автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Модели и методы организационного управления информационными рисками корпораций
Автореферат диссертации по теме "Модели и методы организационного управления информационными рисками корпораций"
На правах рукописи
КАЛАШНИКОВ Андрей Олегович
//
МОДЕЛИ И МЕТОДЫ ОРГАНИЗАЦИОННОГО УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ КОРПОРАЦИЙ
Специальность: 05.13.19 - «Методы и системы защиты
информации, информационная безопасность»
4858703
АВТОРЕФЕРАТ
диссертации на соискание ученой степени доктора технических наук
-ЗНОЯ 2011
Воронеж-2011
4858703
Работа выполнена в Институте проблем управления им. В. А. Трапезникова РАН (г. Москва)
Научный консультант:
член-корреспондент РАН, доктор технических наук, профессор Новиков Дмитрий Александрович
Официальные оппоненты:
Ведущая организация:
доктор технических наук, профессор Попова Лариса Георгиевна;
доктор технических наук, профессор Белоножкин Владимир Иванович;
доктор технических наук, профессор Зарубин Владимир Сергеевич
Институт системного анализа РАН (г. Москва)
Защита состоится «24» ноября 2011 г. в 1330 часов в конференц-зале на заседании диссертацио шого совета Д 212.037.08 ФГБОУ ВПО «Воронежский государственный технический университет» по адресу: 394026, г. Воронеж, Московский просп., 14.
С диссертацией можно ознакомиться в научно-технической библиотеке ФГБОУ ВПО «Воронежский государственный технический университет»
Автореферат разослан « АЬ> /О 2011г.
Ученый секретарь диссертационного совета
£1
Батищев Р.В.
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность проблемы. Приоритетной целью государственной политики на современном этапе является переход на инновационный путь развития страны, который характеризуется интенсивным внедрением и использованием передовых информационных и коммуникационных технологий (ИКТ) в сферах экономики и финансов, промышленности и энергетики, государственного управления и национальной безопасности и многих других.
При этом особая роль, роль своеобразных «локомотивов» в соответствующих отраслях экономики, отводится государственным и коммерческим корпорациям, которые представляют собой территориально-распределенные организации со сложной многоуровневой системой управления. Поэтому именно в корпорациях ИКТ становятся в настоящее время одним из главных инструментов управления и важнейшим средством производства.
Однако активное использование ИКТ в деятельности корпораций приводит к существенному повышению значимости тех рисков, которые с этими технологиями связаны - информационных рисков (ИР), что, в свою очередь, приводит к необходимости поиска эффективных методов управления ими.
С точки зрения роли информационной безопасности (ИБ) в организации все методы управления ИР могут быть условно разделены на две группы: методы организационного управления, где в качестве объекта управления выступает субъект в организации, и методы технологического управления, где в качестве объекта управления выступает объект в организации. К методам первогс типа относят, как правило, административно-процедурные, нормативно-правовые, морально-этические и экономичес ;ие, а к методам второго типа - физич .ские, технические, программные, программно-технические и другие подобные меры и механизмы. И поскольку любая корпорация представляет собой организационную систему (ОС), имеющую определенные цели и решающую определенные задачи, механизмы управления ИР должны являться неотъемлемой частью механизмов корпоративного управления.
Проблемам ИБ и управления ИР посвящены работы таких известных российских ученых и специалистов, как A.M. Астахов, B.C. Артамонов, Ю.М. Батурин, В .А. Герасименко, Г.В. Емельянов, В.И. Завгородний, A.A. За-
царинный, П.Д. Зегжда, A.M. Ивашко, A.C. Кузьмин, В.В. Кульба, А.П. Курило, В.Н. Лопатин, A.A. Малюк, В.Г. Матюхин, В.А. Минаев, A.A. Мол-довян, H.A. Молдовян, А.Г. Остапенко, С.А. Петренко, A.A. Петров, С.П. Расторгуев, C.B. Симонов, C.B. Скрыль, A.B. Старовойтов, A.A. Стрельцов, Д.С. Черешкин и др.
Большой вклад в развитие ИБ внесли также и зарубежные исследователи: Р. Андерсон, С. Бармен, Л. Маккарти, М. Мур, Д. Пикфорд и др.
Теоретико-игровые модели управления ОС (в том числе планирования, стимулирования и страхования) исследовались в работах многих отечественных и зарубежных авторов, среди которых В.Н. Бурков, Ю.Б. Гермейер, А.Ю.
Заложнев, A.A. Иващенко, Н.И. Ильин, В.В. Кульба, В.А. Лефевр, Д.А. Новиков, А.Н. Райков, А.Ю. Силантьев, А.Г. Чхартишвили, A.B. Щепкин, Дж. Ф. Нейман, Е. Maskin, J. Moore, Н. Moulin, R. Myerson, J. Nash и др.
Вместе с тем необходимо отметить, что, несмотря на то, что в большинстве теоретических работ по управлению ИБ декларируется необходимость комплексного подхода, сбалансировано сочетающего в себе как методы организационного, так и методы технологического управления, на практике методам организационного управления уделяется значительно меньше внимания.
С другой стороны, существующие на сегодняшний день результаты исследования моделей и методов корпоративного организационного управления практически не затрагивают проблем управления ИР (в отличие, например, от вопросов промышленной и экологической безопасности, финансовых рисков и т.д.).
Таким образом, можно констатировать, что, несмотря на значительное число публикаций как по механизмам управления ОС, так и проблемам управления ИР, на сегодняшний день отсутствует целостная картина формальных моделей и методов, а также обоснованных ими практических рекомендаций по организационному управлению ИР корпораций. Все это определяет актуальность темы диссертационного исследования, посвященного анализу моделей и синтезу методов (механизмов) эффективного организационного управления ИР корпораций.
Исследования по теме проводились в соответствии с плановой тематикой работ Института проблем управления им. В.А. Трапезникова РАН (ИПУ РАН) в рамках координационных планов научных исследований РАН.
Объектом исследования является система управления ИР.
Предметом исследования являются модели и методы организационного управления ИР корпораций.
Цель и задачи работы. Целью работы является разработка и исследование теоретико-игровых и оптимизационных моделей и методов эффективного организационного управления ИР корпораций.
Реализация поставленной цели предполагает решение следующих основных задач:
1. Анализ целей, функций, процедур и общая постановка задачи повышения эффективности организационного управления ИР корпораций.
2. Разработка и исследование теоретико-игровых и оптимизационных моделей и методов планирования в организационном управлении ИР корпораций.
3. Разработка и исследование теоретико-игровых и оптимизационных моделей и методов стимулирования в организационном управлении ИР корпораций.
4. Разработка и исследование теоретико-игровых и оптимизационных моделей и методов страхования в организационном управлении ИР корпорации.
5. Разработка и исследование оптимизационных моделей и методов контроля в организационном управлении ИР корпорации.
6.Апробация разработанных моделей и методов в практике управления ИР корпораций.
