое увеличение вычислительной мощности современных компьютеров при одновременном упрощении их эксплуатации;

• высокие темпы роста парка персональных компьютеров, находящихся в эксплуатации в самых различных сферах деятельности;

• резкое увеличение объемов информации, накапливаемой, хранимой на электронных носителях (в виде электронных документов) и обрабатываемой с помощью компьютеров;

• концентрация информации - сосредоточение в единых базах данных информации различного назначения и различной принадлежности;

• динамичное развитие программных средств, не удовлетворяющих даже минимальным требованиям безопасности;

• резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных;

• демократизация доступа к информации, обусловленная развитием компьютерных сетей как локальных, так и глобальных;

• развитие электронной почты и рост электронного документооборота в компьютерных сетях;

• внедрение электронных технологий в различные виды профессиональной деятельности на финансовых и товарных рынках (электронная коммерция, сетевые банковские и финансовые услуги);

• развитие глобальной сети Интернет, практически не препятствующей нарушениям безопасности систем обработки информации во всем мире.

В результате указанных причин возникло острое противоречие между возросшими возможностями методов и средств информационных технологий и возможностями методов и средств защиты информационных ресурсов.

Данные мировой и российской статистики свидетельствуют о тенденции роста масштаба компьютерных злоупотреблений, приводящих к значительным экономическим потерям хозяйствующих субъектов различного уровня. По оценкам [91, 92, 117] количество компьютерных преступлений в России выросло приблизительно в 140 раз (с 100 в 1997 году до 13700 в 2004 году со среднегодовым темпом роста 88,2%.). Ущерб от компьютерных злоупотреблений в мире ежегодно возрастает на 35% и в 2004 году составил 411 млрд. долл. США [91] , средняя сумма потерь от одного компьютерного преступления составляет 560 тыс. долл. США [91]. При анализе имеющихся статистических данных в области компьютерных преступлений необходимо учитывать латентность (сокрытие компаниями) информации о компьютерных злоупотреблениях. В США латентность составляет 80%>, в Великобритании - 85%, в Германии - 75%, в России - 90% [117]. Тем не менее, имеющиеся тенденции заставляют вносить изменения в стратегии развития компаний и требуют более обоснованной организации инфраструктуры защиты информации.

Анализ результатов исследований [27, 43, 47, 49, 53, 80, 92, 113, 131, 134 и др.], ведущихся в направлении обеспечения информационной безопасности информационных технологий показывает, что в настоящее время не до конца решены вопросы научного обоснования структуры системы защиты информации. В первую очередь это касается инфраструктуры защиты бизнес-процессов, которая в свете современных тенденций организации бизнеса играет решающую роль в достижении успеха хозяйствующим субъектом.

Отмеченные обстоятельства обусловливают противоречие между насущной необходимостью научного обоснования концепции построения инфраструктуры защиты информации бизнес-процессов и возможностями теоретико-методологических решений, обеспечивающих это обоснование.

При этом необходимо учитывать, что процессный подход к организации и управлению хозяйственной деятельностью предприятия требует применения процессно-ориентированного подхода и к формированию самой инфраструктуры защиты информации бизнес-процессов. Процессно-ориентированный подход к созданию (совершенствованию) инфраструктуры защиты информации бизнес-процессов позволит рассматривать процесс формирования (развития) системы защиты информации, как один из вспомогательных процессов, обеспечивающих основные процессы предприятия. Это дает возможность разработки инфраструктуры защиты информации в тесной взаимосвязи с проектированием других бизнес-процессов, что несомненно увеличит их интегрированность, гибкость, сбалансированность и управляемость.

Для блокирования и предупреждения наиболее вероятных информационных угроз на промышленном предприятии должна функционировать такая инфраструктура защиты информации, которая ориентирована на поддержку бизнес-процессов с учетом структуры информационных активов промышленного предприятия, а в силу ограниченности финансовых ресурсов у предприятия инфраструктура защиты информации должна формироваться экономически обоснованно.

В то же время в отечественной и зарубежной теории и практике отсутствует целостная методология организации инфраструктуры защиты информации, рассматриваемая через призму процессного подхода к управлению промышленным предприятием.

Таким образом, потребность разрешения существующих противоречий в теории и практике создания систем защиты информации требует дальнейшего их развития и, в частности, формирования инфраструктуры защиты информации бизнес-процессов на промышленном предприятии, что подтверждает актуальность темы диссертационной работы.

Все сказанное определило цели и задачи диссертационного исследования. Целью исследования является разработка теории и методологии организации экономически обоснованной инфраструктуры защиты информации на промышленном предприятии на основе использования перспективных концепций обеспечения информационной безопасности и процессного подхода к организации управления, моделей и математических методов.

Для достижения данной цели в диссертационном исследовании были поставлены и решены следующие задачи:

• разработка теоретических и методологических основ организации инфраструктуры защиты информации на промышленном предприятии;

• анализ связи современных концепций производственного менеджмента с инфраструктурой защиты информации;

• обоснование требований к инфраструктуре защиты информации на промышленном предприятии;

• уточнение понятия информационных активов промышленного предприятия;

• определение путей влияния инфраструктуры защиты информации на основные показатели производственно-хозяйственной деятельности промышленного предприятия;

• обоснование принципов организации инфраструктуры защиты информации;

• разработка концептуальной модели инфраструктуры защиты информации;

• анализ состава затрат на создание инфраструктуры защиты информации промышленного предприятия;

• обоснование системы показателей информационной безопасности;

• разработка комплекса математических моделей оценки и оптимизации инфраструктуры защиты информации бизнес-процессов на промышленном предприятии;

• построение имитационной модели функционирования инфраструктуры защиты информации;

• выработка практических рекомендаций по организации инфраструктуры защиты информации и системы мониторинга безопасности информационных активов промышленного предприятия.

Объектом исследования являются процессы управления промышленным предприятием и их информационная поддержка.

Предметом исследования являются теоретические и методологические положения, модели и методы организации инфраструктуры защиты информации, реализуемой в рамках современного процессно-ориентированного подхода к управлению производственно-хозяйственной деятельностью предприятия.

