Управление рисками обработки информации на основе экспертных оценок тема диссертации и автореферата по ВАК РФ 05.13.01, кандидат наук Выборнова, Ольга Николаевна

ВВЕДЕНИЕ

Актуальность исследования. Любая деятельность кроме вещественных и энергетических потоков обязательно включает в себя информационную составляющую. При этом в обеспечении надежного функционирования процессов обработки информации и достижении требуемого уровня информационной безопасности особую роль играет управление рисками нарушения свойств информации (конфиденциальности, доступности, целостности и т.д.) в процессе ее обработки (управление информационными рисками). О важности решения данной задачи свидетельствует, в частности, принятие ряда международных стандартов в данной области (серии ISO 27000, ISO 31000 и др.).

Проблема управления информационными рисками является комплексной задачей, включающей в себя целый ряд различных направлений: выработку согласованного мнения об уровне приемлемого риска; оценку актуального состояния рисков в пространстве координат «ущерб от угроз - вероятность реализации угроз»; поиск приемлемых для лица, принимающего решения (ЛПР), мер по снижению уровня риска до целевых значений; реализация найденных решений. При этом большая часть параметров, используемых в процессе выработки управленческих решений, не имеет четких (числовых) значений, формулируется экспертами в вербальной форме и носит субъективный характер. Кроме того, имеют место неоднозначность самого понятия «риск», а также многообразие проявлений риска и возможностей преодоления его неблагоприятных последствий. Таким образом, оценка и управление рисками, возникающими в процессе обработки информации, представляет собой сложный, слабо структурированный и плохо формализуемый вид деятельности.

Степень разработанности темы. Проблеме риск-менеджмента, в том числе в сфере информационной безопасности (ИБ), посвящено большое число работ иностранных и российских ученых, например, A. B. Shahri, Z. Ismail, K. Charitoudi, A. Blyth, O. Zwikael, M. Ahn, И. В. Аникина, Г. А. Остапенко, Н. А. Абрамовой, Н. Б. Копытчука, Р. О. Шапорина, Д. С. Нефедьева; имеется ряд

стандартов в данной области. Однако вопросы формального описания процесса управления рисками остаются на сегодня недостаточно проработанными в связи с тем, что данный процесс обладает рядом специфических особенностей. Это, в свою очередь, снижает эффективность управления информационными рисками.

Исходя из этого, были выбраны объект и предмет исследования, а также сформулированы цель и задачи диссертации.

Объект исследования - риски, возникающие в процессе обработки информации.

Предмет исследования - модели, методы и алгоритмы оценки и управления рисками, возникающими в процессе обработки информации.

Цель диссертационного исследования - повышение эффективности управления информационными рисками, в том числе рисками информационной безопасности, путем разработки моделей, методик и алгоритмов, учитывающих наличие субъективной неопределенности и направленных на повышение надежности обработки информации.

Для достижения поставленной цели необходимо решить следующие задачи:

1. Проанализировать специфические особенности процесса оценки и управления информационными рисками. Построить онтологическую модель предметной области.

2. Разработать алгоритм определения приемлемого для деятельности организации риска на основе экспертной информации.

3. Построить нечеткую когнитивную модель, позволяющую оценить уровень текущих (актуальных) рисков обработки информации, в том числе рисков информационной безопасности, на основе экспертных оценок.

4. Разработать методику выработки управленческих решений по снижению текущих рисков информационной безопасности до приемлемых для ЛПР значений при ограниченных и неограниченных ресурсах, выделяемых для решения данной задачи.

5. Спроектировать и реализовать программное обеспечение, соответствующее разработанным моделям, методикам и алгоритмам.

Апробировать и внедрить результаты в практику работы организаций различного профиля.

Научная новизна диссертационного исследования:

1. Для более полного отражения мнения лица, принимающего решения, о величине приемлемого риска введено понятие кривой приемлемого риска и разработан алгоритм ее построения, позволяющие одновременно учесть как числовые, так и вербальные оценки экспертов и снизить уровень субъективной неопределенности (пп. 13 и 4 паспорта спец. 05.13.01).

2. Сформулирована нечеткая когнитивная модель оценки текущих рисков обработки информации, отличающаяся тем, что она отражает взаимосвязь негативных событий, порождаемых ими угроз и применяемых защитных мер с основными бизнес-процессами организации. Использование данной модели позволяет оценить текущие информационные риски в виде множества точек на координатной плоскости «ущерб-вероятность» (п. 6 паспорта спец. 05.13.01, п. 7 паспорта спец. 05.13.19).

3. Предложена методика выработки управленческих решений по снижению рисков информационной безопасности в случаях неограниченных и ограниченных выделенных для этого ресурсов, отличающаяся тем, что решение задач в обоих случаях учитывает нечеткость, возникающую при комплексной оценке материальных, финансовых, временных и иных затрат, необходимых для повышения защищенности информации. Методика позволяет в условиях субъективной неопределенности выбрать оптимальную тактику управления рисками с целью повышения уровня информационной безопасности (п. 15 паспорта спец. 05.13.19).

Теоретическая значимость работы:

1) созданы модели и алгоритмы оценки приемлемого и текущего рисков обработки информации на основе экспертных данных;

2) разработана методика, позволяющая синтезировать управленческие решения, обеспечивающие достижение целевых значений рисков, возникающих

при обработке информации, и направленные на повышение уровня информационной безопасности.

Практическая значимость работы заключается в повышении эффективности управления информационными рисками, в том числе рисками информационной безопасности, путем принятия управленческих решений на основе предложенных моделей, алгоритмов и методик.

Созданы и зарегистрированы в «Реестре программ для ЭВМ» программные продукты: «Оценка и управление рисками на основе метрических характеристик уровней текущего и приемлемого рисков»; «Оценка уровня рисков на основе экспертной информации», реализующие предложенные методики и алгоритмы. Также разработана программа «Обработка и согласование экспертной информации», реализующая метод Дельфи для согласования мнений экспертов.

Результаты диссертации использованы в ФГБОУ ВО «Астраханский государственный технический университет» (АГТУ) и ФГБОУ ВО «Астраханский государственный университет» (АГУ) при разработке учебно-методического обеспечения; внедрены в практическую деятельность в ГБУЗ Астраханской области «Центр медицинской профилактики» (ГБУЗ АО «ЦМП»), ПАО «МРСК Юга» - «Астраханьэнерго» и Управление информационных систем и технологий (УИСиТ) АГТУ.

Диссертационное исследование выполнено в рамках НИР «Системный подход и моделирование процессов обеспечения информационной безопасности» (№ гос. рег. 01201168202), «Разработка систем поддержки принятия решений в процессах управления информационной безопасностью» (№ гос. рег. АААА-А16-116100710013-7).

Методы исследования. Для решения поставленных задач были использованы аппараты нечеткой логики и теории нечетких множеств, системного анализа, теории принятия решений, математической статистики.

Положения, выносимые на защиту:

1) онтологическая модель процесса оценки и управления информационными рисками;

2) алгоритм построения кривой приемлемого риска на основе экспертной информации;

3) нечеткая когнитивная модель оценки текущих рисков обработки информации, в том числе рисков информационной безопасности;

4) методика принятия управленческих решений по снижению рисков информационной безопасности до приемлемого уровня при неограниченных и ограниченных ресурсах.

Степень достоверности научных положений и выводов определяется корректным применением методов исследований, подтверждается вычислительными экспериментами, проверкой адекватности моделей, их согласованностью с имеющимися научными результатами, успешным внедрением результатов работы в различных организациях, что отражено в соответствующих актах.

Апробация научных результатов. Основные положения и отдельные результаты диссертации докладывались и обсуждались на следующих международных и всероссийских конференциях: 28-й и 29-й Международных научных конференциях «Математические методы в технике и технологиях» (Ярославль, 2015 г.; Санкт-Петербург, 2016 г.); XVI Международной научной конференции «Современные проблемы проектирования, применения и безопасности информационных систем» (Кисловодск, 2015 г.); XXIII Международной научно-практической конференции «Научное обозрение физико-математических и технических наук в XXI веке» (Москва, 2015 г.); 4-й и 5-й Всероссийских научно-практических конференциях «Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства» (Волгоград, 2015-2016 гг.); V Всероссийской конференции «Проблемы информационной безопасности» (Ростов-на-Дону, 2016 г.), а также на конференциях профессорско-преподавательского состава Астраханского государственного технического университета.

Публикации. Основные результаты диссертационного исследования опубликованы в 17 печатных работах, из них: 1 статья в издании, входящем в

международную реферативную базу данных и систему цитирования Scopus; 8 статей в научных журналах, рекомендованных ВАК при Минобрнауки РФ для публикации основных результатов диссертационных исследований, 8 - в материалах и трудах конференций. Получены 2 свидетельства о государственной регистрации программ для ЭВМ. По материалам работы изданы учебное и учебно-методическое пособия по анализу информационных рисков с грифами редакционно-издательского совета Астраханского государственного технического университета и редакционно-издательского совета Астраханского государственного университета.

Личный вклад автора. В работах, выполненных в соавторстве, автор принимал участие в формулировке проблемы и постановке задачи, в разработке плана исследований, теоретических положений; сборе данных; анализе и интерпретации полученных результатов; подготовке и публикации научных работ.

Структура диссертации. Работа состоит из введения, 4 глав, заключения, списка литературы из 122 наименований и 6 приложений. Основная часть работы изложена на 136 страницах машинописного текста, содержит 8 таблиц и 60 рисунков.

Во введении обоснована актуальность работы, сформулированы цель и задачи исследования, научная новизна и практическая ценность работы.

