Управление промышленным предприятием на основе формирования эффективной системы информационной безопасности тема диссертации и автореферата по ВАК РФ 08.00.05, кандидат экономических наук Тарасов, Алексей Васильевич

Актуальность темы исследования. К числу макротенденций, определяющих развитие современного мирового хозяйства, относятся глобализация и развитие информационной экономики. Однако, в настоящее время, стремительно уходит эйфория, возникшая в результате феноменально интенсивного и фронтального развития информационных технологий. Вместе с этим приходит осознание того, что возникают и стремительно растут риски, связанные с их использованием, появляются совершенно новые угрозы потери информации, приводящие к конкретному, материально выразимому, ущербу. В этой связи возникает прагматичная и, в то же время, исключительно интеллектуальная проблема обеспечения информационной безопасности.

Анализ тенденций и перспектив развития промышленности России показывает, что большинство руководителей предприятий уже принимают меры по защите важной для них информации. Однако эти действия не всегда носят системный характер, поскольку направлены на ликвидацию только отдельных угроз, оставляющих за собой множество уязвимых мест.

Таким образом, научные исследования, направленные на повышение эффективности управления промышленным предприятием на основе формирования системы информационной безопасности, способной обеспечить согласованность и эффективность действий между организационными, технологическими, техническими, правовыми и экономическими факторами при создании требуемого уровня информационной безопасности, являются актуальными

Состояние изученности проблемы. Проблемам обеспечения информационной безопасности предприятий в России посвящены работы таких отечественных учёных, как: В. Адрианов, А. Баутов, А. Голов, М. Давлетханов, Д. Дьяконов, В. Исаев, А. Курило, А. Макарова, Е. Мешайкина, Р. Насакин, А. Павлов, П. Покровский, В.М. Савельев, С. Симонов, Е.

Смирнов, Н. Столяров, Е. Терехова, И. Филиппова, Р. Хайретдинов и других авторов.

Среди исследователей, рассматривающих проблему информационной безопасности с точки зрения высшего руководства предприятий, наибольший вклад внесли: Дж. Албаниз, С. Беринато, В. Галатенко, Дж. Джейсинг, Г. Лавджой, А. Лукацкий, Дж. Миллер, А. Мицци, М. Мишель, Д. Моррилл, Дж. Риз, В. Сонненрих, Б. Шнайер и некоторые другие.

Вместе с тем, подавляющее большинство работ носит сугубо технический характер и ориентировано, главным образом, на ИТ-персонал. Более того, несмотря на постоянно растущее количество исследований в области информационной безопасности, крайне редко затрагивается вопрос комплексного обеспечения информационной безопасности промышленных предприятий на основе учёта организационных, технологических, технических, правовых и экономических факторов.

Объект исследования - промышленные предприятия, осуществляющие свою деятельность в различных отраслях промышленности.

Предмет исследования - принципы, способы и механизмы управления промышленным предприятием на основе формирования комплексной системы информационной безопасности.

Цель исследования заключается в разработке научных положений и методического обеспечения по совершенствованию управлению промышленным предприятием на основе формирования эффективной системы информационной безопасности.

Для достижения поставленной цели потребовалось решение следующих задач диссертационного исследования:

- исследовать комплекс проблем управления промышленным предприятием с позиций всевозрастающей роли информационной безопасности в условиях глобальной информатизации и интеграции общественных отношений;

- разработать концептуальный подход, согласно которому, при обеспечении требуемого уровня информационной безопасности, необходимо учитывать системное взаимодействие организационных, технологических, технических, правовых и экономических факторов; разработать теоретико-методические подходы по формированию эффективной системы информационной безопасности промышленного предприятия с учётом актуальности внутренних угроз;

- предложить методику оценки эффективности инвестиций в создание и функционирование системы информационной безопасности на промышленном предприятии;

- уточнить содержание понятия страхования информационных рисков как альтернативного способа обеспечения требуемого уровня информационной безопасности на промышленном предприятии.

Теоретическая и методологическая основа исследования. Основой исследования явилась общенаучная методология, предусматривающая системный и процессный подходы к решению рассматриваемых проблем, экономические, социологические и прочие измерения, а также использование методов экономико-математического моделирования.

Теоретической базой исследования послужили научные труды зарубежных и отечественных учёных в области исследования проблемы обеспечения информационной безопасности, нормативные правовые акты Российской Федерации, а также материалы международных научно-практических конференций.