Научная новизна диссертационного исследования состоит в разработке теории и методологии, моделей и методических положений организации инфраструктуры защиты информации бизнес-процессов на промышленном предприятии.

Получены следующие основные научные результаты:

1. На основе определения закономерностей влияния информационной инфраструктуры на реализацию бизнес-процессов и выявления тенденций развития информационных активов промышленного предприятия сформированы основные принципы функционирования инфраструктуры защиты информации и определены структурные особенности информационных активов.

2. Уточнено понятие информационных активов промышленного предприятия с учетом инфраструктуры защиты информации.

3. Разработаны теоретические и методологические положения организации инфраструктуры защиты информации на промышленном предприятии в соответствии с требованиями процессного подхода к управлению.

4. Сформулированы принципы организации инфраструктуры защиты информации, поддерживающей бизнес-процессы на промышленном предприятии, являющиеся основой методологии формирования инфраструктуры защиты информации.

5. Предложена концептуальная модель инфраструктуры защиты информации на промышленном предприятии, учитывающая требования и принципы ее организации.

6. Разработана система показателей информационной безопасности, позволяющая оценивать степень информационной защищенности бизнес-процессов как по отдельным свойствам инфраструктуры защиты информации, так и в целом.

7. Разработана система математических моделей оценки инфраструктуры защиты информации, включающая в себя модели:

• оценки защищенности от несанкционированного доступа к информации бизнес-процесса, от перехвата при передаче (приеме), а также хищения носителей информации, от случайных помех и сбоев аппаратно-программных средств, от несанкционированного вмешательства в бизнес-процесс;

• формирования комплексного показателя защищенности;

• оптимизации показателей защищенности;

• выбора наиболее целесообразного варианта инфраструктуры защиты информации.

8. Разработана имитационная модель функционирования инфраструктуры защиты информации как инструментальный метод оценки и прогнозирования уровня защищенности информации на промышленном предприятии.

9. Предложена система мониторинга безопасности информационных активов промышленного предприятия, направленная на оценку и анализ текущих значений разработанной системы показателей информационной безопасности, а также выработку необходимых корректирующих воздействий на инфраструктуру защиты информации.

Диссертационная работа является результатом обобщения и логического продолжения исследований, выполненных автором, начиная с 1997 года.

Практическая значимость заключается в том, что предложенные в диссертации результаты исследований могут быть использованы при разработке инфраструктуры защиты информации, обеспечивающей повышение экономической эффективности работы промышленного предприятия. С помощью выполненных разработок процесс формирования инфраструктуры защиты информации приобретает научно обоснованный характер. Разработанная система моделей и механизмов их реализации в условиях промышленного предприятия позволяет сформировать рациональную инфраструктуру защиты информации в соответствии с предложенными экономическими и функциональными критериями и ограничениями.

Достоверность научных результатов и обоснованность научных положений, выводов и рекомендаций обеспечивается полнотой анализа теоретических и практических разработок, положительной оценкой на научных конференциях и семинарах, практической проверкой и внедрением результатов исследования на ряде промышленных предприятий, а также положительными отзывами на отчеты о НИР, в которые включены основные результаты исследований.

Апробация работы. Основные положения диссертационного исследования, полученные на всех стадиях его проведения, докладывались и обсуждались на конференциях различного уровня:

Международная научно-практическая конференция «Экономика и менеджмент: проблемы и перспективы» (г. Санкт- Петербург, 2005 г.) [169];

III международная научно-практическая конференция «Экономика и промышленная политика России» (г. Санкт- Петербург, 2004 г.) [64];

IV международная научно-практическая конференция «Актуальные проблемы экономики и новые технологии преподавания (Смирновские чтения» (Санкт- Петербург, 2005г.) [65];

ITIB 2005 Information Technology in Business 2nd Conference (Saint-Petersburg, 2005) [74];

Международная методической и научно-практической конференции «Экономические и управленческие технологии XXI века: теория и практика, подготовка специалистов», 9-11 ноября 2005 г. (Санкт- Петербург, 2005г.) [166];

Всероссийская научно-практическая конференция «Обучение и воспитание: путь к самостоятельному мышлению специалиста» (Санкт- Петербург, 2005г.) [170];

Ежегодная региональная научно-практическая конференция студентов и аспирантов «Молодежь, образование, и наука в XXI веке». СПб.: СПбГТУРП, 2004. (Санкт- Петербург, 2004г.) [103];

Межвузовская научно-практическая конференция «Инновации и инвестиции в экономике России» ноябрь, 2005 г. (Санкт- Петербург, 2005г.) [165];

Региональная научно-практическая конференция «Проблемы экономического образования студентов технических вузов» (Санкт- Петербург, 2004г.) [66].

Важнейшие положения диссертации использовались при выполнении научно-исследовательской работы «Теоретические и методологические подходы к определению ценности информационных ресурсов при решении проблемы информационной безопасности в компьютерных системах» (Отчет по гранту № ГО 2-4.1-15).

Результаты исследований реализованы в СПбГИЭУ и используются в учебном процессе при проведении занятий по дисциплинам: «Защита информации», «Информационная безопасность», «Информационная безопасность и защита информации», «Информационные технологии в управлении качеством и защита информации».

Публикации. По теме диссертации опубликованы монография, учебник, практикум, 4 учебных пособия, 30 статей в изданиях центральной и ведомственной печати, подготовлено 10 тезисов выступлений на конференциях и семинарах, проводимых в г. Санкт- Петербурге общим объемом авторских 49 п.л.

Структура и объем работы. Диссертация состоит из введения, шести глав, заключения и двух приложений, изложенных на 352 листах машинописного текста, содержит 73 рисунка и 39 таблиц. Объем приложений 46 листов. Список литературы включает 226 наименований.