Первая глава посвящена анализу термина «риск» в различных сферах деятельности, а также выявлению его взаимосвязей с другими понятиями, используемыми в риск-менеджменте. Построена онтологическая модель процесса управления информационными рисками, которая позволяет целенаправленно изучать взаимосвязь основных концептов риск-менеджмента и может быть адаптирована к различным областям оценки рисков. В главе проанализированы основные подходы к оценке и управлению рисками, возникающими в процессе обработки информации. Показано место и особенности оценки рисков в обеспечении ИБ и надежности обработки информации. На основе проведенного анализа сделан вывод о необходимости создания методик оценки рисков,

возникающих в процессе обработки информации, и управления их уровнем, учитывающих наличие субъективной неопределенности экспертных оценок.

Во второй главе приведено описание предложенного алгоритма оценки приемлемого риска, нечеткой когнитивной модели оценки текущих рисков обработки информации, а также методики выработки управленческих решений по снижению текущего уровня рисков информационной безопасности до приемлемых значений. Для определения уровня приемлемого риска предложено ввести в рассмотрение функциональную зависимость вероятности возникновения ущерба от его величины, которая отражается кривой приемлемого риска. Построена нечеткая когнитивная модель оценки текущих (актуальных) рисков обработки информации, в том числе рисков ИБ, на основе экспертных данных. Предложена методика выработки управленческих решений по снижению текущего уровня рисков информационной безопасности до приемлемых значений, включающая в себя: порядок формирования экспертной группы и согласования мнений экспертов; рекомендации по оценке «стоимости» затрат на снижение рисков; алгоритм поиска управленческих решений при неограниченных (задача 1) и ограниченных (задача 2) ресурсах.

Третья глава посвящена описанию спроектированного и реализованного программного обеспечения (ПО), соответствующего разработанным алгоритмам, моделям и методикам. Программный комплекс поддержки принятия решений по управлению информационными рисками на основе экспертных оценок включает в себя следующие основные модули: «Обработка и согласование экспертной информации» (модуль 1), «Оценка уровня рисков на основе экспертной информации» (модуль 2), «Оценка и управление рисками на основе метрических характеристик уровней текущего и приемлемого рисков» (модуль 3).

В четвертой главе изложены результаты внедрения теоретических исследований в практическую деятельность по оценке и управлению информационными рисками в ГБУЗ АО «Центр медицинской профилактики» и ПАО «МРСК Юга» - «Астраханьэнерго». Дано описание типовой методики оценки информационных рисков «Рубикон», представляющей собой синтез

предложенных в работе алгоритмов и моделей. Приведены результаты сравнения значений информационных рисков в УИСиТ АГТУ, полученных с использованием разработанной методики, с данными, полученными по методике УБШвк. Высокая степень согласованности значений подтвердила достоверность и обоснованность предложенных в диссертационной работе подходов.

В заключении сформулированы основные выводы по результатам исследования.

В приложениях приведены свидетельства о государственной регистрации программ для ЭВМ, результаты выполнения отдельных этапов оценки текущих информационных рисков в организациях различного профиля, типовая методика оценки информационных рисков «Рубикон» и акты о внедрении результатов научной работы.

ГЛАВА 1. ОСНОВНЫЕ ОСОБЕННОСТИ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ

1.1 Риск-менеджмент как инструмент управления надежностью процесса обработки информации

Любая деятельность в той или иной мере подвержена рискам. Такие события, в основном, связаны со сложным, не всегда предсказуемым характером внешнего окружения, а также ролью человеческого фактора [26].

При этом любая деятельность кроме вещественных и энергетических потоков обязательно включает в себя информационную составляющую. Информация является ценным активом для любой организации. Это основа для решения оперативных задач и принятия стратегических решений. Чем сложнее организован процесс обработки информации, тем выше риск возникновения различных угроз, связанных с нарушением свойств информации: конфиденциальности, целостности, доступности и т.д. Это делает информационные риски неотъемлемой частью функционирования организации [62; 120].

Менеджмент рисков помогает в принятии решений в условиях возникновения каких-то, плановых или непредвиденных, событий или обстоятельств, воздействующих на достижение целей организации (например, нехватка ресурсов, недостаточная компетентность, временные рамки и т.д.) [101; 115].

Управление рисками включает в себя анализ (оценку) рисков, выработку и реализацию управленческих решений. Анализ рисков предполагает выявление уязвимостей и угроз, оценку возможного воздействия, что позволяет выбирать адекватные защитные меры для тех систем и процессов, в которых они необходимы. Он помогает компании ранжировать список рисков, определить и обосновать разумную стоимость защитных мер и сделать безопасность

функционирования информационных систем экономически эффективной, актуальной, своевременной и способной реагировать на угрозы [121-122].

Методы оценки рисков могут применяться как для всей организации, так и для какой-либо ее части, отдельных информационных систем, определенных компонентов систем или услуг [96].

Важно периодически проводить анализ информационных рисков и контроль эффективности внедренных мероприятий по управлению информационной безопасностью и надежностью процесса обработки информации для того, чтобы учесть:

- изменения требований и приоритетов деятельности;

- появление новых угроз и уязвимостей;

- снижение эффективности существующих мероприятий по управлению информационной безопасностью и надежностью процесса обработки информации.

Уровень детализации такого анализа следует определять в зависимости от результатов предыдущих проверок и изменяющегося уровня приемлемого риска. Оценка рисков обычно проводится сначала на верхнем уровне, при этом ресурсы направляются в области наибольшего риска, а затем на более детальном уровне, что позволяет рассмотреть специфические риски.

Обязательным условием успешного риск-менеджмента в области информационных технологий является его непрерывность. Оценку рисков необходимо интегрировать в систему управления организацией, а также в жизненный цикл информационных систем организации [34]. В таком случае эффект оказывается наибольшим, а затраты - минимальными [95].

Таким образом, систему риск-менеджмента можно характеризовать как инструмент постоянного совершенствования действующей системы менеджмента предприятия, направленный на повышение качества выполняемых работ и результативности системы менеджмента в целом [51].

1.2 Понятие «риск» и его концептуальный анализ 1.2.1 Генезис и семантика понятия «риск»

Концептуальный анализ различных аспектов понятия «риск» требует выявления генезиса данной проблемы.

Несмотря на длительную историю, общего понятия для обозначения термина «риск» до XVII века не существовало. Лишь в конце XIX - начале XX века различные аспекты данного феномена начали активно изучаться [60].

Становление понятия «риск» в значительной степени связано с процессом познания будущего. С древних времен люди сталкивались неуверенностью в будущем, однако слово «риск» стало востребованным только тогда, когда люди начали осознавать собственную ответственность за последствия принимаемых решений [67]. Бурный рост интереса к азартным играм, требующим оценок шансов, в средние века предопределил повышенное внимание к изучению проблемы риска, что, в свою очередь, привело к возникновению основ теории вероятностей.

В русском языке понятие впервые появляется в конце XVIII века: в комедии Фонвизина «Бригадир» (1769) встречаются фразы «риску нет», «на что же вы рискуете?».

Согласно этимологическому словарю русского языка Макса Фасмера, слово «риск» заимствовано из французского risque или из итальянского risico, которые восходят к греческому piÇiKÔv - «утес», piÇa - «подножие горы». Отсюда слово «рисковать» определяется через французское risquer, итальянское risicare и первоначально означало - «лавировать между скал» [83].

Постепенно понятие «риск» появляется в различных сферах деятельности человека: в политологии, экономике, медицине и т.д. В современных толковых словарях даются следующие определения слова «риск» [83]:

1. Возможная опасность.

2. Действие наудачу в надежде на счастливый исход.

3. Возможный убыток или неудача в каком-либо деле.

4. Уровень неопределенности в предсказании результата.

5. Опасность, от которой производится страхование имущества.

Рассмотрим определения термина «риск», продиктованные различными

сферами применения этого понятия.

В экономике существуют следующие определения риска:

- Риск - потенциальная, численно измеримая возможность потери. Фактически в этом случае делается попытка оценить неопределенность, связанную с возможностью возникновения неблагоприятных ситуаций и последствий в ходе реализации проекта [67].

- Риск - степень неопределенности потенциальной возможности получения доходов [67].

- Риск - угроза потери предприятием части своих ресурсов (финансовых, политических, социальных), недополучения доходов или появления дополнительных расходов в результате осуществления определенной производственной и финансовой деятельности [83].

- Риск - это опасность возникновения непредвиденных потерь ожидаемой прибыли, денежных средств, дохода или имущества, других ресурсов в связи со случайным изменением условий экономической деятельности, неблагоприятными обстоятельствами [42].

В психологии термин «риск» связан с тремя направлениями исследований [83]:

- Риск - действие, грозящее субъекту определёнными потерями (физическим, материальным, моральным ущербом). Экспериментально различают мотивированный риск, рассчитанный на получение выгоды, и немотивированный («бескорыстный») риск, не имеющий рационального основания. Кроме того, выделяют неоправданный и оправданный риск.

- Риск - мера ожидаемого неблагополучия при неуспехе в деятельности, которая определяется, как сочетание вероятности неуспеха и степени неблагоприятных последствий.

Риск - ситуация выбора между стратегиями, имеющими различную привлекательность и надежность.

В инженерно-технической сфере под техническим риском понимают вероятность отказа устройств, который приводит к последствиям определённого уровня (класса) за период функционирования опасного производственного объекта [72]. Кроме того, понятие «риск» в технической сфере может иметь смысл комплексного показателя надежности механизмов, машин, технологических процессов, выражающего вероятность аварии или катастрофы при эксплуатации элементов техносферы. Уровень риска определяется по формуле:

^, (1.1)

Т[Г)' ( )

где Ят - технический риск; А Т - количество аварий за промежуток времени ? на идентичных технических объектах и системах; Т - количество таких объектов и систем, подверженных фактору риска /[63].

В страховании [83]:

- Риск - это событие, наступление которого не определено во времени и в пространстве, независимое от волеизъявления человека, опасное и создающее вследствие этого стимул для страхования; это тот риск, который может быть оценен с точки зрения вероятности наступления страхового случая и размеров возможного ущерба.

- Риск - событие, способное причинить ущерб, покрытие которого гарантирует договор страхования.

