INNOV.RU | Информационный портал 

Иннов: электронный научный журнал
 

Управление информационными рисками в бизнесе

Information risk management business



УДК 330, 004.9

27.02.17 10:30
4378

Выходные сведения: Киселева И.А., Искаджян С.О. Управление информационными рисками в бизнесе // Иннов: электронный научный журнал, 2017. №1 (30). URL: http://www.innov.ru/science/economy/upravlenie-informatsionnymi-riskami/

Авторы:
Ирина Анатольевна Киселева, доктор экономических наук, профессор, профессор кафедры математических методов в экономике, Российский экономический университет им. Г.В. Плеханова, Москва, Российская Федерация, Kia1962@list.ru

Симон Оганнесович Искаджян, кандидат экономических наук, заместитель заведующего кафедрой экономических наук Ереванского филиала Российского экономического университета им. Г.В. Плеханова, Ереван, Армения, simon_iskajyan@yahoo.com

Authors:
Irina Anatolievna Kiselеva, Plekhanov Russian University of Economics, Moscow, Russian Federation, Kia1962@list.ru

Simon Ogannesovich Iskadzhyan, Yerevan Branch of the Plekhanov Russian University of Economics,Yerevan, Armenia, simon_iskajyan@yahoo.com

Ключевые слова: информационный риск, предпринимательские риски, управление риском, информационная безопасность

Keyword: information risk, business risk, risk management, information security

Аннотация: В данной статье рассматриваются особенности информационных рисков в современной системе предпринимательства. Статья посвящена актуальной теме современности – развитию информационного риск - менеджмента, основная задача которого заключается в управлении рисками, в выборе модели оценки допустимого уровня риска. Управление информационными рисками –сложный и очень важный процесс в деятельности компаний, особенно тех, которые работают с конфиденциальной информацией, с сокрытой информацией или просто с большими объемами информации, когда вероятность ее непредвиденной утечки очень велика. Именно поэтому так важно уметь сократить риски или предотвратить их.

В статье особое внимание уделено информационным рискам как основной составляющей рисков применения различных информационных технологий в предпринимательстве. Информационные риски являются неотъемлемой частью предпринимательских рисков и могут быть проанализированы и оценены с использованием качественных и количественных методов. При анализе информационных рисков используются специальные инструментальные средства, а также рекомендации по проведению анализа информационных рисков. Рассмотренные методы позволяют оценить уровень текущего состояния информационной безопасности предприятия, снизить потенциальные потери, предложить планы защиты от выявленных угроз. Для получения точных удовлетворительных результатов оценки необходимо использовать комплексный подход к оценке рисков на основе уже существующих методик. В статье рассмотрены основные виды информационных рисков, на которые инвестор должен обращать особое внимание, а также некоторые аспекты количественной оценки информационных рисков.

Annotation: This article discusses the features of information risks in the modern enterprise system. The article is devoted to the actual topic of our time - the development of information risk - management, whose main task is to manage risk in the choice of an acceptable level of risk assessment models. Information Risk Management -sulfonic and very important process in companies, especially those who work with confidential information, with hidden information or simply with large volumes of information when the probability of unexpected leakage is very high. That is why it is so important to be able to reduce the risk or prevent them.

The article focuses on the risks of information as a basic component of the risk of a variety of information technology in business. Information risks are an integral part of business risks and can be analyzed and evaluated using qualitative and quantitative methods. In the analysis of information risks using special tools, as well as recommendations for information risks analysis. The above methods allow you to evaluate the level of the current state of enterprise information security, reduce potential losses, to offer protection plans on the identified threats. To obtain accurate satisfactory evaluation must use a comprehensive approach to the assessment of risks based on existing techniques. The article describes the main types of information risks to which the investor must pay particular attention, as well as some aspects of the quantitative estimation of information risks.

Управление информационными рисками в бизнесе

Введение

Жизнь современного человека протекает в тесной связи и под воздействием огромного количества информационных потоков, проникающих во все сферы его существования. Именно обилие общедоступной разнонаправленной информации является основной причиной уплотнения происходящих во времени событий  и усложнения социально-экономических процессов, протекающих в обществе. [1, с. 25].  