Выводы по разделу III L

1. Эффективная защита информации промышленного предприятия требует реализации комплекса организационно-технических мероприятий, для решения которых необходимо определить инфраструктуру защиты информации, т.е. осуществить синтез данной системы, основываясь на общей инфраструктуре бизнес-процессов. С точки зрения свойств самой системы защиты информации бизнес-процессов, характера возможных угроз, основными задачами данной системы следует считать: защиту от НСД, защиту от перехвата информации при передаче, защиту от случайных помех и сбоев, защиту от несанкционированного вмешательства в бизнес-процесс.

2. Анализ существующей методической базы оценки инфраструктуры защиты информации показал, что она носит, в основном, нечеткий, субъективный характер; практически полностью отсутствуют количественные показатели, учитывающие возможные случайные или преднамеренные воздействия. В результате достаточно сложно, а зачастую и невозможно оценить качество функционирования всей бизнес- системы промышленного предприятия при наличии несанкционированных воздействий на ее подсистемы, а, соответственно, оценить и оптимизировать инфраструктуру защиты информации.

3. Предложенная оценка уровня защиты информации основывается на разработанной системе показателей информационной безопасности. В качестве частных показателей выбраны: вероятность НСД к информации, вероятность перехвата информации, вероятность уничтожения информации при сбоях, вероятность несанкционированного вмешательства в бизнес-процесс. Целям определения уровня информационной защищенности в

L. , наибольшей степени отвечают методы, основанные на получении обобщенной оценки, путем агрегирования единичных показателей в комплексный с помощью коэффициентов весомости. Имея комплексную оценку, представляется возможным оценить создаваемую систему в целом, а также сравнивать альтернативные варианты ее построения, как по совокупности частных показателей, так и по комплексному показателю.

4. Анализ количественных и качественных методик управления информационными рисками позволяет сделать вывод о целесообразности использования количественной модели рисков, как наиболее приемлемой для получения комплексной оценки информационной защищенности бизнес-процессов.

5. Задача оптимизации показателей информационной защищенности может быть сформулирована в двух постановках: а) уровень защищенности должен быть не меньше требуемого при минимизации ресурсов; Ь) обеспечение максимального уровня защищенности при ресурсах, не превышающих допустимые. Целям создания надежной инфраструктуры защиты информации соответствует первая постановка, т.к. именно она обеспечивает требуемый уровень информационной защищенности бизнес-процессов. При этом предполагается, что выделяемые ресурсы будут, по возможности, минимизированы. Однако практика показывает, что формирование инфраструктуры защиты информации проходит, как правило, в условиях выделения фиксированных финансовых ресурсов, что в общем случае может и не обеспечить требуемый уровень защищенности. Поэтому задача оптимизации может быть сформулирована на основе синтеза постановок а) и Ь). В этом случае имеет место поэтапное решение задачи.

6. Результаты синтеза инфраструктуры защиты информации промышленного предприятия позволяют сделать вывод о том, что в условиях рассматриваемого предприятия наибольшую угрозу составляет возможность перехвата информации при ее передаче (приеме). Однако в других условиях значимость угроз может меняться. При этом сама значимость той или иной угрозы не является постоянной величиной, а зависит от возможной реализации, методов и средств защиты.

7. Основной задачей системы мониторинга инфраструктуры защиты информации бизнес-процессов является контроль правильности реализации политики безопасности, а также оценка состояния информационной безопасности бизнес-процессов. К основным базовым принципам мониторинга, которые должны быть реализованы в автоматизированной системе мониторинга, относятся: наблюдение за факторами воздействия и состоянием информационной инфраструктуры защиты, оценка фактического состояния, обобщение и ранжирование угроз, обеспечение своевременного реагирования.

Заключение

В настоящее время все чаще возникает потребность в использовании современных информационных технологий для развития бизнеса, а также необходимость защиты всех информационных активов.

В диссертации систематизированы существующие в этом направлении разработки, выявлены основные направления исследований, позволяющие определиться с терминологией, обоснованы место и роль информационной инфраструктуры в поддержке и защите бизнеса, а также исследованы экономико-организационные аспекты информационной безопасности бизнес-процессов на промышленном предприятии.

В диссертационном исследовании обоснована концепция и методология построения инфраструктуры защиты информации бизнес-процессов, а также выработаны практические рекомендации по ее построению.

В работе получены следующие новые научные результаты:

1. Разработаны теоретические и методологические основы организации инфраструктуры защиты информации, направленные на научное обоснование, создание, внедрение и сопровождение системы защиты на промышленном предприятии с учетом тенденций развития современных информационных технологий.

2. Обоснован состав требований к инфраструктуре защиты информации на промышленном предприятии с учетом процессно-ориентированной организации его хозяйственной деятельности.

3. Сформулированы принципы организации инфраструктуры защиты информации, ориентированной на поддержку бизнес-процессов с учетом структуры информационных активов промышленного предприятия.

4. Предложена концептуальная модель формирования инфраструктуры защиты информации, раскрывающая ее функции, свойства и механизмы организации.

5. Разработана система показателей информационной безопасности бизнес-процессов, обеспечивающая оценку инфраструктуры защиты информации, как по отдельным свойствам, так и в целом.

6. Разработана система математических моделей оценки и оптимизации инфраструктуры защиты информации, включающая в себя:

6.1. модель оценки защищенности от несанкционированного доступа к информации бизнес-процесса;

6.2. модель оценки защищенности информации от перехвата при передаче (приеме), а также хищения носителей информации;

6.3. модель оценки защищенности информации от случайных помех и сбоев аппаратно-программных средств;

6.4. модель оценки защищенности информации от несанкционированного вмешательства в бизнес-процесс;

6.5. модель формирования комплексного показателя защищенности;

6.6. модель оптимизации показателей защищенности;

6.7. модель выбора наиболее целесообразного варианта инфраструктуры защиты информации.

7. Разработана имитационная модель функционирования инфраструктуры защиты информации, обеспечивающая комплексную оценку, поддержку процесса синтеза и прогнозирования уровня защищенности информации на промышленном предприятии.

8. Предложена система мониторинга безопасности информационных активов, направленная на оценку и анализ текущего состояния параметров информационной безопасности, а также выработку необходимых корректирующих воздействий на инфраструктуру защиты информации Научная значимость диссертационного исследования состоит в том, что предложен единый научный подход к организации инфраструктуры защиты информации бизнес-процессов на промышленном предприятии.