В сфере информационных технологий и информационной безопасности существуют следующие определения риска:

- Риск информационной безопасности - возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации [35; 111].

- Риск - потенциальная возможность нанесения ущерба, связанного с нарушением безопасности информационной системы [64; 114].

- Информационный риск - мера информационной опасности, характеризующая вероятность появления опасности и размеры связанного с ней ущерба для репутации объекта [83].

- Информационный риск - это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий [43].

Иными словами, информационные риски связаны с созданием, обработкой, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи [40].

Таким образом, множественность определений понятия «риск» связана с многообразием ситуационных контекстов и с различными особенностями применения данного понятия.

1.2.2 Обобщенное определение понятия «риск»

Несмотря на то, что каждая предметная область вносит в определение риска свои особенности, некоторые стороны данного определения остаются неизменными [25-27].

В общем случае под риском понимают сочетание вероятности и последствий наступления некоторого события. Обычно мера риска для отдельного класса событий определяется по формуле:

Я = Р ®и, (1.2)

где Р - вероятность наступления (неблагоприятного) события; и - его последствия; ® - некоторым образом определенная композиция.

В большинстве случаев рассматривается возможность наступления некоторого негативного события (НС), приводящего к различного рода потерям.

Существующие методики оценки уровня риска предлагают различные трактовки данной формулы: в одних на первый план выдвигается вероятностная составляющая, в других - значение стоимости ущерба.

В [64] формула (1.2) представляется более развернуто. Поскольку стоимостное выражение ущерба от реализации угрозы по отношению к ресурсу зависит от ценности ресурса и степени разрушительности воздействия на ресурс, а возможность возникновения неблагоприятного события в свою очередь зависит от частоты возникновения рассматриваемого нежелательного события и вероятности успешной реализации угрозы, формула определения уровня риска принимает вид:

r = v p ■ c ■ к, (1.3)

где v - частота возникновения неблагоприятного события (за фиксированный промежуток времени); p - вероятность успешной реализации угрозы; с - ценность ресурса; к е [0;1] - коэффициент разрушительности [10; 31; 93].

Для обеспечения инвариантности формулы (1.3) необходимо нормировать входящие в нее параметры. В частности, значение ценности ресурса, подверженного неблагоприятному воздействию, целесообразно оценить относительно суммарной ценности всех ресурсов [25].

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Абрамова, Н. А. О проблеме рисков из-за человеческого фактора в экспертных методах и информационных технологиях / Н. А. Абрамова // Проблемы управления. - 2007. - №2. - С. 11-21.

2. Авдеева, З. К. Интегрированная система «КУРС» для когнитивного управления развитием ситуаций / З. К. Авдеева, В. И. Максимов, В. М. Рабинович // Труды ИПУ РАН. - Т. XIV. - М.: ИПУ РАН, 2001. - С. 89-114.

3. Авдеева, З. К. Когнитивное моделирование для решения задач управления слабоструктурированными системами (ситуациями) / З. К. Авдеева, С. В. Ковригина, Д. И. Макаренко. - М.: Институт проблем управления РАН, 2006.

- С. 41-54.

4. Ажмухамедов, И. М. Анализ и управление комплексной безопасностью на основе когнитивного моделирования / И. М. Ажмухамедов // Управление большими системами. - 2010. - № 29. - С. 5-15.

5. Ажмухамедов, И. М. Введение метрических характеристик для решения задачи оценки и управления рисками / И. М. Ажмухамедов, О. Н. Выборнова // Прикаспийский журнал: управление и высокие технологии. - 2015. - № 4 (32).

- С. 10-22.

6. Ажмухамедов, И. М. Моделирование на основе экспертных суждений процесса оценки информационной безопасности / И. М. Ажмухамедов // Вестник АГТУ. Управление, вычислительная техника и информатика. - 2009.

- № 2. - С. 101-109.

7. Ажмухамедов, И. М. Программная реализация вычислений с нечеткими числами / И. М. Ажмухамедов, Н. А. Колесова // Вестник АГТУ. Серия: Управление, вычислительная техника и информатика. - 2011. - № 2. - С.68-73.

8. Ажмухамедов, И. М. Синтез управляющих решений в слабо структурированных плохо формализуемых социотехнических системах / И. М. Ажмухамедов // Управление большими системами. - 2013. - № 42. - С. 29-54.

9. Ажмухамедов, И. М. Системный анализ и управление социотехническими системами комплексного обеспечения информационной безопасности / И. М. Ажмухамедов // Проблемы информационной безопасности. Компьютерные системы. - 2013. - №1. - С. 132-151.

10. Ажмухамедов, И. М. Управление рисками информационной безопасности в условиях неопределенности / И. М. Ажмухамедов, О. Н. Выборнова, Ю. М. Брумштейн // Проблемы информационной безопасности. Компьютерные системы. - 2016. - Т. 1. - С. 7-14.

11. Ажмухамедов, И. М. Формализация понятий приемлемого и толерантного рисков [Электронный ресурс] / И. М. Ажмухамедов, О. Н. Выборнова // Инженерный вестник Дона. - 2015. - Т. 37. - № 3. - С. 63. - Режим доступа: http: //www.ivdon.ru/ru/magazine/archive/ n3y2015/3240.

12. Аникин, И. В. Методы оценки и управления рисками информационной безопасности в корпоративных информационных системах: Монография / И. В. Аникин. - Казань: редакционно-издательский центр «Школа», 2015. - 224 с.

13. Асанов, А. А. Влияние надежности человеческой информации на результаты применения методов принятия решений / А. А. Асанов, О. И. Ларичев // Автоматика и телемеханика. - 1999. - № 5. - С. 20-31.

14. Банк данных угроз безопасности информации [Электронный ресурс] / ФАУ «ГНИИИ ПТЗИ ФСТЭК России. - Режим доступа: http://bdu.fstec.ru/ (дата обращения 03.09.2016).

15. Брумштейн, Ю. М. Анализ некоторых моделей группового управления рисками / Ю. М. Брумштейн, О. Н. Выборнова // Прикаспийский журнал. Управление и высокие технологии. - 2015. - № 4. - С. 64-72.

16. Брумштейн, Ю. М. Дифференцированное управление вероятностями неблагоприятных событий и ущербов от них в рамках риск-менеджмента / Ю. М. Брумштейн, О. Н. Выборнова // Надежность и качество сложных систем. - 2016. - № 1 (13). - С. 63-72.

17. Брумштейн, Ю. М. Модели учета фактора времени при дифференцированном управлении вероятностями неблагоприятных событий и ущербов от них /

Ю. М. Брумштейн, О. Н. Выборнова // Известия ВолгГТУ, серия «Актуальные проблемы управления, вычислительной техники и информатики в технических системах». - 2016. - № 3 (182). - С. 7-13

18. Владимиров, В. Л. Управление риском: Риск. Устойчивое развитие. Синергетика / В. Л. Владимиров, Ю. Л. Воробьев, С. С. Салов. - М.: Наука, 2000. - 431 с.

19. Воронцов, Я. А. Методы параметризованного сравнения нечётких треугольных и трапециевидных чисел / Я. А. Воронцов, М. Г. Матвеев // Вестник ВГУ. Серия: Системный анализ и информационные технологии. -2014. - № 2. - С. 90-97.

20. Выборнова, О. Н. Алгоритм управления рисками информационной безопасности в условиях неопределенности / О. Н. Выборнова // V Всероссийская научно-практическая конференция «Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства» 22 - 23 апреля 2016 года / редкол.: А.М. Цыбулин [и др.] ; Федер. гос. авт. образоват. учреждение высш. проф. образования «Волгогр. гос. ун-т». - Волгоград: Изд-во ВолГУ, 2016. - С. 35-38.

21. Выборнова, О. Н. Анализ рисков информационной безопасности: учебное пособие / И. М. Ажмухамедов, О. Н. Выборнова, О. М. Князева. - Астрахань: Издательство АГТУ, 2015. - 104с.

22. Выборнова, О. Н. Выбор тактики снижения рисков информационной безопасности в Астраханском филиале ПАО «МРСК ЮГА» / О. Н. Выборнова, К. Л. Кравченко, М. М. Чудинов // Ежемесячный научный журнал «Prospero». - 2015. - № 11 (23). - С. 33-36.

23. Выборнова, О. Н. Нечеткая когнитивная модель оценки актуальных рисков / О. Н. Выборнова, И. М. Ажмухамедов // Математические методы в технике и технологиях - ММТТ-29 [текст]: сб. трудов XXIX Междунар. науч. конф.: в 12 т. Т.2. / под общ.ред. А.А. Большакова. - Саратов: Саратов. гос. техн. ун-т; Санкт-Петербург: СПбГТИ(ТУ), СПбПУ, СПИИРАН; Самара: Самарск. гос. техн. ун-т, 2016. - С. 182-186.

24. Выборнова, О. Н. Нечеткая когнитивная модель оценки рисков информационной безопасности для ПАО «МРСК Юга» - «Астраханьэнерго» / О. Н. Выборнова, К. Л. Кравченко // Проблемы информационной безопасности: Материалы V Всероссийской конференции 19-20 мая 2016 г. -Ростов-н/Д, Издательско-полиграфический комплекс РГЭУ (РИНХ), 2016. -С. 17-21.

25. Выборнова, О. Н. Нечеткий когнитивный подход к оценке рисков / И. М. Ажмухамедов, О. Н. Выборнова // Математические методы в технике и технологиях. - ММТТ-28 [текст]: сб. трудов XXVIII Междунар. науч. конф.: Секция 4 в 12 т. Т.3. / под общ. ред. А.А. Большакова. - Саратов: Саратов. гос. техн. ун-т, 2015; Ярославль: Ярослав. гос. техн. ун-т, Рязань: Рязанск. гос. радиотехн. Ун-т, 2015. - С. 114-116.