Информационной основой диссертации явились статистические данные Федеральной службы государственной статистики, российские социологические исследования, материалы исполнительных органов власти, статистические данные Института компьютерной безопасности и Федерального бюро расследований США, отчётность корпораций. Кроме того, использована электронная информация с серверов сети «Интернет».

Научная новизна диссертационного исследования заключается в разработке и обосновании теоретико-методических рекомендаций по совершенствованию управления промышленным предприятием на основе формирования системы информационной безопасности, позволяющей, с позиций комплексного подхода, обеспечить согласованность и эффективность действий между организационными, технологическими, техническими, правовыми и экономическими решениями при создании требуемого уровня информационной безопасности.

Научная новизна диссертационного исследования подтверждается следующими научными результатами, выносимыми на защиту:

- исследован комплекс проблем управления промышленным предприятием с позиций всевозрастающей роли информационной безопасности и, на этой основе, разработан концептуальный подход, согласно которому, при обеспечении требуемого уровня информационной безопасности, необходимо учитывать системное взаимодействие организационных, технологических, технических, правовых и экономических решений (п. 15.2 Паспорта специальности 08.00.05);

- установлено, что в современных условиях ведения бизнеса необходимо проводить детальный анализ профиля угроз информационной безопасности предприятия, позволяющий предельно чётко установить перечень существующих и перспективных не только внешних, но и обязательно внутренних угроз, которые представляют всё большую опасность и исходят от сотрудников, имеющих доступ к конфиденциальной информации в силу своих служебных обязанностей (п. 15.13 Паспорта специальности 08.00.05);

- предложена методика формирования и реализации политики информационной безопасности на промышленном предприятии, которая построена на регламентации деятельности практически всех сфер, обеспечивающих требуемый уровень информационной безопасности, что позволяет эффективно противодействовать не только внешним, но и внутренним угрозам (п. 15.1 Паспорта специальности 08.00.05);

- усовершенствована методика оценки эффективности инвестиций в создание и функционирование системы информационной безопасности на промышленном предприятии, отличающаяся от известных подходов тем, что позволяет не только выполнить оценку затрат на обеспечение требуемого уровня информационной безопасности, но и обосновать их эффективность (п. 15.13 Паспорта специальности 08.00.05);

- уточнено содержание понятия страхования информационных рисков как альтернативного способа обеспечения требуемого уровня информационной безопасности на промышленном предприятии и выявлены случаи, когда наиболее целесообразно использовать такой вид страхования (п. 15.13 Паспорта специальности 08.00.05).

Практическая значимость диссертационного исследования состоит в возможности использования методических положений и рекомендаций в качестве конкретного экономического инструментария, направленного на совершенствование методов управления промышленным предприятием на основе формирования эффективной системы информационной безопасности.

Полученные результаты диссертационного исследования могут быть использованы в учебном процессе при чтении таких дисциплин как: «Корпоративный менеджмент», «Информационные технологии управления», а также в системе подготовке и переподготовки руководителей и специалистов промышленных предприятий.

Апробация и внедрение результатов диссертационного исследования. Основные положения и результаты диссертационного исследования обсуждались и получили положительную оценку на международных и всероссийских научно-практических конференциях и семинарах, в том числе: «Национальная идея и национальная безопасность современной России» (Орёл, 2002 г.), «Методы прикладной математики и компьютерной обработки данных в технике, экономике и экологии» (Орёл,

2004 г.), «Компьютерные технологии при моделировании, в управлении и экономике» (Харьков, Украина, 2005 г.), «Современный менеджмент как ключ к подъёму экономики региона» (Орёл, 2006 г.), «Управление общественными и экономическими системами» (Орёл, 2006 г.), «Современные аспекты экономики» (Санкт-Петербург, 2006 г).

Публикации. Основные результаты диссертационного исследования опубликованы в 10 научных работах общим объёмом 3,2 п.л., из них авторских - 2,7 п.л.

Структура и объём диссертации. Диссертация состоит из введения, трёх глав, заключения, списка использованных источников, включающего 170 наименований. Основная часть содержит 157 страниц, 17 рисунков, 2 таблицы, 12 приложений.

ЗАКЛЮЧЕНИЕ

1. В настоящее время мировое сообщество, а вместе с ним и Российская Федерация, вступает в качественно новый этап развития - в этап формирования глобального информационного общества. Вместе с тем, в процессе диссертационного исследования установлено, что проблема обеспечения информационной безопасности на промышленных предприятиях не только не решается, но и зачастую усугубляется, поскольку решения направлены на реализацию одной или нескольких специальных задач, но не являются системой взаимодействующих и взаимодополняющих друг друга элементов, которая способна в полной мере обеспечить требуемый уровень информационной безопасности.