Таким образом, научная проблема, сформулированная в диссертации и заключающаяся в разработке теории и методологии формирования надежной системы защиты информации на промышленном предприятии как целостной системы концептуальных положений, принципов, методов, моделей и алгоритмов обоснования и поддержки инфраструктуры защиты информации, решена, и цели исследования достигнуты.

Направления дальнейших исследований видятся в разработке системы автоматизированного проектирования систем защиты информации.

1. Конституция Российской Федерации с комментариями Конституционного суда РФ.-М.: Инфра-М, 2003.-200 с.

2. Уголовный Кодекс Российской Федерации. М.: Юрайтиздат, 2004. -188 с.

3. Доктрина информационной безопасности Российской Федерации. Руководящий документ. № Пр-1895, 2000.-М.: Ось-89,2004.- 48 с.

4. Федеральный закон "Об информации, информатизации и защите информации", №24-ФЗ, 1995.

5. Федеральный закон "Об участии в международном информационном обмене", № 85-ФЗ, 1996.0 сертификации средств защиты информации. Постановление правительства РФ № 608 от 26.06.95.

6. ГОСТ Р 51624-00 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования".

7. ГОСТР 50922-96 Защита информации. Основные термины и определения.

8. ГОСТ 51583-00 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие требования".

9. ГОСТ Р ИСО 7498-2-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Архитектура защиты информации".

10. ИСО/МЭК 15408-99 «Критерии оценки безопасности информационных технологий».

11. Приказ Минфина РФ от 16 октября 2000 г. N 91 "Об утверждении Положения по бухгалтерскому учету "Учет нематериальных активов" ПБУ 14/ 2000.

12. Амурский О.Р. Корпоративная информационно-аналитическая система банка на базе технологии интеграции данных, оперативной аналитической обработки, моделирования и выявления закономерностей: Электронный ресурс.: www.kit.ru, 11.11.2004.

13. Балукова В.А. Методология корпоративного подхода к реструктуризации промышленных предприятий в условиях российской экономики СПб.: СПбГИЭУ, 2002.-204 с.

14. Барейша И. Юридическая фирма "Линия права": Электронный ресурс.: http://www.rusipoteka.ru/publications/lp-2.htm#top, 03.02.2005.

15. Баутов А. Н. Эффективность защиты информации. // Открытые системы. Июль-август 2003. С. 56-60.

16. Баутов А.Н. Экономический взгляд на проблемы информационной безопасности // Открытые системы.- 2002, №2. С. 28-33.

17. Баутов А.Н., Козлов В.И. Страховая стоимость информационных ресурсов. Анализ нормативной базы. //Страховое дело.- 2001, №7. С. 14-19.

18. ЪА.Бобровников П. Оценка стоимости информации: Электронный ресурс.: http://www.ironya.com/ycostinform.html, 14.12.2004.

19. Бронников М. К вопросу о цене информации: Электронный ресурс.: http://www.ptpu.ru/issues/l99/13l99.htm, 18.01.2005,25.12.2004.

20. Брукинг Т.Э. Интеллектуальный капитал. СПб.: Питер, 2001. 288 с.

21. Брэгман Л.М., Фокин И.Н. Метод решения сумм матричных игр //Исследование операций и статистическое моделирование. Вып.2.,Л.: Изд-во ЛГУ, 1974.- С. 37-55.

22. Бугорский В.Н., Емельянов А.А., Порховник Ю.М., Соколов Р.В., Фомин В.И., Чиркова М.Ю. Прикладная информатика в экономике. Учебное пособие. СПб.: СПбГИЭУ, 2005. 412 с.

23. Бугорский В.Н., Соколов Р.В. Экономика и проектирование информационных систем. СПб.: «Роза мира», 1998. 340 с.

24. Валдайцев С.В. Оценка бизнеса: Учебник М.:ТК ВЕЛБИ, Изд-во Проспект, 2003.-352 с.

25. АХ.Вендров A.M. Проектирование программного обеспечения экономических информационных систем.- М.: Финансы и статистика, 2002. 352 с.

26. А2.Вихорев С., Ефимов А. Практические рекомендации по информационной безопасности// Jet Info.- 1996, № 10-11. С. 15-18.

27. АЪ.Вихорев С., Кобцев Р. Как определить источники угроз//Открытые системы. -2002, №7-8,- С. 6-11.

28. Волокитин А.В., Маношкин А.П., Солдатенков А.В. и др. Информационная безопасность государственных организаций и коммерческих фирм. Справочное пособие.- М.: НТЦ «ФИОРД ИНФО», 2002. - 272 с.

29. Гайкович В., Ершов Д. Основы безопасности информационных технологий.-М.: МИФИ, 1995.-94 с.

30. Гайкович В.Ю., Ершов Д.В. Организационные меры обеспечения защиты информации// Системы безопасности, связи и телекоммуникаций", N2, 1997. -С. 35-42.

31. Галатенко В. Информационная безопасность — основы.// Системы управления базами данных.- 1996, № 1.-С. 14-18.

32. Гасс С. Линейное программирование (методы и приложения).- М.: Физмат-гиз, 1961.- 303 с.

33. Герасименко В.А., Малюк А.А. Кортеж концептуальных решений по защите информации // Безопасность информационных технологий.- 1997. Выпуск 3. С. 90-98.

34. Герасименко В.А., Малюк А.А. Основы защиты информации. -М.: МГИФ. 1997.-537 с.51 .Гиляревский Р.С. Основы информатики. Курс лекций. М.: Экзамен, 2003.320 с.

35. Гойло В. Интеллектуальный капитал.// Мировая экономика и международные отношения 1998, №11. С. 68-77.

36. Горбунов А., Чуменко В. Выбор рациональной структуры средств защиты информации в АСУ: Электронный ресурс.: http://kiev-se-curity.org.ua/ box/2/26.shtml, 29.11.2004.5А.Громыко О. Осторожно: системы ERP// Открытые системы.- 2001. Июль-август.-С. 44-49.