26. Выборнова, О. Н. Онтологическая модель процесса оценки рисков / О. Н. Выборнова // Вестник Астраханского государственного технического университета. Серия: Управление, вычислительная техничка и информатика. -2015. - № 2. - С. 97-102.

27. Выборнова, О. Н. Онтологическая модель процесса оценки рисков информационной безопасности / О. Н. Выборнова // Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства [Текст] : материалы IV Всеросс. науч.-практ. конф., г. Волгоград, 23-24 апр. 2015 г. / редкол.: А.М. Цыбулин [и др.] ; Федер. гос. авт. образоват. учреждение высш. проф. образования «Волгогр. гос. ун-т».

- Волгоград: Изд-во ВолГУ, 2015. - С. 160-164.

28. Выборнова, О. Н. Оценка информационных рисков на основе экспертной информации (на примере ГБУЗ АО «Центр медицинской профилактики») / О. Н. Выборнова, Н. В. Давидюк, К. Л. Кравченко // Инженерный вестник Дона.

- 2016. - № 4. - Режим доступа: http://ivdon.ru/ru/magazine/archive/n4y2016/3840

29. Выборнова, О. Н. Оценка рисков на основе экспертной информации / О. Н. Выборнова, К. Л. Кравченко // Математические методы в технике и технологиях. - ММТТ-29 [текст]: сб. трудов XXIX Междунар. науч. конф.: в

12 т. Т.6. / под общ.ред. А.А. Большакова. - Саратов: Саратов. гос. техн. ун-т; Санкт-Петербург: СПбГТИ(ТУ), СПбПУ, СПИИРАН; Самара: Самарск. гос. техн. ун-т, 2016. - С. 105-109.

30. Выборнова, О. Н. Синтез управленческих решений по снижению рисков в нечетких условиях при ограниченных условиях [Электронный ресурс] / О. Н. Выборнова, И. М. Ажмухамедов // Фундаментальные исследования. - 2016. -№ 5 (часть 1). - С. 18-22. - Режим доступа: http://www. fundamental-research.ru/ru/issue/view?id=40242.

31. Выборнова, О. Н. Численная оценка уровней приемлемого и толерантного рисков / И. М. Ажмухамедов, О. Н. Выборнова // Современные проблемы проектирования, применения и безопасности информационных систем: материалы XVI Международной научной конференции 19-21 октября 2015 г. в г. Кисловодске. - Ростов н/Д: Издательско-полиграфический комплекс РГЭУ (РИНХ), 2015. - С. 8-12.

32. ГОСТ Р ИСО 31000-2010. Менеджмент риска. Принципы и руководство. - М.: Стандартинформ, 2012. - 24 с.

33. ГОСТ Р ИСО 31010-2011. Менеджмент риска. Методы оценки риска. - М.: Стандартинформ, 2012. - 74 с.

34. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. - М.: Стандартинформ, 2008. - 31 с.

35. ГОСТ Р ИСО/МЭК 27005:2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. - М.: Стандартинформ, 2011. - 94 с.

36. ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности организации. Основные термины и определения. - М.: Стандартинформ, 2009. - 20 с.

37. Дмитриев, М. Н. Количественный анализ риска инвестиционных проектов [Электронный ресурс] / М. Н. Дмитриев, С. А. Кошечкин - Режим доступа: http://www.cfin.ru/finanalysis/ quant_risk.shtml (дата обращения: 30.08.2015г.).

38. Досмухамедов, Б. Р. Анализ рисков информационной безопасности: учебно-методическое пособие / Б. Р. Досмухамедов, О. Н. Выборнова, И. М. Ажмухамедов. - Астрахань: Астраханский государственный университет, Издательский дом «Астраханский университет», 2016. - 59, [1] с.

39. Заболотский, М. А. Применение когнитивного моделирования в управлении качеством подготовки специалистов / М. А. Заболотский, И. А. Полякова, А.

B. Тихонин // Управление большими системами. - 2007. - № 16. - С. 91-98.

40. Зайцева, О. Н. О необходимости введения понятия «риски адекватности информации» [Электронный ресурс] / О. Н. Зайцева // Фундаментальные исследования. - 2013. - № 1-3. - С. 807-811. - Режим доступа: http://www.fundamental-research.ru/ru/article/view?id=31033 (дата обращения: 03.09.2016)

41. Зегжда, П. Д. Автоматическое управление безопасностью компьютерных систем / П. Д. Зегжда, М. О. Калинин // Проблемы информационной безопасности. Компьютерные системы. - 2013. - №4. - С. 32-39.

42. Ильин, Е. П. Психология риска / Е. П. Ильин. - С-Пб: Питер, 2012. - 288 с.

43. Исаев, И. В. ИТ риски и информационная безопасность [Электронный ресурс] / И. В. Исаев // Современные наукоемкие технологии. - 2014. - № 7-1. -

C. 184-184. - Режим доступа: http://www.top-technologies.ru/ru/article/view?id= 34276 (дата обращения: 03.09.2016).

44. Калиткин, Н. Н. Численные методы: учебник для вузов: В 2-х кн. - Кн. 1: Численный анализ / Н. Н. Калиткин, Е. А. Альшина. - М.: Академия, 2013. -304 с.

45. Качественный анализ рисков [Электронный ресурс] // Управление рисками, риск-менеджмент на предприятии. - Режим доступа: http://www.risk24.ru/ analiz2.htm (дата обращения: 30.08.2015г.).

46. Кашуба, В. М. Риск-менеджмент как система управления финансовыми рисками / В. М. Кашуба // ЭТАП: экономическая теория, анализ, практика. -2012. - №2. - С. 68-83.

47. Козлитин, А. М. Развитие теории и методов количественной оценки риска аварий сложных технических систем / А. М. Козлитин //Вестник Саратовского государственного технического университета. - 2011. - №4. Выпуск 3. -С. 115-124.

48. Количественный анализ рисков [Электронный ресурс] // Управление рисками, риск-менеджмент на предприятии. - Режим доступа: http://www.risk24.ru/ analiz3.htm (дата обращения: 30.08.2015г.).

49. Корноушенко, Е. К. Управление ситуацией с использованием структурных свойств ее когнитивной карты / Е. К. Корноушенко, В. И. Максимов // Тр. ИПУ РАН. - Т. XI. - М.: ИПУ РАН, 2000. - С. 85-90.

50. Коробейников, А. Г. Математическая модель расчета информационных рисков для информационно-логистической системы / А. Г. Коробейников, А. Ю. Гришенцев, И. Э. Комарова, Д. Ю. Ашевский, С. А. Алексанин, Г. Л. Маркина // Научно-технический вестник информационных технологий, механики и оптики. - 2015. - Т. 15. № 3. - С. 538-545.

51. Королькова, Е. М. Риск-менеджмент: управление проектными рисками: учебное пособие для студентов экономических специальностей / Е. М. Королькова. - Тамбов: Изд-во ФГБОУ ВПО «ТГТУ», 2013. - 160с.

52. Кузнецов, О. П. Анализ влияний при управлении слабоструктурированными ситуациями на основе когнитивных карт / О. П. Кузнецов, А. А. Кулинич, А. В. Марковский. - М.: КомКнига, 2006. - С. 313-344.

53. Куканова, Н. Современные методы и средства анализа и управления рисками информационных систем компаний [Электронный ресурс] / Н. Куканова // Библиотека on-line CIT Forum. - Режим доступа: http://citforum.ru/products/ dsec/cramm/ (дата обращения: 30.04.2015г.).

54. Кулинич, А. А. Когнитивная система поддержки принятия решений «Канва» / А. А. Кулинич // Программные продукты и системы. - 2002. - № 3. - С. 25-28.

55. Кулинич, А. А. Система концептуального моделирования социально-политических ситуаций «Компас» / А. А. Кулинич, В. И. Максимов // Сб. докл. «Современные технологии управления». Науч.-практ. семинар «Современные

технологии управления для администрации городов и регионов». - М., 1998. -С. 115-123.

56. Ларичев, О. И. Качественные методы принятия решений. Вербальный анализ решения / О. И. Ларичев, Е. М. Мошкович. - М.: Наука, 2006. - 208 с.

57. Максимов, В. И. Аналитические основы применения когнитивного подхода при решении слабоструктурированных задач / В. И. Максимов, Е. К. Корноушенко // Труды ИПУ РАН. - М., 1999. - Т. 2. - С.95-109.

58. Максимов, В. И. Программный комплекс «Ситуация» для моделирования и решения слабоформализованных проблем / В. И. Максимов, А. К. Григорян, Е. К. Корноушенко // Междунар. конф. по проблемам управления. - Т. 2.- М., 1999. - С. 58-65.

59. Максимов, В. И. Структурно-целевой анализ развития социально-экономических ситуаций / В. И. Максимов // Проблемы управления. - 2005. -№ 3. - С. 30-38.

60. Матвеенко, Ю. И. Современные подходы к изучению риска / Ю. И. Матвеенко // Известия Тульского государственного университета. Гуманитарные науки. -2012. - № 1-1. - С. 165-173.

61. Методика определения угроз безопасности информации в информационных системах (проект): методический документ ФСТЭК России (проект) от 7 мая 2015 г. [Электронный ресурс]. - Режим доступа: http://fstec.ru/component/ attachments/download/812 (дата обращения: 01.03.2016г.)

62. Митченко, И. А. Методические основы оценки информационных рисков в предпринимательстве / И. А. Митченко // Вестник Астраханского государственного технического университета. - 2007. - №3 (38). - С. 204-211.

63. Надежность технических систем и техногенный риск: электронное учебное пособие [Электронный ресурс]. - Режим доступа: http://www.obzh.ru/nad/2-1.html (дата обращения: 28.02.2015г.)

64. Нестеров, С. А. Анализ и управление рисками в сфере информационной безопасности [Электронный ресурс] / С. А. Нестеров. - С-Пб, 2007. - 47 с. -

Режим доступа: http://www.krdu-mvd.ru/_files/kafedra_ib/52.pdf (дата обращения: 01.03.2015г.)