В целях контроля и управления как такими процессами, так и самими потоками незащищенной информации, специалисты различных сфер (в первую очередь из различных отраслей экономики и бизнеса разных масштабов, медицины, образовательной сферы, и т.д.) все активнее прибегают к использованию новейших информационных технологий. Особенно сейчас,  в период критической нестабильности мировой экономики, быстрые, понятные, функциональные и – главное – безопасные конечным пользователям системы поддержки, просчета и принятия различных управленческих решений в бизнесе, опирающиеся на последние ИТ-разработки, востребованы как никогда. [3, с. 26].  

Чтобы научиться распознавать и  контролировать информационные риски (ИР), необходимо разобраться в их сущности. В современной литературе определение ИР раскрывается, например, как «опасность несанкционированной  утечки конфиденциальной информации о производственной и финансовой деятельности предприятия, которая может привести бизнес к серьезным финансовым убыткам» [7, с. 45]. При этом важно понимать, что ИР возникают только тогда, когда фирма прибегает к разработке, передаче, хранению и/или использованию информации в практической деятельности через различные информационные носители и другие информационно-коммуникативные средства связи.

В 2012 году «Лаборатория Касперского», ведущая российская компания в сфере противодействия киберугрозам, показала статистику, согласно которой 25% российских организаций подвергались хакерским атакам, каждая 4 при этом достигла своей цели – утечке конфиденциальной информации и более ста миллионов долларов. При этом данные Лаборатории не учитывали денежный ущерб (субъективный показатель, поскольку цену и, соответственно, «пропажу» нематериального актива –информации - объективно просчитать сложно) нанесенный компаниям в результате технических сбоев, выходов из строя неработающих  программных модулей, непосредственных хакерских взломов и распароливаний секретных материалов, а между тем финансовые потери – главный результат «работы» информационных рисков-шоков. Все это указывает на то, что практике просчитать, а тем более предугадать рисковую ситуацию, связанную с «метаморфозами» информационных потоков крайне сложно, но можно.

 

Материалы и методы

Существует обобщенный алгоритм оценки ИР, часто используемый в практической деятельности бизнеса разной величины [11]:

1)                Идентификация рисков

2)                Определение несоответствий законодательству РФ, международным стандартам

3)                Моделирование информационных угроз

4)                Создание «карты» информационных рисков

5)                Количественный просчет рисковых ситуаций

6)                Определение несоответствия допустимым границам ИР

Рассмотрим каждый элемент алгоритма более подробно.

1. Специалисты в области информационной безопасности для того, чтобы выявить информационные риски и предугадать возможные последствия, в основном используют различные методы экспертных опросов: заочный - анкетирование, и очные, более точные: интервьюирование, комиссионный метод, brainshtorm и Delfy. [18, 19, 20, 21, 22].

 

  •    Анкетирование подразумевает анализ заранее заготовленных форм для респондентов, в тексте которых, как правило, находятся шкалированные вопросы, касающиеся рисковых ситуаций;

  •      При интервьюировании респонденту заранее выдаются темы и вопросы, развернутые ответы на которые он должен будет дать в ходе личной беседы с интервьюером (с приведением статистики, графиков и прочих наглядных аргументов);

  •      Когда вопросы, касающиеся ИР, обсуждаются коллективно на Внутреннем (только сотрудники Отдела внутреннего контроля и представители бизнеса) или Внешнем комитете (внутренние сотрудники, представители бизнеса, представители «рискового» поставщика» по работе с рисками, в том числе информационными, речь идет о методе комиссии. Участники встречи по очереди высказываются по теме ИР, а далее методом голосования либо методом единоличного принятия решений инициатором встречи, выносится решение о перечне существующих ИР, способах ухода от них и просчета негативных последствий;

  •      Метод brainshtorm или мозгового штурма функционально похож на метод комиссий: участники встречи по очереди высказываются по теме поднятой проблемы, однако ни одно из мнений не обсуждается до конца встречи; после перечисления существующих мнений создается их единый письменный реестр «minute-table» (чтобы к каждой из идей можно было вернуться позже), а после начинается дискуссия в форме комиссионного метода;

  •      Delfy является усовершенствованным и более объективным методом, выходящим из анкетирования: участники экспертной встречи пишут первичные анкеты, они обрабатываются независимыми специалистам, результаты обработки оглашаются публично. После ознакомления экспертами информации  проводится еще одно анкетирование с тем же набором вопросов столько раз, сколько это необходимо для «оптимизации» разбросов мнений.