37. Ездаков А., Макарова О. Как защитить информацию.//Сети 1997, №8 -С. 25-28.

38. Емельянов А.А., Власова Е.А., Дума Р.В. Имитационное моделирование экономических процессов: Учеб. пособие под ред. Емельянова А.А. М.: Финансы и статистика, 2004. - 368 с.

39. Есипов В.Е., Маховикова Г.А., Терехова В.В. Оценка бизнеса.- СПб.: Питер, 2003.-416 с.

40. Зегжда Д.П., Ивашко A.M. Как построить защищенную информационную систему.- СПб.: Мир и семья-95, 1997. 312 с.

41. Зегжда Д.П., Ивашко A.M. Основы безопасности информационных систем. -М.: Горячая линия-Телеком, 2000. 452 с.

42. Ю.Ивлев B.A., Попова Т.В. Процессная организация деятельности: методы и средства. (Консалтинговая компания «ВИП Анатех»): Электронный ресурс.: http://www.optim.rU/comp/2001/3/anatech/anatech.asp, 12.01.2005.

43. Х.Игнатович Н. Брокер интеграции приложений.//Открытые системы.- 2003.-Сентябрь. С. 8-14.

44. И.Игнатович Н. IBM MQSeries: архитектура системы очередей сообщений. //Открытые системы.- 1999, № 9-10. С. 32-40.

45. Ильина М., Колыванов С. ERP-решение для среднего бизнеса //Открытые системы. 2000, №1-2. - С. 41-46.

46. Каляное Г.Н. Теория и практика реорганизации бизнес- процессов. М.: СИНТЕГ, 2000. - 212 с.1%.Кантер Дж. Управленческие информационные системы: Пер. с англ./Под ред. А.Федулова и И. Горшкова. М.: Радио и связь, 1982. - 430 с.

47. Катрин Де Роза (Catherine De Rosa), Планирование ресурсов, синхронизированное с покупателем (CSRP): Новый Промышленный Стандарт. White Paper, Sytnix: Электронный ресурс.: http://www.osp.ru.os/2000/01-02/041.htm, 24.11.2004.

48. Кобзарь М., Сидак А. Методология оценки безопасности информационных технологий по общим критериям: Электронный ресурс.: http://www.jetinfo.rU/2004/6/l/articlel. 6.2004.html, 17.07.2005.

49. Кобзарь М., Калайда И. Общие критерии оценки безопасности информационных технологий и перспективы их использования// Jet Info.- 1998, №1. -С. 23-27.

50. Кобзев В.В., Ключарева Н.С. Экономика предприятия: Учеб. пособие/ Под общей ред. проф. В.В. Кобзева. СПб.: Изд-во СПбГПУ, 2003. 158 с.

51. Кобзев В.В., Ключарева Н.С. Экономическая оценка инвестиций: Учеб. пособие/ Под общей ред. проф. В.В. Кобзева. СПб.: Изд-во СПбГПУ, 2003.105 с.

52. Козловский В.А., Кобзев В.В., Макаров В.М., Кузин Б.И., Смирнов А.В., Казанцев А.К. Производственный и операционный менеджмент: Учебник. -М.: ИНФРА-М, 2003.-573с.

53. Ю.Козырев А.Н., Макаров B.JI. Оценка стоимости нематериальных активов и интеллектуальной собственности. -М.:РИЦ ГШ ВС РФ, 2003. 368 с.

54. Колесников С. И. Стратегии бизнеса: управление ресурсами и запасами, М.: «Статус-Кво, 2000. 240 с.

55. Колесников С. Из истории автоматизации методологий управления предприятия //Открытые системы. 1999, №4. С.44-50.

56. Комаров С. Н., Кочергина И. И. Программы для ЭВМ и базы данных как нематериальные активы. Управленческие, правовые, учетные аспекты: Электронный ресурс.: http://www.audit.ru/articles, 24.10.2004.

57. Компьютерная преступность и борьба с нею: Электронный ресурс. http://www.cyberpol.ru, 25.12.2005.

58. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия.- СПб.: БХВ-Петербург, 2003. 752с.9Ъ.Коржов В. Полный спектр eTrust //Открытые системы.- 2003. Июль-август. -С. 47-50.

59. Королев В.Н. Методологические вопросы оценки влияния информационных рисков на деятельность организации: Электронный ресурс.: http://www.contel.iacis.ru/rus/actions/doc/tab4tezkorolev.doc, 13.02.2005.

60. Коттс Д. Управление инфраструктурой организации. М.:ИНФРА, 2001. -526 с.

61. Кошелев А. Защита сетей и firewall//KoMnbioTepnpecc. -2000. -№7. -С. 44-48.

62. Кукор Б. Л. Информация и процесс принятия решения руководителем: Учеб. пособие. Л.: ЛФЭИ, 1984. - 81 с.

63. Кукор Б. Л., Богословский О. Н. Формирование структур управления в условиях интенсификации производства: Текст лекций.- Л.: ЛФЭИ, 1987. 47 с.

64. Кукор Б.Л. Исследование систем управления: экономико-психологический аспект,- СПб.: СПбГУЭФ, 1999.- 145 с.

65. Кун Т. Структура научных революций. М.: ACT, 2003. 605 с.

66. Курило А. О парадигме информационной безопасности// Директор ИС. -2003, № 10.-С. 19-24.

67. Курило А., Голованов В. Национальные стандарты информационной безопасности для кредитно-финансовой сферы: Электронный ресурс.: http://www.bdm.ru/arhiv/2004/06/61-63.htm, 18.03.2005.

68. Лебедев В.Г., Дроздова Т.Г., Кустарев В.П., Краюхин Г.А. Управление затратами на предприятии.- СПб.: Бизнес-пресса, 2004. 255 с.

69. Лебедев С. Использование принципов МСФО в управленческом учете: Электронный ресурс.: http://www.itland.ru/lib/index.php?id=9, 17.03.2005.