65. Нефедьев, Д. С. Принципы и инструменты управления рисками промышленного предприятия: автореф. дис. ... канд. эконом. наук : 08.00.05 / Нефедьев Денис Сергеевич. - Санкт-Петербург, 2015. - 20 с.

66. Остапенко, Г. А. Построение функций ущерба и риска для компьютерных атак, приводящих к нарушению доступности информации / Г. А. Остапенко, Е. В. Ермилов, А. О. Калашников // Информация и безопасность. - 2013. - Т. 16, № 2. - С. 207-210.

67. Панфилова, Э. А. Понятие риска: многообразие подходов и определений [Электронный ресурс] / Э. А. Панфилова // Теория и практика общественного развития. - 2010. - № 4. - Режим доступа: http://www.teoria-practica.ru/ rus/files/arhiv_zhurnala/2010/4/filоsоfiyа/panШova.pdf (дата обращения: 28.02.2015г.)

68. Политика по управлению рисками АО «Казына Капитал Менеджмент» [Электронный ресурс] // Казахстанский фонд фондов прямых инвестиций -АО Казына Капитал Менеджмент: сайт. - 2013. - Режим доступа: http://www.kcm-kazyna.kz/images/userfiles/files/risk%20rus.pdf (дата обращения: 20.02.16).

69. Политика управления рисками в ОАО «МРСК Центра» [Электронный ресурс] // МРСК Центра: сайт. - М., 2010. - Режим доступа: http://www.mrsk-1.ru/docs/ regulitions7.doc.

70. Положение об управлении информационных систем и технологий ФГБОУ ВПО АГТУ, Астрахань, 2015. - 15 с.

71. Поспелов, Д. С. «Серые» и/или «черно-белые» шкалы / Д. С. Поспелов // Прикладная эргономика. Специальный выпуск «Рефлексивные процессы». -1994. - № 1. - С. 15-21.

72. Постановление Госгортехнадзора РФ от 10.07.2001 N 30 «Об утверждении «Методических указаний по проведению анализа риска опасных производственных объектов» (вместе с «РД 03-418-01...»)» [Электронный

ресурс]. - Режим доступа: http://uristu.com/library/tekhnicheskie-normativy/ ММ_59/ (дата обращения: 01.03.2015г.)

73. Практики управления рисками в России: сильные стороны и области для развития [Электронный ресурс]. - 2015. - ноябрь. - Режим доступа: https://www. kpmg.com/RU/ru/IssuesAndInsights/ArticlesPublications/Documents/ S_CG_10r.pdf (дата обращения: 01.03.2016г.)

74. Приемлемый риск как уровень безопасности производства [Электронный ресурс]. - Режим доступа: http://studme.org/12810419/bzhd/priemlemyy_ risk_kak_uroven_ bezopasnosti_proizvodstva (дата обращения: 20.02.16).

75. Проталинский, О. М. Моделирование плохо формализуемых процессов в социотехнических системах / О. М. Проталинский, И. М. Ажмухамедов // Прикладная информатика. - 2013. - № 4 (46). - С.106-113.

76. Проталинский, О. М. Применение методов искусственного интеллекта при автоматизации технологических процессов / О. М. Проталинский. -Астрахань: Изд. АГТУ, 2004. -184 с.

77. Проталинский, О. М. Системный анализ и моделирование слабо структурированных и плохо формализуемых процессов в социотехнических системах / О. М. Проталинский, И. М. Ажмухамедов // Инженерный Вестник Дона. - 2012. - №3 (21). - С. 179-187.

78. Робертс, Ф. С. Дискретные математические модели с приложениями к социальным, биологическим и экономическим задачам / Ф. С. Робертс. - М.: Наука, 1986. - 497 с.

79. Ротштейн, А. П. Влияние методов деффазификации на скорость настройки нечеткой модели / А. П. Ротштейн, С. Д. Штовба // Кибернетика и системный анализ. - 2002. - № 1. - С. 28-35.

80. РС БР ИББС-2.2-2009. Методика оценки рисков нарушения информационной безопасности. - Москва, 2009. - 23 с.

81. Свидетельство о гос. регистрации программ для ЭВМ № 2016611760. Оценка и управление рисками на основе метрических характеристик уровней текущего и приемлемого рисков / О. Н. Выборнова, И. М. Ажмухамедов, А. О.

Однобоков, К. Л. Кравченко - Зарегистр. в реестре программ для ЭВМ 10.02.2016г.

82. Свидетельство о гос. регистрации программ для ЭВМ № 2016618441. Оценка уровня рисков на основе экспертной информации / К. Л. Кравченко, О. Н. Выборнова, М. Ф. Петров, И. М. Ажмухамедов. - Зарегистр. в реестре программ для ЭВМ 29.07.2016 г.

83. Словари и энциклопедии на Академике [Электронный ресурс]. - Режим доступа: http://dic.academic.ru/ (дата обращения 28.02.2015г.).

84. Средство оценки безопасности Microsoft Security Assessment Tool [Электронный ресурс] // Технический центр безопасности Microsoft. - Режим доступа: https://technet.microsoft.com/ru-ru/security/cc 185712.aspx (дата обращения 28.04.2015г.).

85. Управление рисками. Метод CRAMM [Электронный ресурс] // Треннинговый и экзаменационный центр IT Expert. - Режим доступа: http://www.itexpert.ru/ rus/ITEMS/77-33/ (дата обращения 28.04.2015г.).

86. Чемисов, С. Б. Применение методологии IDEF0 с целью моделирования бизнес-процессов на предприятии / С. Б. Чемисов // Проблемы современной экономики. - 2009. - № 4. - С. 446-449.

87. Шапорин, В. О. Разработка лингвистической модели оценки рисков активов информационной системы / В. О. Шапорин, П. М. Тишин, Р. О. Шапорин, Н. Б. Копытчук // Восточно-Европейский журнал передовых технологий. -2015. - №4/2 (76). - С. 30-35.

88. Юрков, Н. К. Риски отказов сложных технических систем / Н. К. Юрков // Надежность и качество сложных систем. - 2014. - №1. - С. 18-24.

89. Ярушкина, Н. Г. Нечеткие гибридные системы. Теория и практика / Н. Г. Ярушкина. - М.: Физматлит, 2007. - 208 с.

90. All Hazards Risk Assessment Methodology Guidelines 2012-2013 [Электронный ресурс]. - Режим доступа: http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/ll-hzrds-ssssmnt/index-en.aspx (дата обращения: 01.09.2016г.).

91. Anikin, I. V. Information Security Risks Assessment Method Based on AHP and Fuzzy Sets / I. V. Anikin // Proceedings of 2nd Intl' Conference on Advanced in Engineering Sciences and Applied Mathematics (ICAESAM'2014), May 4-5, 2014 Istambul (Turkey). - pp. 11-15.

92. Anikin, I. V. The Method and Fuzzy Expert System for Information Security Risk Assessment and Management / I. V. Anikin, T. M. Gilmullin // Varia Informatica -2013. Lublin: PIPS Polish Information Processing Society, 2013. - pp. 55-68.

93. Azhmukhamedov, I. M. Management of Information Security Risks in a Context of Uncertainty / I. M. Azhmukhamedov, O. N. Vybornova, Yu. M. Brumshtein // Automatic Control and Computer Sciences. - 2016. - Vol. 50, No. 8. - pp. 657663. - DOI: 10.3103/S0146411616080022

94. Brady, S. R. Utilizing and adapting the Delphi Method for use in qualitative research [Электронный ресурс] / S. R. Brady // International Journal of Qualitative Methods. - 2015. - vol. 14, no. 5. - Режим доступа: http://ijq.sagepub.com/ content/14/5/1609406915621381 - DOI: 10.1177/1609406915621381 (дата обращения: 01.06.2016г.).

95. Ceci, C. Local risk-minimization under restricted information on asset prices / C. Ceci, A. Cretarola, K. Colaneri // Electronic Journal of Probability. - 2015. - V. 20 , no. 96. - P. 1-30. - DOI: 10.1214/EJP.v20-3204.

96. Enterprise Risk Management - Integrated Framework: Executive summary [Электронный ресурс]. - COSO, 2004. - Режим доступа: http://www.coso.org/ ERM-IntegratedFramework.htm (дата обращения: 01.03.16)

97. Evans, B. Key Components of a High-Performing Information Risk Management Program / B. Evans. - 2015. - Режим доступа: https://securityintelligence.com/ key-components-of-a-high-performing-information-risk-management-program/ (дата обращения: 01.08.2016г.).

98. Harrington, E. C. The desirable function. Industrial Quality Control / E. C. Harrington. - 1965. - V. 21., No. 10. - P. 494-498.

99. Hsu, C.-C. The Delphi technique: making sense of consensus / C.-C. Hsu, B. A. Sandford // Practical assessment, research & evaluation. - 2007. - V. 12, N. 10. -

Режим доступа: http://pareonline.net/getvn.asp?v=12&n=10 (дата обращения: 01.06.2016г.)

100. Jenkins, G. Information security framework programme: Risk methodology [Электронный ресурс] / G. Jenkins. - 2014. - Режим доступа: http://sites.cardiff.ac.uk/isf/files/2014/05/ISFRiskAssessmentMethodologyv1_ 2.pdf (дата обращения: 01.08.2016г.)

101. Junior R.R., de Carvalo M.M. Understanding the impact of project risk management on project performance: an Empirical study / R. R. Junior, M. M. de Carvalo // J. Technol. Manag. Innov. - 2013. - Vol. 8, Special issue ALTEC. - P. 64-78.

102. Kosko, B. Fuzzy cognitive maps / B. Kosko // International Journal of Man-Machine Studies. - 1986. - Vol. 1. - P. 65-75 .

103. Kosko, B. Fuzzy systems as universal approximators / B. Kosko // IEEE Transactions on Computers. - November 1994. - vol. 43, No. 11. - P. 1329-1333.