Методы исследования. Основным методом исследования является математическое моделирование, базирующееся на использовании аппарата современной теории управления, в частности, теории игр, теории принятия решений, теории активных систем, исследования операций, а также теории защиты информации и методов аудита и анализа ИР.
Основные положения, выносимые на защиту.
1. Модели организационного управления ИР, учитывающие уровень влияния управляющего органа (центра) на принятие решений управляемыми субъектами (агентами).
2. Комплекс механизмов организационного управления ИР (планирования, стимулирования, страхования, управления ограничениями и нормами деятельности, информационного управления), который может быть успешно использован, чтобы противостоять всем основным типам информационных угроз (ИУ), реализует все базовые типы контрмер и применим для корпораций с различными организационными структурами.
3. Комплекс основных (базовых) механизмов (планирования, стимулирования и страхования), которые образуют необходимый и минимально достаточный набор моделей и методов организационного управления ИР корпораций.
4. Арбитражная схема распределения ресурса, для которой доказано существование и единственность решения специального вида, включая ряд практически важных частных случаев, для которых решение получено в аналитической форме.
5. Решение задачи нахождения минимального суммарного количества распределяемого ресурса, при котором заданное множество агентов получает оптимальное для себя количество ресурса.
6. Решение задачи рефлексивного управления, в рамках которого найдены оптимальные информационные воздействия - стабильные представления о типах оппонентов, которые центру следует сформировать у агентов, чтобы последние сообщили заявки, приводящие к желательному для центра распределению ресурса.
7. Решение задачи синтеза оптимальной системы стимулирования центром агентов на основании соотношения уровня ИР, достигнутого в результате деятельности агента, и уровня допустимого ИР, установленного для этого агента центром.
8. Решение задачи синтеза механизмов страхования, которые могут способствовать увеличению отчислений на проведение предупредительных мероприятий по снижению ИР в условиях ограниченного бюджета.
9. Методы (алгоритмы) контроля эффективности выбранного агентом
при управлении ИР набора контрмер и методы (алгоритмы), позволяющие определять значения базовых контрольных параметров при организационном управлении ИР корпораций.
Научная новизна результатов диссертационного исследования в целом заключается в том, что впервые разработан комплекс моделей и методов эффективного организационного управления ИР корпораций, который может быть успешно использован, чтобы противостоять всем основным классам ИУ, реализует все базовые типы контрмер и применим для корпораций с различными организационными структурами.
Научная новизна полученных при этом отдельных научных результатов состоит в следующем:
1.Для основных классов ОС, учитывающих степень влияния центра и агентов на принимаемые решения, разработаны модели организационного управления ИР, включающие модели ИУ и модели противодействия им (модели контрмер), отличающиеся тем, что могут быть реализованы на базе механизмов управления ОС, относящихся к одному из трех возможных видов: мотивацион-ному, институциональному или информационному.
2. Сформирован набор моделей и методов организационного управления ИР, который, в отличие от известных, может быть успешно использован, чтобы противостоять всем основным типам ИУ, реализует все базовые типы контрмер и применим для корпораций с различными организационными структурами. Из данного набора выделен комплекс основных (базовых) механизмов (планирования, стимулирования и страхования), которые образуют необходи:,1ый и минимально достаточный набор моделей и методов организационного управления ИР корпораций.
3. Для моделей планирования впервые сформулированы и решены задачи анализа и синтеза механизмов распределения ресурса на мероприятия по снижению ИР для корпораций с различными типами структур управления:
— для случая полной информированности управляющего органа (центра) предложена арбитражная схема распределения ресурса, для которой доказано существование и единственность решения специального вида («максимально -стимулирующего» решения) и рассмотрен ряд практически важных частных случаев, для которых данное решение получено в аналитической форме',
-для случая асимметричной информированности, когда у управляемых субъектов (агентов) появляется возможность манипулирования предназначенной для центра информацией, получено решение задачи нахождения минимального суммарного количества распределяемого ресурса, при котором заданное множество агентов получает оптимальное для себя количество ресурса;
— для случая асимметричной информированности, когда центр может влиять лишь на информированность агентов, сформулирована и решена задача рефлексивного управления: найдены оптимальные информационные воздействия - стабильные представления о типах оппонентов, которые центру следует сформировать у агентов, чтобы последние сообщили заявки, приводящие к же-
дательному для центра распределению ресурса.
4. Для моделей стимулирования решена задача синтеза оптимальной системы стимулирования центром агентов, отличающаяся от аналогов учетом соотношения уровня ИР, достигнутого в результате деятельности агента, и уровня допустимого ИР, установленного для этого агента центром.
5. В рамках задач управления ИР для моделей страхования впервые сформулирована и решена задача синтеза механизмов страхования, которые могут способствовать увеличению отчислений на проведение предупредительных мероприятий по снижению ИР в условиях ограниченного бюджета.
6. Предложенные модели контроля отличаются тем, что для них разработаны методы (алгоритмы) контроля эффективности выбранного агентом при управлении ИР набора контрмер и методы (алгоритмы), позволяющие определять значения базовых контрольных параметров при организационном управлении ИР корпораций.
Теоретическая значимость научных результатов работы состоит в разработке комплекса теоретико-игровых и оптимизационных моделей и методов организационного управления ИР, который может быть успешно использован, чтобы противостоять всем основным классам ИУ, реализует все базовые типы контрмер и применим для корпораций с различными организационными структурами.
Практическая значимость работы определяется разработанными и внедренными методическими рекомендациями по построению комплекса эффективных механизмов организационного управления ИР корпораций.
В соответствии с формулой специальности 05.13.19 "Методы и системы защиты информации, информационная безопасность" в диссертации решались задачи организационного управления информационной безопасности. Полученные в диссертации научные результаты соответствуют следующим пунктам области исследования специальности 05.13.19:
- теория и методология обеспечения информационной безопасности и защиты информации (п. 1);
- методы, модели и средства выявления, идентификации и классификации угроз нарушения информационной безопасности объектов различного вида и класса (п. 3);
- анализ рисков нарушения информационной безопасности и уязвимости процессов переработки информации в информационных системах любого вида и области применения (п. 7);
- модели противодействия угрозам нарушения информационной безопасности для любого вида информационных систем (п. 8);
- модели и методы оценки защищенности информации и информационной безопасности объекта (п. 9);
- модели и методы оценки эффективности систем (комплексов) обеспечения информационной безопасности объектов защиты (п. 10);
- модели и методы управления информационной безопасностью (п. 15).
Реализация результатов работы. Полученные в работе результаты использованы при разработке и внедрении систем управления ИР в следующих организациях и предприятиях: Министерство информационных технологий и связи, Федеральное агентство по информационным технологиям, Группа компаний «Информационные бизнес-системы», ООО «ИБС Экспертиза», ЗАО «Орбита», ООО «Проектный институт «Гипроком», а также в учебном процессе ряда вузов, что подтверждено актами и справками о внедрении.