70. Леоненков А.В. Нечеткое моделирование в среде MATLAB и fuzzy TECH. -СПб.: БХВ-Петербург, 2003. 736 с.

71. Ли Че. Управление активами //LAN. 1998, №10. - С. 12-16.

72. Липаев В., Филинов Е. Формирование и применение профилей открытых информационных систем. //Открытые системы. 1997, № 5. - С. 18-25.

73. Липаев В.В. Качество программных средств. Методические рекомендации." М.: Янус-К. - 400 с.

74. Липаев В.В. Стандарты на страже безопасности информационных систем// PC WEEC/RE. -2000. -№30. С. 34-40.

75. ЛодонДж., Лодон К. Управление информационными системами. 7-е изд. /Пер. с англ. под ред. Д.Р. Трутнева. СПб.: Питер, 2005. - 912 с.

76. Маккартни Линда. IT-безопасность: стоит ли рисковать корпорацией? М.: Кудиз-образ, 2004.- 208 с.

77. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. пособие для вузов.- М: Горячая линия Телеком, 2004.- 280 с.

78. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информации в автоматизированных системах: Учебное пособие для вузов. 2-е издание М.: Горячая линия -Телеком, 2004. -147 с.

79. Мамаев М., Петренко С. Технологии защиты информации в Интернете. -СПб.: Питер, 2002.-848 с.

80. Масалович А.И. Этот нечеткий, нечеткий, нечеткий мир /PC Week/RE. -1995. N.16. С.22-27.

81. Медведовскж И. Риски, сопряженные с недостаточной безопасностью систем: Электронный ресурс.: http://www.dsec.ru, 18.03.2005.

82. Медведовский И.Д., Семъянов П.В., Леонов Д.Г. Атака на Internet. М.:ДМК, 1999. 336 с.

83. Медынский В.Г., Илъдеменов С.В. Реинжиниринг инновационного предпринимательства: Учеб. пособие / Под ред. проф. В.А. Ирикова . М.:ЮНИТИ, 1999.-414 с.

84. Найгелъ Пендс. Истоки сегодняшних продуктов OLAP: Электронный ресурс.: http://www.olap.ru/basic/originsOLAP.asp, 22.02.2005.

85. Насакин Р. От слова "страх".: Электронный ресурс.: http://new.cio-world.ru /focus/33676/), 21.04.2005.

86. Обеспечение информационной безопасности в экономической и телекоммуникационной сферах. Коллективная монография./ Под ред. Е.М. Сухарева. Кн.2. -М: Радиотехника, 2003.- 216 с.

87. Общесистемные вопросы защиты информации. Коллективная монография / Под ред. Е.М. Сухарева. Кн.1. -М.: Радиотехника, 2003. -296 с.

88. Ойхман Е.Г., Попов Э.В. Реинжиниринг бизнеса: реинжиниринг организационной и информационной технологии.- М.: Финансы и статистика, 1997.-336 с.

89. Организация и методы оценки предприятия (бизнеса): Учебник /Под ред.

90. B.И. Кошкина-М.: ИКФ «ЭКСМОС», 2002,- 944 с.

91. Орлов С. Фундамент информационной инфраструктуры/ZLAN. 2003, №1. - С. 14-17.

92. Орлова Е.В. Налоговый и бухгалтерский учет компьютеров, программного обеспечения, интернета. //Российский налоговый курьер. 2002, N 7.1. C. 25-29.

93. Орловский С.А. Проблемы принятия решений при нечеткой исходной информации. М.: Наука, 1981. -208 с.

94. Оценка бизнеса. Учебник. /Под ред. А.Г. Грязновой, М.А.Федотовой. -М.: Финансы и статистика, 2003. -512 с.

95. Петренко С. А. Методика построения корпоративной системы защиты информации: Электронный ресурс.: http://www.myportal.ru/sec/doc24.html, 22.12.2004.

96. Петренко С. Методические вопросы защиты информационных активов компании: Электронный ресурс.: http://citforum.edunet.kz/security/articles /zahitaaktivov/, 20.12.2004

97. Петренко С., Симонов С., Кислое Р. Информационная безопасность: экономические аспекты: Электронный ресурс.: www.jetinfo.ru, 14.11.2004.

98. Петренко С., Симонов С. Методики и технологии управления информационными рисками //«IT Manager» 2003, №3. - С. 34-45.

99. Петренко СА., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность М.:Компания АйТи; ДМК Пресс, 2004.- 384 с.

100. Петренко С А. Аудит безопасности корпоративных информационных систем//Конфидент. Защита информации. -2002, №2. -С. 30-37.

101. Плинк О.В. Построение распределенной информационной системы на основе службы каталогов: Электронный ресурс.: http://www.iteco.ru/ doclad4.html, 25.03.2005.

102. Практическое руководство по использованию политик безопасности, стандартов и процедур: Электронный ресурс.: http://www.symantec.com/ region/ru/resources/ ADefmitiveIntroduction.html, 12.11.2004.

103. Проведена внешняя экспертиза защищенности Faktura.ru: Электронный pecypc.:http://www.business2business.ru/index.phtml?part=news& news id =2479, 14.01.2005.

104. Пугачев B.C. Теория вероятностей и математическая статистика. М.: Физматлит, 2002. 496 с.

105. Расторгуев С.П. Об обеспечении защиты АИС от недокументированных возможностей программного обеспечения // Конфидент. Защита информации. 2001, №2. - С. 26-29.

106. Ровенский Ю. Первое IPO в России: брэнд, репутация, транспарентность: Электронный ресурс.: http://www.advi.ru/pages.php3?id=5, 29.10.2004.

107. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях.- М.: Радио и связь, 1999.- 328 с.

108. Румянцев О. Г., Додонов В.Н. Юридический энциклопедический словарь, М., "ИНФРА-М", 1997. 230 с.

109. Рыжиков Ю.И. Имитационное моделирование. Теория и технологии. -СПб.: КОРОНА принт; М.: Альтекс-А, 2004. 384 с.

110. Сабынин В. Специалисты, давайте говорить на одном языке и понимать друг друга. //Информост — Средства связи, № 6.- С.47-52.