104. Kosko, B. Fuzzy Thinking / B. Kosko. - N. Y.: Hyperion, 1993. - 122 p.

105. Liu S. How environment risks moderate the effect of control on performance in information technology projects: perspectives of project managers and user liaisons / S. Liu, Z. Deng // International Journal of Information Management. - 2015. - V. 35. N 1. - P. 80-97. - doi: 10.1016/j.ijinfomgt.2014.10.003.

106. Li, W. An approach to evaluating the logistics-financing service risk with hesitant fuzzy information / W. Li, H. Kuang // International Journal of Digital Content Technology and its Applications. - 2012. - V. 6. N 14. - P. 17-23. - doi: 10.4156/j dcta.vol6.issue 14.3.

107. Lundberg, R. Assessing Homeland Security Risks: A Comparative Risk Assessment of 10 Hazards [Электронный ресурс] / R. Lundberg, H. Willis // Homeland security affairs. - 2015. - Режим доступа: https://www.hsaj.org/articles/ 7707 (дата обращения: 01.08.2016г.).

108. Lund, M. S. Model-Driven Risk Analysis / M. S. Lund, B. Solhaug, K. Stolen // Springer-Verlag. - Berlin, 2011. - P. 55-62. - doi: 10.1007/978-3-642-12323-8.

109. Microsoft Methodology «The Security Risk Management Guide» [Электронный ресурс]. - Microsoft, 2006. - Режим доступа: http://www.microsoft.com/en-us/download/details.aspx?id=6232 (дата обращения: 20.05.2015г.)

110. Microsoft Security Assessment Tool 4.0 [Электронный ресурс] // Download Center Microsoft. - Режим доступа: https://www.microsoft.com/ru-ru/download/details.aspx?id=12273 (дата обращения: 20.05.2015г.)

111. NIST SP 800-30 Revision 1. Guide for Conducting Risk Assessments. -September 2012.

112. Pigeon, P. Catastrophes dites naturelles, risques et développement durable: Utilisations géographiques de la courbe de Farmer [Электронный ресурс] / P. Pigeon // VertigO - la revue électronique en sciences de l'environnement. - 2010.

- Vol. 10 N. 1. - Режим доступа: http://vertigo.revues.org/9491 ; DOI: 10.4000/vertigo .9491 (дата обращения: 03.08.2016г.)

113. Practical Threat Analysis [Электронный ресурс] // PTA Technologies: сайт. -Режим доступа: http://www.ptatechnologies.com/default.htm (дата обращения: 20.05.2015г.)

114. Rot, A. IT Risk Assessment: Quantitative and Qualitative Approach [Электронный ресурс] / A. Rot // Proceedings of the World Congress on Engineering and Computer Science 2008, October 22-24 2008, San Francisco, USA.

- Режим доступа: http://www.iaeng.org/publication/WCECS2008/WCECS2008_ pp1073-1078.pdf (дата обращения: 20.05.2016г.)

115. Shenhar, A.J. Reinventando gerenciamento de projetos - A abordagem diamante ao crescimento einovaçâo bem-sucedidos / A. J. Shenhar, D. Dvir. - M. Books, Harvard Business School Press. - 2010. - 260 p.

116. Stojanovski, P. Comprehensive disaster risk modeling for agriculture [Электронный ресурс] / P. Stojanovski, R. Muir-Wood // Planet@Risk. - 2015. -Vol. 3, No 1. - Режим доступа: https://planet-risk.org/index.php/pr/article/view/ 166/347 (дата обращения: 20.08.2015г.).

117. The CORAS Method [Электронный ресурс]. - Режим доступа: http://coras.sourceforge.net/ (дата обращения: 01.03.2016)

118. vsRisk [Электронный ресурс] // Vigilant Software: сайт. - Режим доступа: http://www.vigilantsoftware.co.uk/t-trial.aspx (дата обращения: 20.05.2015г.).

119. Wagenaar, W.A. Risk evaluation and the causes of accidents. In: K. Borcherding, O.Larichev, D. Messick (Eds.) Contemporary Issues in Decision Making / W.A. Wagenaar. - North-Holland, Amsterdam: Elsevier Science Publishes, 1990. -P. 245-260.

120. Why Information Risk is a Board-level Issue [Электронный ресурс]. - Режим доступа: http://www.iaac.org.uk/media/1066/why-information-risk.pdf (дата обращения: 20.08.2016г.).

121. Zawoyski, S.V. How to achieve excellent enterprise risk management. Why risk assessment fail [Электронный ресурс] / S. V. Zawoyski, K. Hooper, M. J. Chagares. - 2015. - URL: https://www.pwc.ch/de/publications/2016/ pwc_excellent_enterprise_risk_management_e.pdf (дата обращения: 01.06.2016)

122. Zwikael, O. The effectiveness of risk management: an analysis of project risk planning across industries and countries / O. Zwikael, M. Ahn // Risk Analysis, 2011. - Т. 31. - № 1. - P. 25-37.

ПРИЛОЖЕНИЕ А (обязательное)

СВИДЕТЕЛЬСТВА О РЕГИСТРАЦИИ ПРОГРАММ ДЛЯ ЭВМ

ПРИЛОЖЕНИЕ Б (обязательное)

ОЦЕНКА РИСКОВ В ГБУЗ АО «ЦЕНТР МЕДИЦИНСКОЙ

ПРОФИЛАКТИКИ»

Таблица Б.1 - Негативные события и угрозы

Наименовани Вероят- Наименование угрозы Вероятнос Вероятность Интенсив

е НС ность ть того, возникновени ность

возникнов ения НС что НС вызовет данную угрозу я угрозы (произведени е) угрозы

1 2 3 4 5 6

перезагрузка сервера "регистратура" В / 0,98 0,96 ВС

перезагрузка 5 АРМ операторов регистратуры В / 0,98 0,96 С

перезагрузка дубликатора (ризографа) НС / 0,29 0,28 Н

перезагрузка принтера "регистратура" НС / 0,29 0,28 Н

перезагрузка АРМ Флюорография В / 0,98 0,96 В

перезагрузка промышленного принтера В / 0,98 0,96 Н

перезагрузка центрального свитча В / 0,98 0,96 НС

перезагрузка роутера регистратуры ВС / 0,71 0,69 НС

перезагрузка роутера орг-метод отдела ВС / 0,71 0,69 НС

перезагрузка АРМ УЗИ В / 0,98 0,96 В

Перепады В / 0,98 перезагрузка АРМ Рентген В / 0,98 0,96 В

напряжения перезагрузка АРМ " ФК Центр здоровья" В / 0,98 0,96 НС

перезагрузка сервера "ФК ЦЗ" ВС / 0,71 0,69 С

перезагрузка роутера ФК ЦЗ ВС / 0,71 0,69 Н

выход из строя сервера "регистратура" С / 0,51 0,49 В

выход из строя АРМ операторов регистратуры С / 0,51 0,49 В

выход из строя принтера "регистратура" 3шт Н / 0,1 0,09 В

выход из строя АРМ Флюорография С / 0,51 0,49 В

выход из строя центрального свитча НС / 0,29 0,28 В

выход из строя роутера регистратуры НС / 0,29 0,28 В

выход из строя роутера орг-метод отдела НС / 0,29 0,28 В

выход из строя АРМ УЗИ С / 0,51 0,49 В

выход из строя АРМ Рентген С / 0,51 0,49 В

1 2 3 4 5 6

выход из строя АРМ " ФК Центр здоровья" С / 0,51 0,49 В

выход из строя сервера "ФК ЦЗ" С / 0,51 0,49 В

выход из строя роутера ФК ЦЗ НС / 0,29 0,28 В

утрата данных на сервера "регистратура" С / 0,51 0,36 В

утрата данных на АРМ операторов регистратуры ВС / 0,71 0,5 В

утрата данных на АРМ Флюорография С / 0,51 0,36 В

утрата данных на АРМ "ФК Центр здоровья" 5шт С / 0,51 0,36 В

утрата данных на сервере "ФК ЦЗ" ВС / 0,71 0,5 В

Заражение вредоносным ПО утрата доступа к данным на сервер е"регистратура" ВС / 0,71 0,5 В

ВС / 0,71 утрата доступа к данным на АРМ операторов регистратуры С / 0,51 0,36 В

утрата доступа к данным на АРМ Флюорография С / 0,51 0,6 В

утрата доступа к данным на АРМ "ФК Центр здоровья" С / 0,51 0,36 С

утрата доступа к данным на сервере "ФК ЦЗ" С / 0,51 0,36 С

медленная работа сервера "регистратура" В / 0,98 0,69 НС

медленная работа АРМ операторов регистратуры В / 0,98 0,69 НС

медленная работа АРМ Флюорография В / 0,98 0,69 НС

медленная работа АРМ "ФК Центр здоровья" В / 0,98 0,69 НС

медленная работа сервера "ФК ЦЗ" В / 0,98 0,69 НС

Таблица Б.2 - Эффективность защитных мер

Наименование угрозы Наименов ание Вероятн ость Эффекти вность Вероят ность Уровень возможно Эффек тивнос Уровень ущерба от

защитной меры возникн овения угрозы (без ЗМ) ЗМ по Риг реализа ции угрозы с ЗМ го ущерба от реализац ии угрозы (без ЗМ) ть ЗМ по иг реализации угрозы (атаки)с ЗМ

1 2 3 4 5 6 7 8

перезагрузка сервера "регистратура" ИБП 0,96 В / 0,98 0,02 ВС - (0,55;0,65; 0,75;0,85)

перезагрузка АРМ операторов регистратуры - 0,96 - 0,96 С - (0,35;0,45; 0,55;0,65)

перезагрузка дубликатор (ризограф) - 0,28 - 0,28 Н - (0;0;0,15; 0,25)

1 2 3 4 5 6 7 8

перезагрузка принтера "регистратура" 3шт - 0,28 - 0,28 Н (0;0;0,15; 0,25)