После каждого из примененных методов идентификации рисков создается сводная таблица, содержание которой отражает:

 

Риск n1

Риск n2

ID Риска

 

 

Краткое описание

 

 

Сотрудник, идентифицирующий риск

 

 

Бизнес-процесс, в котором участвует сотрудник

 

 

Источник риска

 

 

Вероятность наступления риска

 

 

Оценка значимости риска

 

 

Мероприятия по разрешению рисковой ситуации

 

 

 

2. В настоящее время мировое сообщество разработало множество подходов, а также стандартов по обеспечению информационной безопасности и управлению ИР в бизнесе, самые известные из них [13]:

·                   Международный стандарт ISO/IEC 17799:2000 (BS 7799–1:2000) «Управление информационной безопасностью — Информационные технологии. — Information technology- Information security management» - наиболее известный стандарт в области ИР  (вопросы понятийного аппарата ИР, политики ИБ компаний в отношении кадрового менеджмента, администрирования, внутреннего аудита информационной безопасности и многие другие общие категории);

·                   ISO 27000 – группа интернациональных стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается ISO/IEC JTC 1/SC (требования к системам управления ИБ, управление рисками, метрики и измерения, а также руководство по внедрению);

·                    В России, используются стандарты ГОСТ ИСО/МЭК 17799 и ГОСТ ИСО/МЭК 27001, которые являются техническими переводами ISO 27000, в основе которых лежит британский стандарт BS 7799.

Указанные стандарты фактически последовательно раскрывают оценочные ориентиры в направлении обеспечения ИБ фирм, отступлением от которых они могут лишить себя защищенности в информационном поле при ведении бизнеса.

Однако, для того, чтобы следовать им, фирмам важно понимать, что входит/должно входить в технологию управления ИБ[16;17]:

1) Задокументированная с точки зрения ИБ информационная система фирмы;

2) распределение по профилям  и классификация ИР по категориям;

3) Необходимое ПО, подходящее для управления ИР на всех этапах предполагаемых рисковых ситуаций;

 4) Комплексный и своевременный аудит корпоративной системы ИБ;

5) Доступная и эффективная схема по выявлению и ликвидации последствий ИР.

3. Моделирование информационных угроз – это один из главных этапов управления информационными рисками. Он позволяет определять вероятные (самые худшие) последствия воздействия информационных рисков-шоков на бизнес и оценить/запланировать имеющиеся ресурсы в т.ч. финансовые для их минимизации. [6, с. 9].  Кроме этого моделирование ИР может быть использовано и для анализа причинно-следственных связей между ними, и для выявления самых уязвимых областей, подверженных воздействию внешних угроз.

На стратегическом уровне управления специалисты также огромное внимание уделяют моделированию информационных рисков, поскольку благодаря этому можно прослеживать основные рисковые события и тенденции как внутри компании, так и извне, как на микроуровне, так и на макроуровне. [5, с. 32]. Последние два уровня на 60% состоят из информации открытых источников (пресса, интернет, телевидение, профессиональная литература) и на 40% из внутриагентурной информации и расчетов корпоративных экспертов, научных деятелей, профессиональных статистов.

На основе микро- и макротенденций также базируется управление по «слабым сигналам». Это полученная в результате обработки больших объемов информации (Big Data, интеллектуальная обработка данных) или  инсайдерская информация, которая косвенно в данный момент и прямо в будущем может влиять на бизнес рассматриваемого объекта. Используя информацию «слабых сигналов» можно заблаговременно перестроить свой бизнес или ввести зеркальные меры до наступления рисковой ситуации, это, по сути, является шансом компании для маневра и ее преждевременной адаптации к грядущим негативным событиям. [8, с. 206].  

Примеры: инсайдерская информация о планируемом вводе новых законодательных актов, о слиянии компаний-конкурентов, о грядущей процедуре банкротства партнерской компании и т.д.