Апробация работы. Основные результаты диссертационной работы докладывались на семинарах ИПУ РАН, МФТИ, МИЭМ, Академии ФСО, ВГТУ, а также на следующих научных конференциях: «Современные проблемы математической экономики» (Вильнюс, 1984), «Методы и средства технической защиты информации» (Обнинск, 2004), «Системные проблемы надежности, качества информационных и электронных технологий. Информационные бизнес-системы» (Сочи, 2004), «Современные сложные системы управления» (Воронеж, 2005; Краснодар, 2005; Тверь, 2008), «Теория активных систем» (Москва, 2005), «Информационная безопасность. Практические подходы» (Москва, 2005), «Проблемы экономики современных промышленных комплексов» (Самара, 2006), «Управление инновациями» (Москва, 2006), «Технологии безопасности» (Москва, 2006), «Информационные бизнес-системы» (Москва, 2009), «Инновации в условиях развития информационно-коммуникационных технологий» (Сочи, 2008, 2009), «Обеспечение информационной безопасности. Региональные аспекты» (Сочи, 2006, 2007, 2008, 2009, 2010), «Инфофорум» (Москва, 20С5,2006, 2007,2008,2009,2010,2011).
Публикации. По теме диссертационного исследования опубликовано 48 научных работ, в том числе 17 - в изданиг<, рекомендованных ВАК РФ, а также 4 монографии и 1 учебное пособие.
В работах, опубликованных в соавторстве и приведенных в конце автореферата, лично соискателю принадлежат: [2] - предложена рефлексивная модель распределения корпоративных ресурсов; [8, 42] - модели тарифно-премиальных систем стимулирования в управлении ИР; [19] - разработаны общие модели и методы управления ИР в ОС; [20] - модели и методы мотиваци-онного управления ИР; [21] - модели и методы управления ИР; [23] - проведен анализ парадокса Аллэ в рамках модели предпочтения, порождаемой квадратичным функционалом; [24, 25, 26] - доказаны теоремы существования и единственности «максимально-стимулирующего» решения для случая игр трех и более лиц; [27, 28] - предложены алгоритмы выбора наиболее эффективных решений с учетом результатов стохастического имитационного моделирования; [29,31] - методика организации проектных работ в области аудита ИБ и оценки ИР; [32,33,34] - механизмы распределения ресурса на мероприятия по обеспечению ИБ корпораций; [39] - модель построения эффективной системы ИБ.
Структура и объем работы. Диссертационная работа состоит из введения, семи глав, заключения, списка литературы и приложения. Работа содержит 347 страниц текста (без приложения), включая 28 рисунков и 16 таблиц. Список
литературы включает 322 наименования. Приложение содержит акты и справки, подтверждающие практическую реализацию и внедрение результатов диссертационного исследования.
ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ
Во введении обоснована актуальность темы диссертационного исследования, определены цель и задачи работы, охарактеризованы используемые методы, описаны структура работы, взаимосвязь и краткое содержание ее разделов.
В первой главе рассмотрены общие вопросы управления ИР корпораций, в частности, обоснована актуальность проводимого исследования, рассмотрены основные понятия и цель организационного управления ИР корпорации: снижение текущего уровня ИР до допустимого.
Рассматривается типовая корпорация, состоящая из управляющей компании и нескольких управляемых ею предприятий. Моделью такой корпорации может служить ОС, состоящая из управляющего органа - центра и управляемых субъектов - агентов, которые осуществляют управление некоторыми объектами. Центр соответствует руководящему органу управляющей компании, агент - руководящему органу управляемой компании, а управляемый объект -производственным и сервисным, в том числе, информационным системам.
Корпорация в соответствии с ее целями и задачами реализует определенные процессы, для поддержания функционирования которых на должном уровне используются различные сервисы, в том числе ИКТ-сервисы, которые реализуются через ИКТ-инфраструктуру. ИКТ-инфраструктура может являться объектом реализации различных ИУ, среди которых, в первую очередь, выделяются внешние и внутренние, объективные и субъективные, случайные и преднамеренные угрозы. Для уменьшения отрицательного воздействия ИУ возможно использование различных контрмер, которые по способам осуществления могут быть разделены на административно-процедурные, нормативно-правовые, морально-этические, экономические и технологические. Состав применяемых контрмер существенным образом зависит от «уровня зрелости»1 корпорации, однако цикл управления ИР, как правило, остается неизменным.
Жизненный цикл организационного управления ИР корпорации состоит из следующих шагов:
1. Центр, в рамках определенной им политики ИБ, устанавливает для каждого агента допустимый уровень ИР, который представляет собой приемлемый, с точки зрения центра, ущерб от реализации возможных ИУ.
2. Для агентов определяются текущие уровни ИР, которые представляют собой ущерб от реализации возможных ИУ до применения каких-либо контр-
1 Здесь под «уровнем зрелости» корпорации подразумевается один из уровней соответствующих моделей Gartner Group, Carnegie Mellon University или стандарта CobiT.
мер, а также уровни остаточных ИР, которые никакими контрмерами не могут быть устранены.
3. Для агентов, текущие уровни ИР которых выше установленных для них допустимых уровней, определяется набор контрмер, необходимый для снижения текущего уровня ИР до допустимого, и необходимый для его реализации объем ресурсов (прежде всего - финансовых).
4. На основании полученной от агентов информации об объемах необходимых им ресурсов (заявках) и имеющихся реальных возможностях центр определяет общий объем ресурсов, выделяемых на мероприятия по снижению ИР (бюджет).
5. После формирования бюджета центр осуществляет его эффективное, в каком-то смысле, распределение между агентами.
6. Получив выделенный объем ресурса, агенты эффективным образом реализуют (полностью или частично) необходимый набор контрмер (из числа определенных на шаге 3), стремясь добиться максимально возможного в заданных условиях снижения текущего уровня ИР.
Затем цикл организационных мер по управлению ИР повторяется.
Содержание ключевых этапов указанного цикла существенно зависит от организационной структуры управления корпорации (см. рисунок).
ключевые этапы цикла организационного управления ИР корпорации
Организм вопияв структур» корпораций Аудит и «лила ИР (этан 2) Формирование заявок агентов (этап 3) Формирование бюджета (этап 4) Распределение бюджета (этап 5)
Бюрократическая «Сильный центр - слабые агенты» Центр (агенты) Центр (агенты) Центр Центр
Переходная «Средний центр -средине агенты» Агенты Агенты Центр Центр
«Слабый неятр-сильные агенты» Агенты Агенты Агенты (Центр) Агенты (Центр)
Связь ключевых этапов цикла организационного управления ИР с организационной структурой корпорации
В работе выделены три типа организационных структур: бюрократическая, переходная и органическая и соответствующие им модели: «сильный центр - слабые агенты», «средний центр - средние агенты» и «слабый центр -сильные агенты».