перезагрузка АРМ Флюорография ИБП 0,96 В / 0,98 0,02 В - (0,75;0,85;1; 1,1)

перезагрузка промышленный принтер 2 шт - 0,96 - 0,96 Н - (0;0;0,15; 0,25)

перезагрузка центральный свитч ИБП 0,96 В / 0,98 0,02 НС - (0,15;0,25; 0,35;0,45)

перезагрузка роутер регистратуры ИБП 0,69 В / 0,98 0,01 НС - (0,15;0,25; 0,35;0,45)

перезагрузка роутер орг-метод отдела - 0,69 - 0,69 НС - (0,15;0,25; 0,35;0,45)

перезагрузка АРМ УЗИ ИБП 0,96 В / 0,98 0,02 В - (0,75;0,85;1; 1,1)

перезагрузка АРМ Рентген ИБП 0,96 В / 0,98 0,02 В - (0,75;0,85;1; 1,1)

перезагрузка АРМ " ФК Центр здоровья" 5 шт. - 0,96 - 0,96 НС - (0,15;0,25; 0,35;0,45)

перезагрузка сервер "ФК ЦЗ" ИБП 0,69 В / 0,98 0,01 С - (0,35;0,45; 0,55;0,65)

перезагрузка роутер ФК ЦЗ - 0,69 - 0,69 Н - (0;0;0,15; 0,25)

выход из строя сервер "регистратура" ИБП 0,49 С / 0,51 0,24 В - (0,75;0,85;1; 1,1)

выход из строя 5 АРМ операторов регистратуры Резерв 0,49 - 0,49 В С (0,26;0,45; 0,55;0,65)

выход из строя принтеры "регистратура" 3шт Резерв 0,09 - 0,09 В ВС (0,11;0,21; 0,35;0,45)

выход из строя АРМ Флюорография ИБП 0,49 С / 0,51 0,24 В - (0,75;0,85;1; 1,1)

выход из строя промышленный принтер 2 шт - 0,09 - 0,09 В - (0,75;0,85;1; 1,1)

выход из строя центральный свитч ИБП 0,28 С / 0,51 0,14 В - (0,75;0,85;1; 1,1)

выход из строя роутер регистратуры Резерв 0,28 - 0,28 В В (0;0;0,15; 0,25)

выход из строя роутер орг-метод отдела Резерв 0,28 - 0,28 В В (0;0;0,15; 0,25)

выход из строя АРМ УЗИ ИБП 0,49 НС / 0,29 0,35 В - (0,75;0,85;1; 1,1)

выход из строя АРМ Рентген ИБП 0,49 ВС / 0,71 0,14 В - (0,75;0,85;1; 1,1)

выход из строя АРМ "ФК Центр здоровья" 5 шт. Резерв 0,49 - 0,49 В С (0,26;0,45;0, 55;0,65)

выход из строя сервер "ФК ЦЗ" ИБП 0,49 С / 0,51 0,24 В - (0,75;0,85;1; 1,1)

выход из строя роутер ФК ЦЗ - 0,28 - 0,28 В - (0,75;0,85;1; 1,1)

1 2 3 4 5 6 7 8

утрата данных на сервер "регистратура" - 0,36 - 0,36 В - (0,75;0,85;1; 1,1)

утрата данных на 5 АРМ операторов регистратуры - 0,5 - 0,50 В - (0,75;0,85;1; 1,1)

утрата данных на АРМ Флюорография - 0,36 - 0,36 В - (0,75;0,85;1; 1,1)

утрата данных на АРМ "ФК Центр здоровья" 5шт - 0,36 - 0,36 В - (0,75;0,85;1; 1,1)

утрата данных на сервер "ФК ЦЗ" Копировани е 0,5 - 0,50 В В (0;0;0,15; 0,25)

утрата доступа к данным на сервер "регистратура" Антивирус 0,5 С / 0,51 0,25 В ВС (0,11;0,21; 0,35;0,45)

утрата доступа к данным на 5 АРМ операторов регистратуры - 0,36 - 0,36 В - (0,75;0,85;1; 1,1)

утрата доступа к данным на АРМ Флюорография - 0,6 - 0,60 В (0,75;0,85;1; 1,1)

утрата доступа к данным на АРМ "ФК Центр здоровья" 5шт - 0,36 - 0,36 С (0,35;0,45; 0,55;0,65)

утрата доступа к данным на сервер "ФК ЦЗ" Антивирус 0,36 С / 0,51 0,18 С ВС (0,05;0,11; 0,19;0,29)

медленная работа сервер "регистратура" - 0,69 - 0,69 НС - (0,15;0,25; 0,35;0,45)

медленная работа 5 АРМ операторов регистратуры - 0,69 - 0,69 НС - (0,15;0,25; 0,35;0,45)

медленная работа АРМ Флюорография - 0,69 - 0,69 НС - (0,15;0,25; 0,35;0,45)

медленная работа АРМ "ФК Центр здоровья" 5шт - 0,69 - 0,69 НС - (0,15;0,25; 0,35;0,45)

медленная работа сервер "ФК ЦЗ" Антивирус 0,69 НС / 0,29 0,49 НС С (0,05;0,11; 0,19;0,29)

Таблица Б.3 - Риски для ОП

Вероятность

нанесения

ОП Активы, поддерживающие ОП Вес актива в ОП Атаки на актив Степень повр. ПП = Вес*Поврежд. актива ущерба для Актива = Вер. возникновен ия атаки (после ЗМ)

1 2 3 4 5 6

Профилактик сервер 0,5 Перезагрузка сервера (0,28; 0,33; 0,02

а "регистратура" "регистратура" 0,38; 0,42)

1 2 3 4 5 6

выход из строя сервер "регистратура" (0,38;0,43;0,5; 0,5) 0,24

сервер 0,5 утрата данных на сервер "регистратура" (0,38;0,43;0,5; 0,5) 0,36

"регистратура" утрата доступа к данным на сервер "регистратура" (0,06;0,11;0,18; 0,23) 0,25

медленная работа сервер "регистратура" (0,08;0,13;0,18; 0,23) 0,69

перезагрузка 5 АРМ операторов регистратуры (0,18;0,23;0,28; 0,33) 0,96

5 АРМ операторов выход из строя 5 АРМ операторов регистратуры (0,13;0,23;0,28; 0,33) 0,49

0,5 утрата данных на 5 АРМ операторов регистратуры (0,38;0,43;0,5; 0,5) 0,5

регистратуры утрата доступа к данным на 5 АРМ операторов регистратуры (0,38;0,43;0,5; 0,5) 0,36

медленная работа 5 АРМ операторов регистратуры (0,08;0,13;0,18; 0,23) 0,69

перезагрузка дубликатор (ризограф) (0;0;0,15;0,25) 0,28

дубликатор (ризограф) 1 отсутствие краски дубликатор (ризограф) (0,41;0,55;0,75; 0,85) 0,36

отсутствие бумаги дубликатор (ризограф) (0,26;0,38;0,55; 0,65) 0,36

Профилактика перезагрузка принтеры "регистратура" 3шт (0;0;0,05;0,08) 0,28

выход из строя принтеры "регистратура" 3шт (0,03;0,06;0,11; 0,14) 0,09

принтеры "регистратура" 3шт 0,3 отсутствие краски принтеры "регистратура" 3шт (0,12;0,17;0,23; 0,26) 0,2

отсутствие бумаги принтеры "регистратура" 3шт (0,12;0,17;0,23; 0,26) 0,5

перезагрузка АРМ Флюорография (0,53;0,6;0,7; 0,7) 0,02

выход из строя АРМ Флюорография (0,53;0,6;0,7; 0,7) 0,24

АРМ Флюорография 0,7 утрата данных на АРМ Флюорография (0,53;0,6;0,7; 0,7) 0,36

утрата доступа к данным на АРМ Флюорография (0,53;0,6;0,7; 0,7) 0,6

медленная работа АРМ Флюорография (0,11;0,18;0,25; 0,32) 0,69

перезагрузка промышленный принтер 2 шт (0;0;0,08;0,13) 0,96

промышленны й принтер 2 шт 0,5 выход из строя промышленный принтер 2 шт (0,38;0,43;0,5; 0,5) 0,09

отсутствие краски промышленный принтер 2 шт (0,06;0,11;0,18; 0,23) 0,07

1 2 3 4 5 6

Профилактика промышленны й принтер 2 шт 0,5 отсутствие бумаги промышленный принтер 2 шт (0,06;0,11;0,18; 0,23) 0,5

центральный свитч 1 перезагрузка центральный свитч (0,15;0,25;0,35; 0,45) 0,02

выход из строя центральный свитч (0,75;0,85;1;1,1) 0,14

роутер регистратуры 1 перезагрузка роутера регистратуры (0,15;0,25;0,35; 0,45) 0,01

выход из строя роутер регистратуры (0;0;0,15;0,25) 0,28

роутер орг-метод отдела 1 перезагрузка роутер орг-метод отдела (0,15;0,25;0,35; 0,45) 0,69

выход из строя роутер орг-метод отдела (0;0;0,15;0,25) 0,28

Диагностика сервер "регистратура" 1 перезагрузка сервера "регистратура" (0,55;0,65;0,75; 0,85) 0,02

выход из строя сервер "регистратура" (0,75;0,85;1;1,1) 0,24

утрата данных на сервер "регистратура" (0,75;0,85;1;1,1) 0,36

утрата доступа к данным на сервер "регистратура" (0,11;0,21;0,35; 0,45) 0,25

медленная работа сервер "регистратура" (0,15;0,25;0,35; 0,45) 0,69

5 АРМ операторов регистратуры 1 перезагрузка 5 АРМ операторов регистратуры (0,35;0,45;0,55; 0,65) 0,96