4. Формирование карты информационных рисков

При непосредственном выявлении рисков-шоков они все систематизируются и заносятся в определенный перечень – «реестр информационных рисков».[14;15]. После чего каждому ИР присваивается приоритет – самый высокий у наиболее актуального и важного риска, последствия которого будут либо самыми значительными, либо самыми быстрореализуемыми. На практике, сводный проранжированный список ИР специалисты называют «картой информационных рисков» и часто используют в усеченном варианте в анализе/моделировании рисковых ситуаций – это очень наглядно и удобно в использовании. [9, с. 145].

Таблица 1

Пример карты информационных рисков корпорации Х

Рисковый фактор

Событие

Последствие

Мероприятия по предотвращению и ликвидации риска

Проектирование информационной системы

Низкая скорость передачи информации между проектирующими работу сотрудниками, низкое качество входящей/исходящей информации

Просчеты, ошибки расчетов

Перенос сроков реализации проекта, финансовые траты на возмещение причиненного материального ущерба заказчику

Разработка качественной детализации, понятного ТЗ; составление графиков-дедлайнов по каждому этапу процесса планирования; отслеживание качества информации путем привлечения экспертов

Целостность программного обеспечения компании

Мероприятия по проверке работоспособности программных продуктов, недостаточная реализация мер технической защиты

Технические сбои

Срывание сроков создания и архивирования документов, отсутствие систематичного запуска отчетов, простой производства

Применение дублирующих средств информации, наличие в штате квалифицированного системного администратора

Локация оборудования в неправильном месте

Неуместный доступ к информации

Утечка информации, заражение ИТ-систем вирусами, перехват важной информации

Создание положений о размещении и использовании технического оборудования

Отсутствие реестра технических ошибок и сбоев

Систематическая потеря данных, поломки оборудования

Простои производства, отсутствие аргументированных претензий к поставщику дефектного оборудования

Реестр сервисного обслуживания

Единый подход к целостности ИТ-систем

Отсутствие сроков подачи информации, списка ответственных лиц, пользователей ИТ-системами, стандартов хранения информации

отсутствие актуальной информации

Простой бизнеса, невозможность выявить ответственное лицо, хаотичный документооборот

Создание резервных копий и единых учетных реестров

Функционирование ИТ-системы

Отсутствие единой политики по информационной безопасности

Потеря данных, хакерские атаки, использование внутренней информации, шантаж, диверсии

Финансовые траты, потеря доверия клиентов, вложение в восстановление ПО

Формирование единой политики п информационной безопасности, обучение сотрудников ее положениям

Отсутствие регулярного аудита информационных систем

Взломы, хакерские атаки, утечка информации

Снижение информационной безопасности компании

Регулярный аудит информационных систем

Лицензионное ПО

Использование нелицензионного ПО

Технические сбои, ограниченность использования и модернизации ПО

Отсутствие оригинального сервиса программных продуктов, технические сбои, потеря информации

Использование только официальных зарегистрированных поставщиков ПО на контрактной основе

Доступ в ИТ-системы

Возможность анонимного доступа в информационные внутренние ресурсы

Несанкционированный доступ к базам данных и прочих корпоративных сведений

Потеря данных, утечка информации, колоссальные финансовые потери

Мониторинг всех действий, входов в систему, ведение автоматизированного реестра, использование внутренних паролей, ограниченность функционала ПО для разных категорий сотрудников

Доступ в Интернет

Отсутствие качественных антивирусов

Блокировка нужной информации

Технические сбои, незащищенность систем перед внешними угрозами

Использование качественного антивирусного ПО, создание резервных копий документов и баз данных, мониторинг. Ограничение интернет-доступа

Корпоративные правила

Сотрудники не подписывают акт о неразглашении информации

Несанкционированный доступ и разглашение информации

Утечка информации, диверсии

Разработать и обязать к подписанию типовое требование к неразглашению информации

Отсутствие системы информирования об инцидентах, сбоях

Несанкционированный доступ, регулярность технически сбоев

Повторные сбои, неквалифицированные действия персонала по самостоятельному разрешению проблем

Общекорпоративная коммуникация о технических проблемах, ограниченный круг сотрудников,  ответственных за устранение неполадок

 

5. Количественная оценка информационных рисков

Методики количественной оценки ИР используются в случаях, когда из множества возможных выходов из рисковой ситуации, необходимо выбрать оптимальный.[4,с.75]. Все они основываются на структурных и предметноориентирвоанных методах системного анализа и проектирования (SSADM — Structured Systems Analysis and Design). [2, с. 383], [12].