В корпорациях с бюрократической структурой управления (модель
«сильный центр - слабые агенты») проведение аудита и анализа ИР будет осуществляться централизованно - либо силами головной компании, либо силами специализированной подрядной организации. В этом случае агенты практически лишены возможности влиять на процесс формирования заявки. Формирование бюджета и его распределение также будет осуществляться центром. Иными словами, агенты фактически делегируют полномочия по распределению ресурса центру, который выступает в роли своеобразного арбитра.
Для корпораций с переходной струюурой управления (модель «средний центр - средние агенты») характерна значительно большая самостоятельность подразделений, и можно предполагать, что вопросы проведения аудита и анализа ИР, а следовательно, и формирования заявки будут решаться ими самостоятельно. Однако вопросы формирования бюджета и его последующего распределения, по-прежнему, будут является прерогативой центра. Данное обстоятельство дает агенту возможность путем изменения объема заявки попытаться добиться от центра большего количества ресурса, иными словами, попытаться манипулировать центром.
Для корпораций с органической структурой управления (модель «слабый центр - сильные агенты») характерны не только самостоятельность агентов в части формирования своих заявок, но и их активное участие в формировании бюджета и его последующем распределении. В этом случае для достижения конкретным агентом своих целей большое значение приобретает его информированность о целях других агентов, в том числе их предположения относительно его собственных интересов. Возникающая иерархия представлений агентов друг о друге требует применения соответствующих (рефлексивных) механизмов управление.
Вторая глава посвящена анализу моделей управления ИР ОС, относящихся к различным классам. Управление ОС, понимаемое как воздействие на управляемую систему с целью обеспечения требуемого ее поведения, может затрагивать состав и структуру системы, а также множества допустимых действий, предпочтений и информированности участников. Полагая, что в процессе организационного управления ИР состав и структура системы остаются неизменными, выделяются следующие методы управления, на которых будет строиться система организационного управления ИР:
- мотивационное управление (управление предпочтениями и интересами);
- институциональное управление (управление ограничениями и нормами деятельности);
- информационное управление (управление информацией, которой обладают участники на момент принятия решения).
Далее в работе проводится анализ различных моделей ОС (базовой, автономных и взаимодействующих), для каждой из которых:
1) строится соответствующая ей модель основных классов ИУ;
2) на основании модели ИУ выбирается набор контрмер;
3) из механизмов организационного управления, относящихся к мотива-ционному, институциональному и информационному методам, выбираются механизмы, с помощью которых выбранные контрмеры могут быть реализованы;
4) при выборе механизмов организационного управления учитываются возможные для данной модели ОС структуры организационного управления;
5) на основании предыдущего анализа для рассматриваемой модели ОС строится модель управления ИР.
Обобщенные результаты представлены в табл. 1 и 2.
Таблица 1 Взаимосвязь между контрмерами и используемыми для их реализации механизмами управления ОС
Таблица 2
Взаимосвязь между основными классами ИУ и механизмами, используемыми для противодействия им
Контрмеры
Механизмы 2 а т с. С 5? Ш Экономические = х г 1 г! X с. Г 2 1 1 Е-
Мотивацнонное управление Распределения ресурсов &
Стимулирования & &
Страхования ★
* X 5 = II к Управления ограничениями деятельности ★
Управления нормами деятельности
п ¡1 18 Р X Информационного противоборства £
Угрозы
Естест- Искусственные
венные Случ. Предн.
Механизмы Внешние Внутренние т X | со X со X т
Распределения ресурсов А А * ■к *
ч I1 Стимулирования ★ А *
Страхования А А А
1| || Управ, »ення ограничениями деятельности
I1 я Управления нормами деятельности
I и §5 II 1= я Информационного противоборства * й
Здесь «темная звездочка» означает, что данный механизм полностью подходит для реализации контрмер или отражения ИУ, а «светлая звездочка» означает, что механизм подходит лишь частично.
Анализ результатов, приведенных в табл. 1 и 2, позволяет сделать следующие выводы: во-первых, предлагаемый для управления ИР набор механиз-
мов организационного управления (включающий механизмы планирования, стимулирования, страхования, управления нормами и ограничениями деятельности и информационного управления) является полным в том смысле, что целиком покрывает как множество потенциально возможных ИУ, так и множество всех основных типов контрмер. При этом конкретный вид механизма может существенно зависеть от того, кто его применяет (центр или агент) и в рамках какой модели; во-вторых, механизмы мотивационного управления: планирования {распределения ресурса), стимулирования и страхования в той или иной степени могут быть использованы как для реализации всех типов контрмер, так и для противодействия всем основным типам ИУ.
В этом смысле набор, включающий механизмы планирования, стимулирования и страхования, можно считать необходимым и минимально достаточным. Необходимость определяется тем (см. табл. 2), что исключение любого из указанных механизмов приводит к невозможности отражения всех основных типов угроз. Минимальная достаточность определяется тем (см. табл. 1), что указанный набор механизмов позволяет в той или иной степени реализовать все основные типы контрмер без использования механизмов управления иных типов.
С этой точки зрения можно считать, что набор механизмов, включающий механизмы планирования, стимулирования и страхования, представляет собой группу основных (или базовых), а механизмы управления ограничениями и нормами деятельности, а также механизмы информационного управления представляют собой груп. у вспомогательных механизмов организационного управления ИР.
Третья глава посвящена вопросам использования механизмов планирования (распределения ресурса) в управлении ИР корпораций.
Рассматривается ОС, состоящая из центра и агентов а/, где
/£N={1,2.....п}. Формализованный цикл организационного управления ИР
может иметь следующий вид:
1. Центр устанавливает для агентов а, допустимые уровни ИР р'> О,
/еМ
2. Центром (или агентами) проводится оценка текущего уровня ИР р,° и уровня остаточного ИР рГ,' б N.
3. Агенты сообщают значения {р,°, рГ, / б Щ центру.
Для всех агентов ке№ рк° > рк (остальные агенты на данном цикле управления не рассматриваются) центр (или агент) определяет количество ресурса Ьк> 0, необходимое агенту для снижения текущего уровня ИР р° до допустимого уровня рк - заявку ¿-го агента.
4. На основании вектора заявок Ь = (6,,..., Ь„) центр выделяет определенное количество ресурса X = Х(Ъ). Предполагается, что £"=1 Ь{ > Х(Ь), т.е. имеет место дефицит ресурса.
5. Центр в соответствии с определенным правилом распределяет ресурс X
между агентами: л'(Х) = (л'(Х),..., л„'{Х)), где ж,'(Х) > О - объем ресурса, выделенный /-му агенту. При этом n¡ < X(b).
6. Агенты максимально эффективно реализуют полученный ресурс, после чего цикл организационного управления ИР повторяется.
Пусть Я(Л) - W*) = (*,(*), ..., лп(Х)): л,(Х)> 0, ieN. X > IU^iW) ~ множество допустимых распределений ресурса .У, между агентами и к, - ресурс, который затрачивается на реализацию контрмер для снижения ИР p¡, ieN.