выход из строя 5 АРМ операторов регистратуры (0,26;0,45;0,55; 0,65) 0,49

утрата данных на 5 АРМ операторов регистратуры (0,75;0,85;1;1,1) 0,5

утрата доступа к данным на 5 АРМ операторов регистратуры (0,75;0,85;1;1,1) 0,36

медленная работа 5 АРМ операторов регистратуры (0,15;0,25;0,35; 0,45) 0,69

дубликатор (ризограф) 1 перезагрузка дубликатор (ризограф) (0;0;0,15;0,25) 0,28

отсутствие краски дубликатор (ризограф) (0,41;0,55;0,75; 0,85) 0,36

отсутствие бумаги дубликатор (ризограф) (0,26;0,38;0,55; 0,65) 0,36

принтеры "регистратура" 3 шт 0,5 перезагрузка принтеры "регистратура" 3шт (0;0;0,08;0,13) 0,28

выход из строя принтеры "регистратура" 3шт (0,11;0,21;0,35; 0,45) 0,09

отсутствие краски принтеры "регистратура" 3шт (0,21;0,28;0,38; 0,43) 0,2

отсутствие бумаги принтеры "регистратура" 3шт (0,21;0,28;0,38; 0,43) 0,5

АРМ УЗИ 1 перезагрузка АРМ УЗИ (0,75;0,85;1;1,1) 0,02

выход из строя АРМ УЗИ (0,75;0,85;1;1,1) 0,35

1 2 3 4 5 6

Диагностика АРМ Рентген 1 перезагрузка АРМ Рентген (0,75;0,85;1;1,1) 0,02

выход из строя АРМ Рентген (0,75;0,85;1;1,1) 0,14

АРМ Флюорография 1 перезагрузка АРМ Флюорография (0,75;0,85;1;1,1) 0,02

выход из строя АРМ Флюорография (0,75;0,85;1;1,1) 0,24

утрата данных на АРМ Флюорография (0,75;0,85;1;1,1) 0,36

утрата доступа к данным на АРМ Флюорография (0,75;0,85;1;1,1) 0,6

медленная работа АРМ Флюорография (0,15;0,25;0,35; 0,45) 0,69

АРМ " ФК Центр здоровья" 5 шт. 1 перезагрузка АРМ " ФК Центр здоровья" 5 шт. (0,15;0,25;0,35; 0,45) 0,96

выход из строя АРМ " ФК Центр здоровья" 5 шт. (0,26;0,45;0,55; 0,65) 0,49

утрата данных на АРМ "ФК Центр здоровья" 5шт (0,75;0,85;1;1,1) 0,36

утрата доступа к данным на АРМ "ФК Центр здоровья" 5 шт (0,35;0,45;0,55; 0,65) 0,36

медленная работа АРМ "ФК Центр здоровья" 5шт (0,15;0,25;0,35; 0,45) 0,69

сервер "ФК ЦЗ" 1 перезагрузка сервер "ФК ЦЗ" (0,35;0,45;0,55; 0,65) 0,01

выход из строя сервер "ФК ЦЗ" (0,75;0,85;1;1,1) 0,24

утрата данных на сервер "ФК ЦЗ" (0;0;0,15;0,25) 0,5

утрата доступа к данным на сервере "ФК ЦЗ" (0,05;0,11;0,19; 0,29) 0,18

медленная работа сервер "ФК ЦЗ" (0,05;0,11;0,19; 0,29) 0,49

центральный свитч 1 перезагрузка центральный свитч (0,15;0,25;0,35; 0,45) 0,02

выход из строя центральный свитч (0,75;0,85;1;1,1) 0,14

роутер регистратуры 1 перезагрузка роутер регистратуры (0,15;0,25;0,35; 0,45) 0,01

выход из строя роутер регистратуры (0;0;0,15;0,25) 0,28

роутер ФК ЦЗ 1 перезагрузка роутер ФК ЦЗ (0;0;0,15;0,25) 0,69

выход из строя роутер ФК ЦЗ (0,75;0,85;1;1,1) 0,28

Лечение сервер "регистратура" 1 перезагрузка сервера "регистратура" (0,55;0,65;0,75; 0,85) 0,02

выход из строя сервер "регистратура" (0,75;0,85;1;1,1) 0,24

утрата данных на сервер "регистратура" (0,75;0,85;1;1,1) 0,36

1 2 3 4 5 6

Лечение сервер "регистратура" 1 утрата доступа к данным на сервер "регистратура" (0,11;0,21;0,35; 0,45) 0,25

медленная работа сервер "регистратура" (0,15;0,25;0,35; 0,45) 0,69

5 АРМ операторов регистратуры 1 перезагрузка 5 АРМ операторов регистратуры (0,35;0,45;0,55; 0,65) 0,96

выход из строя 5 АРМ операторов регистратуры (0,26;0,45;0,55; 0,65) 0,49

утрата данных на 5 АРМ операторов регистратуры (0,75;0,85;1;1,1) 0,5

утрата доступа к данным на 5 АРМ операторов регистратуры (0,75;0,85;1;1,1) 0,36

медленная работа 5 АРМ операторов регистратуры (0,15;0,25;0,35; 0,45) 0,69

дубликатор (ризограф) 1 перезагрузка дубликатор (ризограф) (0;0;0,15;0,25) 0,28

отсутствие краски дубликатор (ризограф) (0,41;0,55;0,75; 0,85) 0,36

отсутствие бумаги дубликатор (ризограф) (0,26;0,38;0,55; 0,65) 0,36

принтеры "регистратура" 3 шт 0,5 перезагрузка принтера "регистратура" 3шт (0;0;0,08;0,13) 0,28

выход из строя принтера "регистратура" 3шт (0,11;0,21;0,35; 0,45) 0,09

отсутствие краски принтера "регистратура" 3шт (0,21;0,28;0,38; 0,43) 0,2

отсутствие бумаги принтеры "регистратура" 3шт (0,21;0,28;0,38; 0,43) 0,5

АРМ " ФК Центр здоровья" 5 шт. 1 перезагрузка АРМ " ФК Центр здоровья" 5 шт. (0,15;0,25;0,35; 0,45) 0,96

выход из строя АРМ " ФК Центр здоровья" 5 шт. (0,26;0,45;0,55; 0,65) 0,49

утрата данных на АРМ "ФК Центр здоровья" 5шт (0,75;0,85;1;1,1) 0,36

утрата доступа к данным на АРМ "ФК Центр здоровья" 5 шт (0,35;0,45;0,55; 0,65) 0,36

медленная работа АРМ "ФК Центр здоровья" 5шт (0,15;0,25;0,35; 0,45) 0,69

сервер "ФК ЦЗ" 1 перезагрузка сервер "ФК ЦЗ" (0,35;0,45;0,55; 0,65) 0,01

выход из строя сервер "ФК ЦЗ" (0,75;0,85;1;1,1) 0,24

утрата данных на сервер "ФК ЦЗ" (0;0;0,15;0,25) 0,5

утрата доступа к данным на сервер "ФК ЦЗ" (0,05;0,11;0,19; 0,29) 0,18

медленная работа сервер "ФК ЦЗ" (0,05;0,11;0,19; 0,29) 0,49

центральный свитч 1 перезагрузка центральный свитч (0,15;0,25;0,35; 0,45) 0,02

1 2 3 4 5 6

центральный свитч 1 выход из строя центральный свитч (0,75;0,85;1;1,1) 0,14

перезагрузка роутер (0,15;0,25;0,35; 0,01

Лечение роутер 1 регистратуры 0,45)

регистратуры выход из строя роутер регистратуры (0;0;0,15;0,25) 0,28

роутер ФК ЦЗ 1 перезагрузка роутер ФК ЦЗ (0;0;0,15;0,25) 0,69

выход из строя роутер ФК ЦЗ (0,75;0,85;1;1,1) 0,28

Таблица Б.4 - Риски для о

рганизации в целом

ОП Вес ОП Атаки Ущерб (центр тяжести) Вероятность

1 2 3 4 5

Перезагрузка сервера "регистратура" 0,18 0,02

выход из строя сервера "регистратура" 0,23 0,24

утрата данных на сервера "регистратура" 0,23 0,36

утрата доступа к данным на сервере "регистратура" 0,07 0,25

медленная работа сервера "регистратура" 0,08 0,69

перезагрузка АРМ операторов регистратуры 0,13 0,96

выход из строя АРМ операторов регистратуры 0,13 0,49

утрата данных на АРМ операторов регистратуры 0,23 0,5

утрата доступа к данным на АРМ операторов регистратуры 0,23 0,36

Профилактика 0,5 медленная работа АРМ операторов регистратуры 0,08 0,69

перезагрузка дубликатора (ризографа) 0,04 0,28

отсутствие краски дубликатора (ризографа) 0,33 0,36

отсутствие бумаги дубликатор (ризограф) 0,23 0,36

перезагрузка принтеров "регистратура" 0,01 0,28

выход из строя принтеров "регистратура" 0,04 0,09

отсутствие краски принтеров 0,10 0,2

"регистратура"

отсутствие бумаги принтеров 0,10 0,5

"регистратура"

перезагрузка АРМ Флюорография 0,33 0,02

выход из строя АРМ Флюорография 0,33 0,24

утрата данных на АРМ Флюорография 0,33 0,36

1 2 3 4 5

утрата доступа к данным на АРМ Флюорография 0,33 0,6

медленная работа АРМ Флюорография 0,11 0,69

перезагрузка промышленного принтера 0,02 0,96

выход из строя промышленного принтера 0,23 0,09

отсутствие краски промышленного принтера 0,07 0,07

Профилактика 0,5 отсутствие бумаги промышленного принтера 0,07 0,5

перезагрузка центрального свитча 0,15 0,02

выход из строя центрального свитча 0,46 0,14

перезагрузка роутера регистратуры 0,15 0,01

выход из строя роутера регистратуры 0,04 0,28

перезагрузка роутера орг-метод отдела 0,15 0,69

выход из строя роутера орг-метод отдела 0,04 0,28

перезагрузка сервера "регистратура" 0,23 0,02

выход из строя сервера "регистратура" 0,31 0,24