В практической деятельности количественные методы позволяют:

  •      автоматически классифицировать ИР;

  •      быстро формировать модели ИР исходя из безопасности активов;

  •      проводить ранжирование рисков (уровень угроз: очень высокий, высокий, средний, низкий, очень низкий; уровень уязвимости: высокий, средний, низкий, отсутствует)

  •      аргументировать траты на обеспечение информационной безопасности компании;

  •      формализовать и автоматизировать процедуры оценивания и управления рисками.

Наиболее известный подход к количественному просчету ИР – британский метод CRAMM. Его основными целями являются: автоматизация управления ИР, оптимизация финансовых расходов на управление, оптимизация времени на сопровождение систем безопасности компании, поддержка непрерывности бизнеса и др. [10].

Основные этапы методики CRAMM:

1.                «Identification and Valuation of Assets» - приводится перечень активов с их реальной стоимостью

2.                «Threat and Vulnerability Assessment» - выявляются угрозы их уязвимости на предмет ИР

3.                «Risk Analysis» - ведутся математические просчеты конкретных ИР

4.                «Risk management»- предлагаются меры по эскалации рисковой ситуации

6. На основании вышеперечисленного анализа можно определить условные допустимые границы информационных рисков, вычисляемых по формуле:

 где R – численная величина риска реализации угроз ИБ; P угр – вероятность реализации хотя бы одной угрозы из всего перечня актуальных угроз; R n – риск несоответствия требованиям законодательства; С – ценность актива; K o – вероятность использования организационных уязвимостей; K t –вероятность использования технических уязвимостей.

Заключение

Управление информационными рисками – субъективный, сложный и очень важный процесс в деятельности отечественных и зарубежных компаний, особенно тех их них, кто работает с конфиденциальной (банки, биржи, медучреждения) информацией, с сокрытой информацией (оффшоры, военная сфера) или просто с большими объемами информации,  когда вероятность ее непредвиденной утечки очень велика.

Однако уже разработано множество систем и методик по расчету и анализу возможных ИР, которые позволяют оперативно информировать о них бизнес и впоследствии соблюдать главные требования рынка – непрерывность и безопасность экономической деятельности организации.

На наш взгляд, если фирма в направлении информационной безопасности будет иметь «базис»:

  •      Разработанная актуальная и соответствующая требованиям безопасности система управления ИР
  •      Соблюдение персоналом требований ИБ и эскалации ИР

  •      Создание контролирующих органов и комитетов по управлению рисками, в т.ч. информационными

  •      Введение новейших систем безопасности ПО

  •      Регулярное отслеживание и ведение реестра рисковых ситуаций и рисков, угрожающих информационной безопасности компании

то она сможет своевременно избегать кризисные явления, будет меньше подвержена внешним факторам воздействия на свою деятельность и будет развиваться стабильно, независимо от внешней конъюнктуры рынка, а значит, будет на нем конкурентоспособным, сильным игроком.