Риск р, рассматривается как функция от л: р, = р,(п), обладающая следующими свойствами:
Cl: V (я-,,..., тг„): щ > 0 => р,(щ,..., к„) > 0, ieN.
С2:р,(0,..., 0) =р/°>0, ieN.
СЗ: V яг'= (яг,1,..., тгД я2= (я-,2, ..., ят„2): л- > л} => р,{к) < р,{к \ ieN, причем, если 3 ке№л1> лк2 => pk{nv) < рк(л).
Из С1 - СЗ следует
С4: VjeN 3 р"> 0: V (тгь ..., лп) => фи ..., тг„) >
Предполагается, что для агентов, участвующих в распределении ресурса, выполнено соотношение 0 <рГ <р' <р,°.
В соответствие с определенной выше целью организационного управления ИР задачей центра является равномерное (максиминное) снижение текущих ИР агентов до допустимого уровня. Если конкретный вид функций риска всех агентов известен, то оптимальное распределение ресурса может быть найдено кат решение следующей задачи:
тах.-ед, Pí<ji(X)) -> min. (1)
Однако, как правило, конкретный вид функций риска центру не известен и решение задачи (1) существенно усложняется.
Утверждение 3-1} Пусть />,{•) удовлетворяют Cl - С4 и 3 л\Х) е Я{Х)\ х = ЕГ=1 п}{Х) и для V ieN: р{лх\Х),..„ к,?(Х)) =р => л\Х) - единственное решение задачи (1).
Утверждение показывает, что проблема решения задачи (1) в случае, когда вид функций риска не известен, с точки зрения центра, может быть сведена к задаче поиска распределения ресурса, приводящего к максимально возможному выравниванию уровней ИР агентов на данном цикле организационного управления. Само решение при этом должно представлять собой единое для всех циклов управления правило распределения ресурса (организационный механизм управления ИР), зависящее от заявок агентов и типа структуры управления корпорацией. При этом из свойств функции риска и условий утверждения 3-1 следует, что искомый механизм должен обладать следующими свойствами: во-первых, центр должен распределять весь ресурс, во-вторых, агентам с более высоким уровнем ИР должно выделяться большее количество ресурса.
Далее рассматривается постановка и анализ задачи планирования в случае полной информированности центра, который соответствует модели «силь-
1 Здесь и далее используется нумерация утверждений, принятая в диссертационном исследовании.
12
ный центр - слабые агенты» (см. характеристику модели выше).
Вводится понятие функции бюджета центра X = Х(Ь) и предполагается, что она обладает следующими свойствам:
С5:Д0, ...,0) = 0.
С6: Х(Ь) - непрерывна и строго монотонно возрастает по Ь\,..., Ь„.
С7: если <Р= {р\, ...,р„} — класс всех перестановок элементов множества N. то V (рь ...,р„) е <р=> Х(Ьи ..., Ьп) = Х(Ьр1.....Ьрп).
Решение задачи распределения ресурса ищется в виде «хорошего» правила, задаваемого некоторыми «разумными», с точки зрения центра, требованиями (аксиомами). Данный подход поиска решения путем предварительного задания его желаемых свойств носит название «аксиоматического».
Вводится обозначение ^(Х) = {л(Х) - [л\{Х).....ж„\Х))} с ЩХ) - класс
«хороших» правил распределения ресурса (дележей) и формулируется (с учетом ранее высказанных замечаний о свойствах решения) ряд «разумных», с точки зрения центра, требований, которым должны удовлетворять дележи из этого класса:
Т1 (оптимальность по Парето): V к(Х) е => X = 2"=1
Т2 (монотонность): пусть бюджеты X) и Х2, такие, что Х\ > Х2, тогда V л'(Х) = (тгГсО, л„'(Х))е ^(Х) щ'(Х1)>л'(Х2), ¿еЛГ, причем 3 jeN :
ТЗ (паритетность, анонимность): пусть (р\.....р„) е <Р и Ьр1°> Ьр2°> ...
>Ьрп°, тогда V (*,'(*), ..., ;гД*)) е . ¿(X) => лр'(Х) > пр2(Х) > ... > ттрп\Х).
Утверждение 3-2. Если 3?(X) удовлетворяет Т1-ТЗ, то не пуст.
Непустота класса «хороших: дележей показывает, что решен. 1е задачи распределения ресурса, удовлетворяющее Т1 - ТЗ, существует, однако при этом возникает вопрос о нахождении среди них наиболее эффективных с точки зрения скорейшего снижения уровня ИР.
Далее рассматривается формальная постановка задачи поиска оптимального распределения ресурса на основе аксиоматического подхода.
Пусть задано точечно-множественное отображение Я- ® —► 21, где (В- п-мерный конус, V- «-мерное пространство и V = (уь ..., у„) - элемент множества V, иначе, каждой точке бе® ставится в соответствие множество ДА) с V. Множество агентов рассматривается в качестве игроков игры 1{Ь), в которой заявка Ь, интерпретируется как «вклад» агента / в игру Т(Ь), а и-мерное пространство ДА) — как совокупность всех допустимых исходов игры <1{Ь) при векторе вложений Ь. Элементы V/ вектора V е ДА) интерпретируются как «выигрыш» агента /', который соответствует получаемому им ресурсу. Само множество Д6) в рамках исследуемой модели формируется следующим образом: Д6) = {V = (V,, ..., V,,) е V: V,> 0, / бЛГ, Х(Ь) > £?=1 щ).
Вводится понятие общей арбитражной схемы, целью использования которой является нахождение единого правила, определяющего для каждого век-
тора Ь е Ф решение игры 1{Ь), представленной множеством Я(Ь). Данное правило должно задаваться селектором точечно-множественного отображения Я, то есть некоторым отображением гг. <В —► V, таким, что для любого Ь е <В: я(6) е ЛЬ).
Для применения общей арбитражной схемы необходимо выполнение следующих условий:
У1:(0.....0)сД0,...,0).
У2: Я(Ь) - компактно для любого Ь е <В.
Пусть .Д-замыкание множества Я, 8(Я) - граница множества Я, V* = {V = (V,, ..., у„) е V | V, > 0, /еЩ, = {г = (у„ ..., у„) е V \ у, > 0, / еЩ, ?0(6) = 5(Л(6))П У+°.
УЗ: для V Ъ е В => ?((Ь) «охватывает» точку (0,..., 0) в К. Пусть П(6) - множество всех оптимальных по Парето точек Я(Ь). У4: для V Ъ е «=> %[Ь) с П(6). У5: для V векторов Ь\>Ь2=> Я{Ь2) с Я{Ь{).
Показано, что в рамках рассматриваемой модели условия У1 - У5 выполнены и общая арбитражная схема применима.