2. Доказано, что для создания реально, а не формально работающей системы информационной безопасности на промышленном предприятии, необходимо обеспечить согласованность между правовыми, организационными, технологическими, техническими и экономическими факторами обеспечения требуемого уровня информационной безопасности.

3. Предложена концептуальная схема построения эффективной системы информационной безопасности промышленного предприятия состоящая из четырёх этапов: обследования, проектирования, внедрения и сопровождения и обслуживания. На каждом этапе должны выполняться конкретные действия, в совокупности представляющие собой организационные, технологические, технические, правовые и экономические меры обеспечения информационной безопасности. Тем самым достигается комплексный подход к созданию эффективной системы информационной безопасности.

4. В процессе исследования установлены и систематизированы с указанием сходств и отличительных черт наиболее яркие и широко используемые примеры формального определения требований к спецификации системы менеджмента информационной безопасности и практического их применения.

5. В процессе диссертационного исследования был обозначен перечень функций соответствующей организационной структуры информационной безопасности и рассмотрены основные достоинства и недостатки способов решения организационных вопросов обеспечения информационной безопасности, используемых на различных промышленных предприятиях.

Установлено, что выполнение наибольшего числа функций возможно только, когда подразделение информационной безопасности является самостоятельным и подчиняется непосредственно высшим руководителям предприятия.

6. Обосновано, что в современных условиях ведения бизнеса необходимо проводить детальный анализ профиля угроз информационной безопасности предприятия, позволяющий предельно чётко установить перечень существующих и перспективных не только внешних, но и обязательно внутренних угроз, которые представляют всё большую опасность и исходят от сотрудников, осуществляющих несанкционированный доступ к конфиденциальной информации.

7. На основании смещения акцента обеспечения состояния защищённости информационных активов промышленных предприятий с внешних угроз на внутренние, а, следовательно, смещения с технических и технологических мер обеспечения информационной безопасности к организационным и правовым, была предложена методика формирования и реализации политики информационной безопасности на промышленном предприятии как основной способ противодействия внутренним угрозам.

8. В дополнение политики информационной безопасности и во исполнение законодательства РФ в области защиты информации, составляющей предпринимательскую ценность для её обладателей, были предложены: приказ об обеспечении коммерческой и служебной тайны промышленного предприятия; перечень сведений, составляющих коммерческую тайну предприятия, перечень сведений, составляющих служебную тайну предприятия; соглашение о неразглашении информации, составляющей коммерческую или служебную тайны предприятия и его контрагентов; положение о порядке обращения с информацией, составляющей коммерческую или служебную тайну предприятия.

9. В процессе исследования проведена систематизация всех известных методов оценки затрат на информационную безопасность и методов обоснования инвестиций в информационную безопасность, приводятся их характерные особенности.

10. На основании указанной систематизации усовершенствована методика оценки эффективности инвестирования формирования и функционирования системы информационной безопасности на промышленном предприятии, отличающаяся от известных подходов тем, что она объединяет в себе методику оценки затрат на информационную безопасность и методику обоснования инвестиций в одно целое. Кроме того, вводятся дополнительные переменные, что позволяет получить комплексную оценку конкретной системы информационной безопасности.

11. В ходе научного исследования даны методические рекомендации по страхованию информационных рисков как альтернативный способ управления информационной безопасностью промышленных предприятий.

Таким образом, научная новизна диссертационного исследования заключается в том, что разработаны теоретико-методические рекомендации по совершенствованию управления промышленным предприятием на основе формирования системы информационной безопасности, позволяющей, с позиций комплексного подхода, обеспечить согласованность и эффективность действий между организационными, технологическими, техническими, правовыми и экономическими решениями при создании требуемого уровня информационной безопасности.

1. Конституция Российской Федерации. Новосибирск: Сиб. унив. изд-во, 2002.-48 с.

2. Гражданский кодекс Российской Федерации. М.: Юристъ, 2003.556 с.

3. Уголовный кодекс РФ от 13 июня 1996 г. № 63-ФЗ // Собрание законодательства РФ. 1996 . - № 25.

4. Закон РФ от 27 декабря 1991 г. № 2124-1 «О средствах массовой информации» // Ведомости Съезда Народных Депутатов РФ и Верховного Совета РФ. -1992.- №7.