Библиографический список


1. Власов А. Риск-менеджмент: система управления потенциальными потерями // Бизнес. 2013. № 5. С.25-32.
2. Замула А.А., Одарченко А.С., Дейнеко А.А. Методы оценивания и управления информационными рисками / Прикладная радиоэлектроника, 2009, том 8, № 3. С.382-387.
3. Киселева И.А. Оценка рисков в бизнесе / Консультант директора. 2001. № 15. С. 25-27.
4. Киселева И.А., Симонович Н.Е. Проблемы безопасности и риска с позиции психолога и экономиста – М., Новая реальность, 2016. 148 с.
5.Киселева И.А., Симонович Н.Е. Экономическая и социально-психологическая безопасность предприятия // Национальные интересы: приоритеты и безопасность. 2014. № 5. С. 30-34.
6. Киселева И.А., Симонович Н.Е. Инновационные методы исследования
национальной безопасности // Казанский социально-гуманитарный вестник. 2012. № 3-4 (6). С. 9-10.
7. Киселева И.А. Моделирование рисковых ситуаций. – Учебное пособие / Евразийский открытый институт, М., МЭСИ, 2011. 152 с.
8. Митченко И.А. Методические основы оценки информационных рисков в предпринимательстве / Вестник АГТУ, 2007. № 3(38). С.204-210.
9. Петренко С.А, Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. М. : Академия АйТи : ДМК Пресс, 2008. – 384 с.
10. Медведовский И. Современные методы и средства анализа и контроля рисков информационных систем компаний CRAMM, RiskWatch и ГРИФ. [Электронный ресурс]. URL: http://www.ixbt.com/cm/informationsystem-risks012004.shtml/ 19.02.17
11. Швалев И.С., Чусавитина Г.Н., Давлеткиреева Л.З. Сравнительная характеристика автоматизированных инструментальных средств управления информационными рисками // Современные научные исследования и инновации. – Ноябрь 2012. – № 11 [Электронный ресурс]. URL: http://web.snauka.ru/issues/2012/11/18524 19.02.17

12. Поликарпов А.К. Обзор существующих методов оценки рисков и управления информационной безопасностью – Режим доступа: http://is.isa.ru/PolikOtc.html 19.02.17
13. CNews analytics: «Стандарты ISO/IEC 17799:2002 (BS 7799:2000)»
–URL: http://www.cnews.ru/reviews/free/security2004/standard/index2.shtml 19.02.17
14. Астахов А. Искусство управления информационными рисками. - М.: ДМК Пресс, 2010. -312 с.
15.Лебедева Т.В. Риски. Оценка и управление информационными рисками // Вестник Российского нового университета. Серия: Сложные системы: модели, анализ и управление. 2010. № 3. С. 64-66.
16. Калашников А.О. Модели и методы организационного управления информационными рисками корпораций. М., Институт проблем управления им. В.А. Трапезникова РАН . 2011. 312 с.
17. Соколова И.А. Информационное обеспечение процесса управления рисками // Инновационное развитие экономики. 2016. № 1 (31). С. 88-94.
18.Калашников А.О. Управление информационными рисками организационных систем: общая постановка задачи // Информация и безопасность. 2016. Т. 19. № 1. С. 36-45.
19.Егорова Г.В., Федосеева О.Ю. Управление информационными рисками предприятия // Вестник Волжского университета им. В.Н. Татищева. 2015. № 2 (24). С. 32-36.
20.Юнкерова Ю.И. Экономико-математические методы управления информационными рисками // Петербургский экономический журнал. 2014. № 1. С. 59-64.
21. Шамин Е.А., Генералов И.Г., Завиваев Н.С., Черемухин А.Д. Сущность информатизации, ее цели, субъекты и объекты // Вестник НГИЭИ. 2015. № 11 (54). С. 99-107.
22.Новиков Д.А., Калашников А.О. Управление информационными рисками в инновационной России // Информация и безопасность. 2013. Т. 16. № 3. С. 319-322.