111. Садчиков И.А., Сомов В.Е., Колесов М.Л., Балукова В.А. Экономика химической отрасли: Учеб.пособие для вузов / Под ред. проф. И.А. Садчикова. СПб.:Химиздат, 2000.- 384 с.

112. Сальников В.П. Концептуальные основы обеспечения информационной безопасности российского государства.: Электронный ресурс. http://domarev.kiev.ua/obuch/tez/s001.htm, 14.12.2004.

113. Сидоров И.И. Логистическая концепция управления промышленным предприятием. СПб.: С.-Петерб. ин-т внешнеэкон. связей, экономики и права, 2001.- 167 с.

114. Симионова Н.Е., Симионов Р.Ю. Оценка стоимости предприятия (бизнеса). М.:ИКЦ «МарТ», Р. н/Д:Издательский дом «МарТ», 2004. 464 с.

115. Симонов С. В. Методология анализа рисков в информационных систе-мах//Конфидент. 2001, №1.- С. 48-53.

116. Симонов С.В. Технологии аудита информационной безопасности// Конфидент. Защита информации.- 2002, № 2. С. 36-41.

117. Система управления информационной инфраструктурой предприятия: Электронный ресурс.: http://www.ecoprog.ru/suii.shtml, 16.04.2005.

118. Система управления информационной инфраструктурой: Электронный ресурс.: http ://www.mcom.ua/products/Soflwareintegration/Standartsoflware solutions /sysmanage/index.shtml, 16.10.2005.

119. Слинъкое Д. Что там, за ЕКР-горизонтом?//Директор ИС.- 2001, №7. -С. 32-40.

120. Смирнова Г.Н., Сорокин А.А., Тельное Ю.Ф. Проектирование экономических информационных систем/ Под ред. Тельнова Ю.Ф. -М.: Финансы и статистика, 2002. 512 с.

121. Снитко Н. Учет компьютерных программ и баз данных.// Досье бухгалтера. Выпуск газеты №39 (656) 2003. - 30 мая.

122. Советский энциклопедический словарь / Гл. ред. М. А. Прохоров. 3-е изд. М.: Сов. Энциклопедия, 1985. 1600 с.

123. Современные подходы к управлению информационной инфраструктурой: Электронный ресурс.: www.computel.ru, 17.11.2004.

124. Соколов В.Н. Методы оценки предприятия.- СПб.: СПбГИЭА, 1998. 144 с.

125. Старкова И.О., Костецкий А.Н. Проблемы количественной оценки объема интеллектуальных активов фирмы: Электронный ресурс.: http://intel-assets.hl .ru/articles/article 11 .htm, 28.05.2005.

126. Стелъмашонок E.B. Информационная инфраструктура поддержки и защиты корпоративных бизнес-процессов: экономико-организационные проблемы. Монография.- СПб.:СПбГИЭУ, 2005.- 148 с.

127. Стелъмашонок Е.В. Использование информационных технологий для поддержки и защиты бизнес-процессов в промышленных корпорациях. //Проблемы современной экономики, № 1/2 (13/14) 2005. -С. 180 183.

128. Стельмашонок Е.В. Концепция обеспечения информационной безопасности корпоративных бизнес-процессов// Научно-технические ведомости СПбПТУ №4, 2005.- 125-131.

129. Стелъмашонок Е.В. Концепция обеспечения информационной безопасности промышленной корпорации на основе процессного подхода // Проблемы современной экономики, № 3/4 (15) 2005.- С. 76-83.

130. Стелъмашонок Е.В. Методика выбора варианта системы защиты информации корпоративных бизнес-процессов //Межвузовская научно-практическая конференция «Инновации и инвестиции в экономике России». СПб: СПбГПТУ 2005. 491-495 с.

131. Стелъмашонок Е.В. Синтез системы защиты информации промышленного предприятия//«Вестник ИНЖЭКОНа». № 4, СПбГИЭУ, 2005 С. 52-57.

132. Стелъмашонок Е.В., Фокин КН. О методах решения игровых задач, связанных с распределением ресурсов нескольких типов. //Сб. «III Всесоюзная конференция по теории игр (10-12 сентября 1974 года). Тезисы докладов.-Одесса: ОГУ, 1974.- С. 252-253.

133. Стелъмашонок Е.В., Фокин КН. Об одном методе решения игровых задач распределения ресурсов нескольких типов. //Сб. Статистические методы и совершенствование показателей. Труды, вып. 116. Л.:ЛИЭИ, 1975.-С.111-116.

134. Стивенсон В.Дж. Управление производством, М.: «БИНОМ», 1999. 928 с.

135. Страхование информационных рисков в кредитно-финансовой сфере деятельности: Электронный ресурс.: http://www.vniipvti.ru/stat/stl7.htm, 27.06.2004.

136. Стрелкова Е. Интеграция данных предприятия/Юткрытые системы. -, 2003. Апрель.-С. 58-61.

137. Стрельцов А. А. Правовое обеспечение информационной безопасности России: теоретические и методологические основы. Мн., Беллитфонд, 2005. -304 с.

138. Сэйер П. Lloyd страхует от хакеров.// Computerworld Россия. 2000. -№30.-С. 44-49.

139. Тельное Ю.Ф. Интеллектуальные информационные системы в экономике. -М.:СИНТЕГ, 1999.-214 с.

140. Тельное Ю.Ф. Реинжиниринг бизнес-процессов. Компонентная технология,- М.: Финансы и статистика, 2004.- 320 с.

141. Тельное Ю.Ф. Реинжиниринг бизнес-процессов.- М.: МЭСИ, 1999.- 106 с.

142. Уилсон Марсия. Демонстрация окупаемости испытаний на проникновение, часть вторая: Электронный ресурс.: http://securitylab.ru/41569.html, 25.12.2004.

143. Федеев Д.К., Федеева В.Н. Вычислительные методы линейной алгебры. М.: Физметгиз, 1960. 656 с.

144. Федорков А.И. Методология и организационные формы управления предприятием в условиях перехода к рыночным отношениям. СПб.: СПбГИЭА,1998.- 232 с.