5. Закон РФ от 5 марта 1992 г. № 2446-1 «О безопасности» // Российская газета,-1992.-№ 103.

6. Закон РФ от 23 сентября 1992 г. № 3523-1 «О правовой охране программ для электронных вычислительных машин и баз данных» // Ведомости Съезда Народных Депутатов РФ и Верховного Совета РФ. -1992. № 42.

7. Закон РФ от 9 июля 1993 г. № 5351-1 «Об авторском праве и смежных правах» // Ведомости Съезда Народных Депутатов РФ и Верховного Совета РФ. -1993.-№32.

8. Закон РФ от 21 июля 1993 г. № 5485-1 «О Государственной тайне» // Российская газета. 1993 . -№ 182.

9. Федеральный закон от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» // Собрание законодательства РФ.1995.-№8.

10. Федеральный закон от 3 апреля 1995 г. № 40-ФЗ «О федеральной службе безопасности» // Собрание законодательства РФ. 1995. - № 15.

11. Федеральный закон от 18 июля 1995 г. № 108-ФЗ «О рекламе» // Собрание законодательства Российской Федерации. 1995. -№ 30.

12. Федеральный закон от 4 июля 1996 г. № 85-ФЗ «Об участии в международном информационном обмене» // Собрание законодательства РФ.1996.-№28.

13. Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» // Российская газета. 2002 . - № 6.

14. Федеральный закон от 7 июля 2003 г. № 126-ФЗ «О связи» // Российская газета. 2003 . - № 135.

15. Федеральный закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне» // Российская газета. 2004. - № 166.

16. Доктрина информационной безопасности Российской Федерацииутв. Президентом РФ от 9 сентября 2000 г. № Пр-1895) // Российская газета. -2000. -№ 187.

17. Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» // Собрание законодательства Российской Федерации. 1997. - № 10.

18. Указ Президента РФ от 10 января 2000 г. № 24 «О Концепции национальной безопасности Российской Федерации» // Собрание законодательства Российской Федерации. 2000. - № 2.

19. Аганбегян А.Г. Время не столько подводить итоги, сколько работать на будущее // Журналъ для акционеровъ. 2002 (№ 1).

20. Александров И. Без информации нет движения // Финансовая газета. 2006. №4121.

21. Ансофф И. Стратегическое управление М.: Экономика, 1989.520 с.

22. Арзуманов С. В. Оценка эффективности инвестиций в информационную безопасность // Защита информации. Inside. 2005. - №1.

23. Астахов А. Разработка эффективных политик информационной безопасности // Директор ИС. 2004. - № 01.

24. Аудит информационной безопасности основа эффективной защиты предприятия. Режим доступа: http://www.anti-malware.ru/index.phtml?part:=survey&surid=audit.

25. Баутов А. Эффективность защиты информации // Открытые системы. 2003. - № 07-08.

26. Брукинг Э. Интеллектуальный капитал. С.-Пб.:Питер Бук, 2001.198 с.

27. Букович У., Уилльямс Р. Управление знаниями: руководство к действию (Пер. с англ. яз.). -М.: Инфра-М, 2003. 324 с.

28. Вестник Банка России. 2004. - № 68 (792).

29. Вирусы ничто, утечки - всё (05.07.2006 г.). Режим доступа: http ://www.infowatch.ru/threats?chapter= 1471513 96&id=19063 6590.

30. Вихорев С.В., Кобцев Р.Ю. Как узнать откуда напасть или откуда исходит угроза безопасности информации // Конфидент, №2,2001.

31. Вихорев С. Политика обеспечения безопасности // СЮ. 2005. - № 5. Внутренние ИТ-угрозы в России 2004. Режим доступа: http://www.infowatch.ru/threats?chapter-147151396&id=157848009.

32. Внутренние угрозы главная опасность 2006 года по версии IBM (31.01.2006 г.). Режим доступа:http://www.infowatch.ru/threats?chapter=l 14342885&id=l 89999228.

33. Галатенко В. Информационная безопасность // Открытые системы. 1996.-№ 1 (15).-С. 38-43.

34. Галатенко В. Информационная безопасность // Открытые системы. -1996.-№2(16).-С. 53-57.

35. Галатенко В. Информационная безопасность обзор основных положений // Открытые системы. - 1996. - № 3 (17). - С. 42-45.