Далее, вводятся аксиомы, аналогичные введенным ранее требованиям Т1
- ТЗ, которым должен удовлетворять искомый селектор:
А1 (оптимальность по Парето): V Ъ е <В => л{Ь) е П(Ь). А2 (монотонность): для V векторов Ь\>Ь2=> НЬ\) > т^Ь2), иначе п, (6,)> п,(62), /еМ
Пусть пространство <В разбито на непересекающиеся подпространства {Ь = {Ьь ..., Ь„) е <В\Ьр]> Ьр2> ... > Ьрп} и & = ПрВр = {Ь ЕЪ\Ьр1 = Ър2 = = Ьрп}, а пространство V разбито на непересекающиеся подпространства = (VI, V,,) б У\ гр}>ур2> ... > ур„} и О = ПрКр = [V е У\гр1 = vp2 =
- = V)-
АЗ (паритетность): для V Ъ е <Вр => пр}(Ь) > жр2(Ъ) > ...> кр„{Ь), причем, если Ъ б й, то п{Ь) е й.
Утверждение 3-3. Класс £ всех отображений тс: <В -* V, являющихся селектором Я(Ь) и удовлетворяющих А1 - АЗ, не пуст.
Определение 1. к (Ъ) - максимально-стимулирующий селектор (МС-селектор)если:
1. я'(Ь) е (Г.
2. если ЬеЩ,, то л'р1(Ь) = яф„(Цбв1гр1(Ь), п'р2(Ь) = *ир„фтр1 пр2(Ь) ,
- . Прп-1(Ь) = ^Ртгсь)ев:р1р2...гп.г ЛрП-1{Ь),
гдеС ^...Дя-рь лрг...,х'р,) = {л- б С | = = тг'Д^).....
тгДб) =яя{6)}, (= 1.....и-2.
Утверждение 3-5 (о существовании и единственности МС-селектора). Пусть класс С не пуст и для V Ь е <8 для ДЬ) выполнены свойства У1 - У5 =>
для V Ь е <Вр 3 единственный МС-селекгор.
Данное утверждение подтверждает возможность организации управления ИР на основе «хорошего» правила распределения ресурса между агентами в соответствии с их заявками, в рамках которого последовательно снижается сначала максимальный ИР, затем следующий по значимости, причем для снижения более значимого ИР выделяется большее количество ресурса, что в итоге приводит к постепенному выравниванию ИР для всех агентов.
Далее в работе рассмотрены несколько практически важных частных случаев, для которых возможно указать конкретный вид МС-селектора, что является существенным для практической реализации предложенного механизма организационного управления ИР.
Пусть функция бюджета имеет вид Х(Ь) = Х(Ьх+...+Ь^), причем Д0) = 0;
ЭХ(Ь1+...+ьп) > ^ очевидно, что свойства С5 - С7 выполнены. Пусть для
дЪк
простоты Ь е в (1, ...,„)•
Утверждение 3-6. Пусть функция бюджета выпукла, тогда МС-селектор имеет вид:
Утверждение 3-7. Пусть функция бюджета вогнута, тогда МС-селектор имеет вид:
ЖЫ = ^(пЬО;
/да = Ьс + (.п-(к- 1Ш) - ^ЯЯ
к = 2,..., п.
Утверждение 3-8. Пусть функция бюджета линейна, тогда МС-селектор имеет вид //* (6) = а Ьк, кеЫ и а > 0.
Во многих задачах распределения ресурса в качестве «хорошего» выбирается пропорциональное решение. Вводится формальное определение пропорционального селектора.
Определение 2. Селектор <р отображения Я(Ь) называется пропорциональным селектором (П-селекгором), если для V Ь е
1. ф) е П(Ь), иначе: <р^Ь) = Х(Ьи..., Ь„);
2.<рк(Ь) = ^.....МцГ^.*^
Несложно показать, что в общем случае П-селектор не является монотонным. В этой связи становится актуальным вопрос об условиях монотонности П-селекгора и его соотношении с МС-селектором, ответ на который дают следующие утверждения.
Пусть М(Ьг.....Ьп) = Х(Ьи... Ь„)
Утверждение 3-9. Пусть М{Ьи-А.): ам > 0, к е ф) е С.
Утверждение 3-10. Пусть функция бюджета Х(Ь) = Х(Ь\+...+Ь„), причем ДО) = 0; > О, = о, * е N => МС-селектор совпадает с П-
дЬь до£
селектором.
Проведенный анализ показывает, что популярное «пропорциональное» решение далеко не всегда является «хорошим» с точки зрения естественных требований Т1 — ТЗ, предъявляемых к единому правилу распределения ресурса в рамках организационного управления ИР. Однако, если центр принимает директивное решение о том, что на каждом цикле управления бюджет будет линейно зависеть от суммы заявок всех агентов, то в рамках требований Т1 - ТЗ именно пропорциональное решение становится наиболее эффективным. В этом случае политика центра по формированию бюджета и его распределению становится наиболее простой. На практике этот вариант поведения центра встречается довольно часто, что дает возможность построения достаточно простых методик организационного управления ИР.
Далее в третьей главе рассматривается постановка и анализ задачи планирования в случае асимметричной информированности для модели «средний центр - средние агенты» (см. характеристику модели выше).
Вводятся обозначения3: /,(х„ г,) - целевые функции агентов, л, > 0 - количество выделяемого /-му агенту ресурса, Г/ > 0 - его тип (оптимальное для него количество ресурса) и предполагается, что/,(х„ •) - однопиковая функция с точкой пика г,(Л) - зависимость точки пика /-го агента от количества распределяемого ресурса Л, / е N.
Задачей центра является распределение ресурса Я на основании заявок агентов з,- е [0; Л], / е N. Прлнцип принятия решений центром х, = я;(.г), » е Л^ где 5 = (51,.... $„), называется механизмом (процедурой) планирования, относительно свойств которого предполагается:
С8: тг,(5) непрерывна и строго монотонно возрастает по 5/, / е N
С9: 0, = 0 V 5., е [0; Л]"'1, / е N
СЮ: механизм распределения ресурса анонимен, то есть произвольная перестановка номеров агентов приводит к соответствующей перестановке количеств получаемых ими ресурсов.
СИ: 7Г,(5, Л) непрерывна и строго монотонно возрастает по Я, / е Л^
С12: /-,(•) - непрерывная монотонно возрастающая вогнутая функция;
С13: упорядочение агентов по точкам пика не зависит от количества распределяемого ресурса.
Рассматривается следующая анонимная процедура пропорционального распределения ресурса (из теории активных систем известно, что ей эквивалентна любая анонимная процедура, удовлетворяющая свойствам С8 - С11):
1В настоящей работе при разработке и исследовании моделей организационного управления ИР корпораций используются подходы теории принятия решений, теории игр и теории активных систем, вкиочая следование сложившейся в той или иной области системе обозначений, что, правда, приводит иногда к тому, что в различных разделах схожие переменные обозначаются по-разному.
rs¡, ест YJj^Sj < R;
Л{ ~ (min {s¡, Rsi/U}=1sj},eели Z"=i Sj > R.