145. Федъко В.П., Федъко Н.Г. Инфраструктура товарного рынка. Ростов н/Д: Феникс, 2000.- 512 с.

146. Фон Крог Г., Кёне М. Трансфер знаний на предприятии: основные фазы и воздействующие факторы. //Проблемы теории и практики управления.1999.-№4,.-С. 54-60.

147. Хаммер М., ЧампиДж. Реинжиниринг корпорации: манифест революции в бизнесе. СПб.: СПбГУ, 1997. 332 с.

148. Хмелев Л. Оценка эффективности мер безопасности, закладываемых при проектировании электронно-информационных систем. Труды научно-технической конференции «Безопасность информационных технологий», Пенза: ПНИЭТИ, 2001. С. 88.

149. Царегородцев А.В., Петручук С.О. Анализ функций защиты для проектирования платформ безопасности.: Электронный ресурс.: http://nit.miem. edu.ru/2003/tezisy/articles/129.htm, 30.11.2004.

150. Чакон М. Как создать единый каталог// Журнал сетевых решений LAN.-2001. Май.-С. 32-37.

151. Черняк Л. Серверы корпоративных приложений- ОС для корпоративных информационных систем?// Открытые системы.- 2001. Январь. С.48-53.

152. Чистов Л.М. Теория эффективного управления социально-экономическими системами СПб.: Астерион, 2005. - 575 с.

153. Чулков A. LDAP в середине пути.// Журнал сетевых решений LAN. -2001. Май. С. 38-43.

154. Шостак С.В. Информация, ее виды и проблемы получения: Электронный ресурс.: http://www.ostu.ru/conf/ soc2002/papers/shostak.htm, 29.01.2005.

155. Шпак В.Ф. Методологические основы обеспечения информационной безопасности объекта//Конфидент. Защита информации. 2000.-№1. -С. 75-78.

156. Эдвинссо Л., Мэлоун М. Интеллектуальный капитал: определение истинной стоимости компании. // Новая постиндустриальная волна на Западе. /Под ред. В. Иноземцева. М.: Academia, 1999. 640 с.

157. Якоеец Ю. В. Закономерности научно-технического прогресса и их планомерное использование. М.: Экономика, 1984. 240 с.

158. Common Criteria for Information Technology Security Evaluation. Version 1.0, 96.01.31.

159. Federal Criteria for Information Technology Security (FC), Draft Version 1.0, (Volumes I and II), jointly published by National Institute of Standards and Technology and the National Security Agency, US Government, 1993.

160. ISO/IEC 15408-3. Information technology - Security techniques - Evaluation Criteria for IT security - Part 3: Security assurance requirements, 1999

161. Standards for Information Control Professionals. -ISACA Standards, 2000.

162. A solution with comfort and all the option, Manufacturing management, June 1996.

163. An Introduction to Computer Security: The NIST Handbook. Draft ~ National Institute of Standards and Technology, Technology Administration, U.S. Department of Commerce, 1994.

164. B. Schneier. Applied Cryptography: Protocols, Algorithms, and Sourse Code in C: Second Edition. John Wiley&Sons, New York, 1996.

165. B. Schneier. Secrets and Lies: Digital Security in a Networked World. John Wiley&Sons, New York, 2000.

166. Common Criteria for Information Technology Security Evaluation (CCEB), Version 1.0.96.01.31.

167. Customer Synchronized Resource Planning: Become indispensable, Catherine de Rosa, APICS.

168. Cyber Security Research and Development Agenda. Institute for Information Infrastructure Protection January 2003.

169. FIPS PUB 199 Standards for Security Categorization of Federal Information and Information Systems INITIAL PUBLIC DRAFT VERSION 1.0 Computer Security Division Information Technology Laboratory National Institute of Standards and Technology.

170. Information technology Code of practice for information security management/ International Standard ISO/IEC 17799:2000(E).

171. Information Technology Security Evaluation Criteria (ITSEC). Harmonized Criteria of France- Germany- the Niderlands the United KingDom. Departa-ment of Trade and Industry, London, 1991.

172. Information Technology Security Evaluation Criteria(ITSEC). Harmonised Criteria of France — Germany — the Netherlands — the United Kingdom ~ Department of Trade and Industry, London, 1991.

173. ISO/IEC 15408-1. Information technology - Security techniques - Evaluation Criteria for IT security - Part 1: Introduction and general model, 1999.

174. ISO/IEC 15408-2. Information technology - Security techniques - Evaluation Criteria for IT security - Part 2: Security functional requirements, 1999

175. Kaufman, Arnold, and Gupta, Madan M. Introduction to Fuzzy Arithmetic/Thomson Computer Press, 1991.

176. Knowledge Management in the Learning Society. Paris. OECD. 2000.

177. Nonuka and H. Takeuchi. The Knowledge Creating Company. N.-Y. 1995.

178. P.L. Bernstein. Against the Gods: Remarkable Story of Risk. New York: John Wiley&Sons Inc., 1996.

179. R. Witty . The Role of the Chief Information Security Officer. Research Note, Gartner Research, Strategic Planning, SPA-13-2933 ~ Gartner Research, Strategic Analysis Report, K-l 1-6534, April 2001.

180. Sherif Mostafa Hashem. Protocols for Secure Electronic Commerce. CRC Press, 2000.

181. Srewart T.A. The Intellectual Capital. The New Wealth ofN.-Y.-L., 1997.

182. Standards for Information Systems Auditing. -ISACA Standards, 2000.

183. Takagi Т., Sugeno M. Fuzzy identification of systems its applications to modeling and control. IEEE Transactions on Systems, Man, and Cybernetics, vol. 15, no. 1, 1985 pp. 116-132.

184. The OLAP Report: Applications. WebSphere MQ Integrator. Programming Guide.

185. Threats to Computer Systems: an Overview ~ Computer Systems Laboratory Bulletin, March 1994.

186. W.E Howden.-Functional program testing and analysis ~ N.Y.: McGraw Hill, 1987.