36. Галатенко В. А. Основы информационной безопасности М: ИНТУИТ.РУ «Интернет-Ун-т Информационных Технологий», 2004 - 280 с.

37. Голов А., Тоболь Б. Как создать управляемую и эффективную систему информационной безопасности // Intelligent Enterprise. 2005. - № 22.

38. Голов А. Построение эффективной системы информационной безопасности // Финансовая газета. 2006 г. № 8.

39. Голов А. Практический подход к построению системы информационной безопасности. Режим доступа:http ://www.topsbi .ru/default. asp?trID= 14&artID=903.

40. Гордейчик С. В. Информационная безопасность предприятия // Дальневосточный экономико-правовой журнал. 2001. № 08 (37).

41. Гостев И. М. Под грифом «коммерческая тайна». Практические советы: что и как делать для защиты коммерческой тайны внутри хозяйствующего субъекта // Защита информации. Inside. 2005. - №1.

42. ГОСТ Р 50779-2000. Статистические методы. Вероятность и основы статистики. Термины и определения.

43. ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения.

44. ГОСТ Р ИСО/МЭК 15408-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.

45. ГОСТ Р ИСО/МЭК 15408-2004 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».

46. Давлетханов М. Защитить информацию? А какую? Режим доступа: http://infobez.ru/article.asp?obno=7325.

47. Давлетханов М. Защита информации в Европе. Режим доступа: http ://infobez.ru/article.asp?obno=l 501.

48. Давлетханов М. Инсайдеры это опасность. Режим доступа: http://www.infobez.ru/catalog.asp?obno=172.

49. Давлетханов М. Инсайдеры атакуют // BYTE. 2006. № 4.

50. Давлетханов М. Юридические меры по защите информации. Режим доступа: http://infobez.ru/article.asp?obno=2110.

51. Директивы ОЭСР «К культуре безопасности». 2002. Режимдоступа: http://oecd.org/pdf7M00034000/M00034292.pdf.

52. Директивы ОЭСР по безопасности ИС и сетей. Режим доступа: http://www.oecd.org/documenty2/0,2340,еп264934255177873941111,00.html.

53. Додонов А. Г., Кузнецова М. Г., Горбачик Е.С. Глобализация информационных систем и безопасность. Режим доступа: http://www.its.org.ua/biblioteka/dodkuzngorb.htm.

54. Домарев В. В. Безопасность инфомационных технологий. Системный подход К.: ООО «Тид «ДС», 2004. - 992 с.

55. Драчёва E.JL, Либман A.M. Проблемы глобализации и интеграции международного бизнеса и их влияние на российскую экономику // Менеджмент в России и за рубежом. 2000. - № 4.

56. Друкер П. Задачи менеджмента в XXI веке: Пер. с англ. М.: «Вильяме», 2000. - 308 с.

57. Дьяконов Д. Страхование информационных рисков как метод защиты информации // Бизнес-разведка. 2003. № 3 (№ 10).

58. Загнетко А. Информация доступная и недоступная. Режим доступа: http://offline.cio-world.ru/2006/49/273907.

59. Инсайдеры ночной кошмар крупного бизнеса (27.09.2006 г.). Режим доступа: http://.infowatch.ru/threats?chapter=147151396&id=199442295.

60. Информационная безопасность предпринимательства. Практические рекомендации. М.: Школа охраны «Баярд», 2005. - 168 с.

61. Информационная безопасность предприятия // Экономический лабиринт. 2001. - № 08 (37).

62. Исаев В. Анализ рисков основа процесса управления информационной безопасностью. Режим доступа: http://www.networkdoc.ru/it-press/read.html?motivate-inform-safety.html.

63. Как бороться с внутренними угрозами. Режим доступа: http://www.cio-world.ru/print/tech/36735/.KacTenbc М. Информациональная экономика и глобализация. Режим доступа:

64. Кастельс М. Информационная эпоха: экономика, общество и культура / Пер. с англ. под научн. ред. О.И. Шкартана. М.: ГУ ВШЭ, 2000. -268 с.

65. Кислов Р., Петренко, С, Симонов С. Информационная безопасность: экономические аспекты // Jetlnfo. 2003. № 10.

66. Копылов В. А. Информационное право: учебник. 2-е изд., перераб. и доп. - М.: Юристъ, 2002. - 512 с.

67. Королёв В., д.т.н., профессор, ак-мик РАЕН Методологические вопросы оценки влияния информационных рисков на деятельность организации

68. Информационно-аналитический электронный журнал. № 14. Режим доступа: http://www.fact.ru/www/arhivl4an-kor.htm.