References


1. Vlasov A. Risk-menedzhment: sistema upravleniya potentsial'nymi poteryami Biznes. 2013. no. 5. p.25-32.
2. Zamula A.A., Odarchenko A.S., Deineko A.A. Metody otsenivaniya i upravleniya informatsionnymi riskami / Prikladnaya radioelektronika, 2009, tom 8, no. 3. p.382-387.
3. Kiseleva I.A. Otsenka riskov v biznese / Konsul'tant direktora. 2001. no. 15. p. 25-27.
4. Kiseleva I.A., Simonovich N.E. Problemy bezopasnosti i riska s pozitsii psikhologa i ekonomista – M., Novaya real'nost', 2016, 148 p.
5. Kiseleva I.A., Simonovich N.E. Ekonomicheskaya i sotsial'no-psikhologicheskaya bezopasnost' predpriyatiya / Natsional'nye interesy: prioritety i bezopasnost'. 2014. no. 5. p. 30-34.
6. Kiseleva I.A., Simonovich N.E. Innovatsionnye metody issledovaniya
natsional'noi bezopasnosti // Kazanskii sotsial'no-gumanitarnyi vestnik. 2012. no. 3-4 (6). p. 9-10.
7. Kiseleva I.A. Modelirovanie riskovykh situatsii. – Uchebnoe posobie / Evraziiskii otkrytyi institut, M., MESI, 2011. 152 p.
8. Mitchenko I.A. Metodicheskie osnovy otsenki informatsionnykh riskov v predprinimatel'stve / Vestnik AGTU, 2007. no. 3(38). p.204-210.
9. Petrenko S.A, Simonov S.V. Upravlenie informatsionnymi riskami. Ekonomicheski opravdannaya bezopasnost'. M. : Akademiya AiTi : DMK Press, 2008. – 384 p.
10. Medvedovskii I. Sovremennye metody i sredstva analiza i kontrolya riskov informatsionnykh sistem kompanii CRAMM, RiskWatch i GRIF. [Elektronnyi resurs]. http://www.ixbt.com/cm/informationsystem-risks012004.shtml 19.02.17
11. Shvalev I.S., Chusavitina G.N., Davletkireeva L.Z. Sravnitel'naya kharakteristika avtomatizirovannykh instrumental'nykh sredstv upravleniya informatsionnymi riskami / Sovremennye nauchnye issledovaniya i innovatsii. – Noyabr' 2012. – № 11 [Elektronnyi resurs]. http://web.snauka.ru/issues/2012/11/18524 19.02.17
12. Polikarpov A.K. Obzor sushchestvuyushchikh metodov otsenki riskov i upravleniya informatsionnoi bezopasnost'yu – Rezhim dostupa: http://is.isa.ru/PolikOtc.html 19.02.17
13. CNews analytics: «Standarty ISO/IEC 17799:2002 (BS 7799:2000)»
http://www.cnews.ru/reviews/free/security2004/standard/index2.shtml. 19.02.17
14. Astakhov A. Iskusstvo upravleniya informatsionnymi riskami. - M.: DMK Press, 2010. -312 р.
15.Lebedeva T.V. Riski. Otsenka i upravlenie informatsionnymi riskami // Vestnik Rossiiskogo novogo universiteta. Seriya: Slozhnye sistemy: modeli, analiz i upravlenie. 2010. no.3. Р. 64-66.
16. Kalashnikov A.O. Modeli i metody organizatsionnogo upravleniya informatsionnymi riskami korporatsii. M., Institut problem upravleniya im. V.A. Trapeznikova RAN. 2011. 312 р.
17. Sokolova I.A. Informatsionnoe obespechenie protsessa upravleniya riskami / Innovatsionnoe razvitie ekonomiki. 2016. no.1 (31). Р. 88-94.
18.Kalashnikov A.O. Upravlenie informatsionnymi riskami organizatsionnykh sistem: obshchaya postanovka zadachi / Informatsiya i bezopasnost'. 2016. T. 19. no.1. Р. 36-45.
19.Egorova G.V., Fedoseeva O.Yu. Upravlenie informatsionnymi riskami predpriyatiya / Vestnik Volzhskogo universiteta im. V.N. Tatishcheva. 2015. no. 2 (24). Р. 32-36.
20.Yunkerova Yu.I. Ekonomiko-matematicheskie metody upravleniya informatsionnymi riskami / Peterburgskii ekonomicheskii zhurnal. 2014. no. 1. Р. 59-64.
21.Shamin E.A., Generalov I.G., Zavivaev N.S., Cheremuhin A.D. Sushhnost' informatizacii, ee celi, sub#ekty i ob#ekty Vestnik NGIJeI. 2015. No 11 (54). P. 99-107.
22.Novikov D.A., Kalashnikov A.O. Upravlenie informatsionnymi riskami v innovatsionnoi Rossii / Informatsiya i bezopasnost'. 2013. T. 16. no. 3. Р. 319-322.


  Яндекс.ВиджетINNOV

архив: 2013  2012  2011  1999-2011 новости ИТ гость портала 2013 тема недели 2013 поздравления