Агенты упорядочиваются (путем перенумерации) в порядке возрастания требуемого им количества ресурса. Решение обратной задачи (поиска Rk - минимального количества ресурса, при котором первые к агентов являются «диктаторами», т.е. получают оптимальное для себя количество ресурса) дается следующим утверждением.
Утверждение 3-11. Пусть выполнены С8 - С13 => 3 единственное решение, где Rk определяется как решение следующего уравнения: Rk = I?=1 ЦШ + rk(Rk)(n -kike N.
Аналогичный результат получен в диссертационном исследовании и для «многомерной» модели, в которой предпочтения агентов несепарабельны, т.е. каждый из них заинтересован в выделении определенного количества ресурса каждому из своих коллег (оппонентов).
В заключение рассматривается постановка и анализ задачи планирования в случае использования механизмов рефлексивного управления, которая соответствует модели «слабый центр - сильные агенты» (см. характеристику модели выше). Вводятся обозначения: а- произвольная последовательность индексов из Nvj0, Е-множество всевозможных таких последовательностей, г„ -представления <т-агента о .том количестве ресурса, которое необходимо /-му агенту. Например, если a =j к, то r„ = rjtl - представления j-го агента о том, что &-ый агент думает о количестве ресурса, которое необходимо /-му агенту.
Пусть функцией наблюдения каждого агента является вектор ресурсов х', получаемых всеми агентгми, но агенты не наблюдают заявок оппонентов. Следующее утверждение дает ответ на вопрос, при каких взаимных представлениях агентов вектор s такой, что х = ti(s ), является равновесным (заявки s образуют стабильное информационное равновесие).
Утверждение 3-13. Если наблюдаемыми являются количества ресурса, то представления агентов о типах оппонентов: ra¡ > х', а е Z, i* j,j s N- являются стабильными.
Пусть теперь функцией наблюдения каждого агента является вектор действий оппонентов (заявок, сообщенных агентами центру) и агенты наблюдают количества ресурса, получаемые оппонентами.
Утверждение 3-14. Если наблюдаемыми являются заявки агентов, то представления агентов о типах оппонентов: raJ = х', ere Z,j е P(s') \ {/'}, i е N, гa¡ >х] , ere L,j е N\(P(s') <-»{/}), i € N, где P(s') = {/ e N¡s,'< R} -множество тех агентов, которые точно являются «диктаторами» - являются стабильными.
Пусть Дг, - априори существующий и известный центру диапазон представлений о^агента об идеальной точке /'-го агента, ст е Z, i е N и x°(R) - п-мерный вектор распределения ресурса R между агентами.
Предполагается, что целью центра является распределение ресурса, ми-
нимизирующее отклонение от x°(R), т.е., если s\l) - информационное равновесие (/-структура информированности), то задача рефлексивного управления имеет вид £?=1|х?(й)-ïr((s*(0)| min,.rff(en<T(.
Центру необходимо сформировать у агентов структуру информированности, не противоречащую их исходным представлениям {¿2а1}, при которой распределение ресурса в соответствии с заявками, образующими информационное равновесие игры агентов, является наиболее эффективным с его точки зрения.
Вводятся следующие предположения: вектор типов агентов достоверно известен центру, л > 2, г, < Я, / б N и глубина структур информированности ограничивается значением два.
Идеальная точка /-го агента г, в соответствии с введенными предположениями известна центру. Если Д., = [0; Я], а е Е, i е N, то есть агенту ничего не известно о типах оппонентов, то центр может сформировать у него любую структуру информированности глубины два. Достаточно ограничиться такими структурами информированности, в которых агент считает, что существует общее знание на нижнем (третьем) уровне, при этом, в частности, rajk = rat, i, j, k*ieN.
Двумя «крайностями» является то, что агент считает, что его оппоненты считают (и этот факт является субъективным общим знанием), что всем необходимо либо минимально возможное (нулевое), либо максимально возможное количество ресурса (весь имеющийся ресурс). В силу непрерывности механизма распределения ресурса любой промежуточный случай также может быть реализован.
В первом случае все агенты, с точки зрения i-го, должны сообщить нулевые заявки, тогда ему следует сообщать достоверную информацию. Во втором случае агенту следует сообщать
Si(R. П) = R min{(n - 1 )rt/R - n ; 1}, / е N.
Утверждение 3-15. Если Qai = [0; R], а е Е, i е N, то задача рефлексивного управления имеет вид:
2"=1 к?(й)- Rsi/Tj^sj] ~> minSie[r(.S(+(Rrj)]ieN.
В четвертой главе рассматриваются вопросы использования механизмов стимулирования в управлении ИР корпораций.
В соответствие с циклом организационного управления ИР центр устанавливает для агентов уровень допустимого ИР pi. Далее, центр на основании заявки Ь, выделяет агенту ресурс х,. Агент, в свою очередь, осуществляя некоторые действия yi по снижению уровня ИР и неся при этом затраты с,(у„ bi), достигает текущего уровня ИР р,. Если р,' - pi = Д/ > О4, то образовавшаяся положительная разница может рассматриваться центром как некоторая
' Если р' -р = Д < 0, то образовавшаяся отрицательная разница может рассматриваться центрам как понесенный дополнительный ущерб, ответственность за который может быть (полностью или частично) возложена центром на агента в виде штрафа. Для компенсации дополнительного ущерба можно использовать механихиы страхования, которые будут подробно рассмотрены в пятой главе.
дополнительная прибыль и использоваться (полностью или частично) в качестве премиального фонда для поощрения агента щ. Механизмы, используемые при решении подобных задач, относятся к классу механизмов стимулирования.
Получаемый агентом от центра ресурс («финансирование» агента) складывается из «обязательного» х„ зависящего от заявки агента, и «премиального» щ, зависящего от деятельности агента (в общем случае и от деятельности других агентов), и таким образом, данная задача может рассматриваться в рамках построения эффективных механизмов стимулирования, относящихся к тарифно-премиальным системам.
Рассматриваются л-агентная ОС, в которой деятельность /-го агента, характеризуемого типом г( > 0, описывается скалярным действием у, > 0, «обязательная» составляющая финансирования агента t{ri), фонд «премирования» агентов - R > 0s, / е N.
Вводятся предположения:
П1:для функции затрат /-го агента с,{у„ г,) выполнено > о,
Эу(
afcjbw) dcdy,.r,) ^ 0[[ д2а(У1.Г1)
ду(2 ' dr, drfiyi '
П2: для типов агентов выполнено г, < г2 <... < г„.
Вводятся обозначения: у = (у\,у2, —,у„) е 9?" - вектор действий агентов, Н(у) - функция дохода центра, г = (г,, г2,..., г„) - вектор типов агентов, ¿г,(у), / е N — «премиальная» составляющая финансирования /-го агента и 'My) = (rtiCv). яг(у),..., л„(у)) - вектор-функция премиального стимулирования. Вводится ограничение резервной полезности «(•), которое определяет минимальное значение целевой функции are; та (в зависимости от его типа), которое должно быть ему обеспечено, т.е. 11(77) - резервная полезность /-го агента, / е N. Финансирование /-го агента, складывающееся из «обязательной» и «премиальной» составляющих, имеет вид а,(у, г,) = t(r) + щ(у), / е N.