69. Костюхин Д. Бордачёв А. Методы оценки инвестиций в ИТ: блеск и нищета. Режим доступа: http://www.topsbi.rn/default.asp7trroH 4&artID=49.

70. Крымский Л. Сотрудники компании как основной источник организационных угроз информационной безопасности. Режим доступа: http://www.dsec.rn/about/articles/stuff7.

71. Лазарев О, Лазарев К., Хижа Г. Новая информационная экономика и сетевые механизмы ее развития // Экономические стратегии. № 8. - 2005. -С. 60-65.

72. Лукацкий А. В. Возврат инвестиций в информационную безопасность // PCWeek/RE. 2002. - №42.

73. Лукацкий А. В. Как защититься от информационных рисков // Бизнес-форум IT. 2003. - №10.

74. Макаров А. М. Влияние глобализации на стратегическое управление предприятиями // Проблемы региональной экономики. 2003. - № 3/4.-С. 47-56.

75. Мервинський А. И., Скриник А. П. Система страхования информационных рисков как экономический механизм компенсации ущерба при воздействии информационной безопасности в банковской сфере. Режим доступа: http://www.dstszi.gov.ua/Nov/Stat/Stat8.htm.

76. Мец К. Безопасность и легкомыслие несовместимы // PC Magazine. 2006. - № 4 (178).

77. Мешайкина Е. Процесс глобализации и управление предприятием // Белорусский журнал. 2002. - № 4.

78. Мишель М. Управление информационными рисками // Финансовый директор. 2003. № 9.

79. Насакин Р. Страхование информационных рисков // ИнфоБизнес. 2004. № 6.

80. Некрасова Е. Враг внутри нас // СЮ. 2006. - № 5.

81. Обеспечение информационной безопасности бизнеса / А. П. Курило и др.. М.: БДЦ-пресс, 2005. 512 с.

82. Описание границ системы и построение модели ИС с позиции безопасности. Режим доступа: http://www.cio-world.ru/techniques/effect/23986.

83. Пастоев А. Классифицируем по конфиденциальности // Директор ИС.-2005.-№04.

84. Петренко С. А., Курбатов В. А. Оценка эффективности инвестиций в информационную безопасность // Защита информации. Inside. 2005. - №1.

85. Петренко С. Курбатов В. Разработка политики информационной безопасности предприятия. Режим доступа: http://www.nestor.minsk.by/sr/2005/08/sr50803.html.

86. Петренко С. Оценка затрат компании на информационную безопасность. Режим доступа: http://www.citforum.ru/security/articles/ocenkazatrat/.

87. Петренко С., Симонов С. Экономически оправданная безопасность // IT Manager. 2004. - № 15 (3).

88. Петренко С., Терехова Е. Обоснование инвестиций в безопасность // Директор ИС. 2006. - № 01.

89. Петренко С. А., Терехова Е. М. Оценка затрат на защиту информации // Защита информации. Inside. 2005. - №1.

90. Петренко С. А. Управление информационными рисками. Экономически оправданная безопасность. М: ДМК Пресс, 2005,384 с.

91. Покровский П. Что дороже: ущерб или безопасность // Директор ИС. 2004. - № 10.

92. Политика информационной безопасности. Режим доступа: http://www.cio-world.ru/techniques/effect/23953.

93. Потресов С. Безопасность хранения и обработки данных // Финансовая газета. 2006. № 35 (767).

94. Предприятия России: корпоративное управление и рыночные сделки. М.: ГУ ВШЭ, 2002.

95. Просянников Р. Управление безопасностью: разделение обязанностей // Компьюлог. 2001. - № 3-4.

96. Радыгин А. Корпоративное управление в России: организация и перспективы//Вопросы экономики. 2002 - № 1.

97. Разработка и внедрение политик информационной безопасности. Режим доступа: http://www.globaltrust.ru/Services/Policy.htm.

98. Разработка концепции политики информационной безопасности. Режим доступа: http://www.cio-world.ru/techniques/effect/23984.

99. Разработка политики информационной безопасности организации. Режим доступа: http://www.atlas.krasnodar.ru.

100. Расторгуев С. П. Информационная война. Проблемы и модели. Экзистенциальная математика: учебное пособие для студентов вузов, обучающихся по специальности в области информационной безопасности М.: Гелиос АРВ, 2006. 240 с.

101. Режим доступа: http://www.oecd.org/dataoecd/54/59/17870521 .pdf.

102. Режим доступа: http://www.xisec.com/.

103. Савельев М. С. Безопасности много не бывает? Комплексное управление безопасностью в организации // Connect. Мир связи. 2005. № 1. -С. 58-61.

104. Садердинов А. А., Трайнёв В. А., Федулов А. А. Информационная безопасность предприятия: Учебное пособие. 2-е изд. - М.: Издательско-торговая корпорация «Дашков и Ко», 2004. - 336 с.

105. Сборник руководящих документов по защите информации от несанкционированного доступа / Государственная техническая комиссия при Президенте Российской Федерации.- М., 1998.

106. Седов О. Время аудита информационной безопасности // Директор ИС.-2006.-№06.

107. Сердюк В. Аудит информационной безопасности // BYTE Россия. 2006. № 4.

108. Сёмкин С. Н., Беляков Э. В., Гребенов С. В., Козачок В. И. Основы организационного обеспечения информационной безопасности объектов информатизации: Учебное пособие. -М. Гелиос АРВ, 2005. 192 с.

109. Симония Н. Глобализация и неравномерность мирового развития -Мировая экономика и международные отношения. 2001. - № 3.

110. Симонов С. Анализ рисков, управление рисками // Информационный бюллетень Jet Info № 1(68). 1999. с. 1-28.

111. Словарь русского языка С. И. Ожегова. М.: Русский язык, 1987.

112. Смирнов Е. В., Павлов А. П. Информационно-коммерческая безопасность предприятия // Информационные ресурсы России. 2001. - № 7 (62).

113. Смолкин A.M. Менеджмент: основы организации. М.: ИНФРА-М, 2001.-359 с.

114. Соколова А.А., Филиппова И.А., Информационная безопасность + ТСО = ? // IT manager. 2005. №4 (26).

115. Способы получения и оценки информации. Режим доступа: http://www.fileur.virtualave.net.

116. Стандарт Банка России СТО БР ИББС-1.0-2004 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»// Вестник Банка России. 2004. №68 (792).- С34-65.

117. Стандарт Банка России СТО БР ИББС-1.0-2006.

118. Столяров Н. В. Определение экономической эффективности защиты информации. Режим доступа: http://www.sec4all.net.

119. Стратегии бизнеса: аналитический справочник / Под общейредакцией академика РАЕН, д.э.н. Г.Б. Клейнера М.: «КОНСЭКО», 1998.

120. Стерлии А.Р., Тулин И.В. Стратегическое планирование в промышленных корпорациях США. М.: Наука, 1990. - 263 с.

121. Теренин А. А. Проектирование экономически эффективной системы информационной безопасности // Защита информации. Inside. 2005. -№1.

122. Технический отчёт ISO/lEC TR 13335-2. Информационные технологии. Руководство по управлению защитой ИТ. Часть 2. Управление и планирование защиты ИТ.

123. Управление современной компанией: Под ред. Б. Мильнера и Ф. Линса. М.: ИНФРА-М, 2001. - 360 с.

124. Управление организацией: Под ред. А.Г. Поршнева, З.П. Румянцевой, Н.А. Саломатина. -М.: ИНФРА-М, 1999.-321 с.

125. Филин С. А. Информационная безопасность. М.: Издательство «Альфа-Пресс», 2006. - 412 с.

126. Филиппова И. Выбор по расчёту. Расчёт совокупной стоимости владения проектов по обеспечению информационной безопасности // СЮ. Руководитель информационной службы. 2003. № 11 (20).

127. Формирование корпоративной политики внутренней информационной безопасности // BYTE Россия. 2006 г. № 4 (92).

128. Хайретдинов Р. Внутренние угрозы и борьба с ними // СЮ. 2005. -№7-8.

129. Человеческий фактор засветил личные данные 5 тыс. клиентов Verizon (30.08.2006 г.). Режим доступа:http ://www.infowatch.ru/threats?chapter=1471513 96&id=192713801.

130. Черезов К. Проблема внутри? Решение там же! Режим доступа: http://offfine.cio-world.ru/2006/47/264008/.

131. Чернявский С. Информационная открытость: шаг вперёд, два шага назад // Информационно-аналитический электронный журнал. № 14. Режим доступа: http://www.fact.ru/www/arhivl4tz-ut.htm.

132. Шнайер Брюс. Сектеты и ложь. Безопасность данных в цифоровом мире. СПб.: Питер, 2003.

133. Are you ready for a BS 7799-2 audit? PD 3003:2005.

134. AS/NZS 4360:2004. Risk Management.

135. Bruck Michael. Security Threats From Within. Режим доступа: http://www.entrepreneur.com/.

136. Berinato Scott. A Few Good Metrics // CSO Magazine. 2005. - № 7.

137. Berinato Scott. Calculated Risk // CSO Magazine. 2002. - № 12.

138. Berinato Scott. Finally, a Real Return on Security Spending // CSO Magazine. -2002,- №2.

139. Bingham Jonathan. All Threats Are Internal // IT Business Edge. 2006.-№ 6.

140. CCtoolbox/Goal. Politics. V5.2000.

141. Cybertrust Security Lifecycle Program. Taking a Risk-driven Approach to Information Security. 2005. № 5.

142. DTT: более 50 % ИТ-компаний стали жертвой утечек в 2006 году (03.07.2006 г.). Режим доступа:http://www.infowatch.ru/threats7chaptei-l 47151396&id=l 89999228.

143. European cooperation for Accreditation. EA-7/03. Guidelines for the Accreditation of bodies operating certification/registration of Information security management systems.

144. GAO/AIMD-98-68. Information security management. Learning from leading organizations, May 1998.

145. Gordon L. A. Economic Aspects of Information Security in a Netcentric World. Washington, D. C.: SecurE-Biz CxO Security Summit, 2004.

146. Gordon, L., Loeb, M, Lucyshyn, W. Information security expenditures and real options: A wait-and-see approach // Computer Security Journal. 2004. - № 19(2).

147. Gordon, L., Loeb, M. Return on information security investments: Myths vs. realities // Journal of Strategic Finance. 2002. - № 84.

148. Gordon, L., Richardson, R. The new economics of information security // Information Week 982. 2004. - № 982.

149. Guide to BS 7799 risk assessment. PD 3002:2005.

150. Guide to the implementation and auditing of BS 7799 controls. PD 3004:2005.

151. Guide on the selection of BS 7799-2 controls. PD 3005:2005.

152. Kitteringham, G., McQuate, C. Many happy returns // Security Management. 2003. - № 47 (9).

153. Insider Threat Study: Illicit Cyber Activity in the Banking and Finance Sector / Carnegie Mellon Software Engineering Institute. August 2004.

154. Insiders Pose The Biggest Threat to Data Security // CSO FOCUS. -2005. -№ 1. vol. 2.

155. ISO/IEC IS 15408:1999. Information technology- Security techniques-Evaluation criteria for IT security.

156. ISO/IEC IS 17799:2005. Информационные технологии. Свод правилуправления информационной безопасностью.

157. ISO/EEC IS 27001:2005 Information technology. Security techniques. Information security management systems. Requirements.

158. ISO/IEC TR 13335-1:1996. Information technology Guidelines for the management of IT security (GMITS) - Part 1: Concepts and models for IT security.

159. Kelly Lucas. Economic Evaluation of a Company's Information Security Expenditures // Morgan Stanley. 2005. - DTEC 6823.

160. Lovejoy Kristin Gallina. The Enemy Inside // CSO-online. 2006.4.

161. Miller Jason. The Panacea of Information Security. Режим доступа: http://www.securityfocus.com/print/columnists/260.

162. Morrill Dan. Disgruntled employees and Intellectual Property Protection. 2006. - № 4.

163. Morrill Dan. Hiring for Culture as well as technical skill in Information Technology.-2005.-№ 1.

164. Palmer, W. What's security worth? // Security Management. 2004. - №48 (3).

165. Pisello, T. Is there a business case for IT security? Security Management. -2004.-№48 (10).

166. Preparing for BS 7799 certification. PD 3001:2005.

167. Purser, S. Improving the ROI of the security management process. Journal of Computers & Security. 2004. - № 23 (7).

168. Schechter S. 'Quantitatively Differentiating System Security'. Berkeley: Workshop on Economics and Information Security, 1 edn, University of California. 2002.

169. Somerson, I. Information: What it costs when it's lost. Security Management. 1994. -№ 38 (10).

170. Sonnenreich Wes. Return On Security Investment (ROSI): A Practical Quantitative Model.

171. Stuart Edward Schechter. Computer Security Strength & Risk: A Quantitative Approach // Harvard University/Cambridge, Massachusetts. 2004. -№5.