Целевая функция /-го агента имеет вид:
М Ъ('), 'В п) = t(n) + я,(у) - с,(у„ г,), i е N.
Целевая функция центра имеет вид:
Ф(У. *(•).*(•). г) = Н(у) - Z?=1jr,(y) - 2?=1t(n).
Пусть:
• Р(г, я(-)) - множество равновесий Нэша игры агентов при заданной тарифно-премиальной системе стимулирования;
• S(r,R) = {тг(-) | Vy е Р(г,тг(0) | ЕГ=1п'¡(у) < R) - множество премиальных систем стимулирования, таких, что для любого соответствующего равновесного вектора действий агентов суммарное премиальное стимулирование не превышает премиального фонда;
• U{r, я(-), /(•)) = {у е 11(г,)+л,(у) - с,(у„ г,) > u(r,), / е N} - множество
1 Здесь, как и ранее, будет использована система обозначений, принятая при исследовании механизмов стимулирования, где тип агента Г, соответствует заявке агента а обязательная составляющая финансирования 1(г,) - ресурсу хи выделяемому агенту центром.
векторов действий агентов, при которых значения их целевых функций удовлетворяют ограничениям резервной полезности.
Эффективность тарифно-премиальной системы стимулирования определяется как гарантированное значение целевой функции центра на множестве решений игры агентов:
Общая постановка задачи синтеза оптимальной тарифно-премиальной системы стимулирования имеет вид:
,г) тахл(.)е5(г.Я)|С(.),дго , (3)
т.е. требуется найти оптимальные с точки зрения критерия эффективности (2) «обязательное» финансирование *(•), премиальный фонд Я и правило его распределения (премиальную систему стимулирования я(-)), которые обеспечивали бы всем агентам в равновесии заданную резервную полезность.
В работе проводится решение задачи (3) для различных классов тарифно-премиальных систем стимулирования: компенсаторных (утверждения 4-1 и 42), линейных (утверждения 4-4 и 4-5), аккордных (утверждения 4-8 и 4-9) и бригадных (утверждение 4-9).
Таблица 3
Сравнительная эффективность тарифно-премиальных систем стимулирования _
Компенсаторная Линейная Аккордная Бригадная
Компенсаторная утв. 4-1,4-2 £ утв. 4-1,4-2, 4-5 £ утв. 4-1, 4-2, 4-8 £ утв. 4-1, 4-2, 4-9
Линейная £ утв. 4-5 утв. 4-4,4-5 7 утв. 4-5, 4-8 9 утв. 4-5, 4-9
Аккордная £ утв. 4-1,4-2,4-8 ? утв. 4-5,4-8 утв. 4-8 9 утв. 4-8, 4-9
Бригадная утв. 4-1,4-2,4-9 9 утв. 4-5,4-9 ? утв. 4-8, 4-9 утв. 4-9
Сводка результатов анализа сравнительной эффективности указанных систем представлена в табл. 3, в которой на пересечении строки и столбца указано соотношение между эффективностями соответствующих систем стимулирования и приведены номера обосновывающих данное соотношение утверждений.
Символ «>» («<») в ячейке означает, что эффективность системы стимулирования, соответствующей строке, всегда не ниже (не выше) эффективности
20
системы стимулирования, соответствующей столбцу. Символ «?» означает, что в каждом конкретном случае сравнительная эффективность может быть оценена на основании перечисленных утверждений.
Утверждение 4-10. Сравнительная эффективность тарифно-премиальной системы стимулирования не возрастает с ростом резервной полезности.
В пятой главе исследуются вопросы использования механизмов страхования в управлении ИР корпораций.
Использование механизмов страхования, как правило, не способствует снижению уровня корпоративного ИР, поскольку, с одной стороны, отнимает ресурс, который мог бы быть потрачен на эти цели, а с другой, порождает у корпорации чувство ложной защищенности, поскольку финансовая составляющая ущерба от реализации ИУ, компенсируемая страхованием, зачастую является далеко не самой значимой. Поэтому в рамках комплексного подхода к проблеме организационного управления ИР, реализуемого в данной работе, были исследованы условия, при которых механизмы страхования могут способствовать увеличению отчислений на предупредительные мероприятия, то есть играть предупредительную роль.
При исследовании моделей взаимодействия страховщика с одним страхователем, как правило, полагают, что деятельность страхователя описывается его действием и > 0 и суммой у > 0, затрачиваемой страхователем на предупредительные мероприятия, на которые иных ограничений не накладывается. От действий страхователя и зависит его доход Щи), затраты г(и) и вероятность наступления страхового случая р(\\ и), причем последняя величина зависит также и от объема средств у. Ущерб страхователя от наступления страхового случая IV обычно полагается постоянным, не зависящим ни от действий страхователя, ни от затрат на предупредительные мероприятия.
В тоже время, говоря об управлении ИР, необходимо отметить следующее:
во-первых, предупредительные мероприятия могут влиять не только на вероятность возникновения страхового случая, но и на величину ущерба;
во-вторых, как правило, страхователь находится в ситуации, когда его бюджет ограничен и выделение средств на предупредительные мероприятия приводит к уменьшению средств, затрачиваемых на основную деятельность.
Далее в работе рассматривается механизм реализации предупредительной роли страхования в управлении ИР в условиях, когда предупредительные мероприятия влияют на величину ущерба. Ожидаемое значение целевой функции страхователя (корпорации) равно:
ЕДу, и) = Н(и) - г(и) - V - к(у, и) + р(у, и)[(1 + £) К(у, и) - Щг, и)], (4) где параметр £ > 0 отражает степень несклонности страхователя к риску; к(-) -страховой взнос; Г( ) - страховое возмещение.
Вводятся предположения:
ПЗ: Щ-) = Ж(у, и);
114
П5 П6
H{u)=cu,z(u)=z0 + a0u,p0 = (c-a0);
ДР(".Ц) > q ЭР(Р.Ц) < 0 d2p(v,u) - д2р(у,и) > 0.
- ' д.. — ' а..2 — 1 Л..2 — '
ди ~ ' dv ~ ' ди2--- Э»г
atv(r.u) ^ аичгдо < d2w(v,u) ^ 0 a2iv(v,u) >
- » Я« - ' Я..2 - » Я.,2 -
ди ~ ' dv ~ ' Эи2 — ' dv2
Пусть R(y, и) = p(v, и) W(v, и) - функция риска, тогда имеет место: П7. вЯ(у,и) 0 dR(v,u) < Q d2R(v,u) < d2/t(v,u) > 0 ди ' dv ~ ' ди2 ~ ' dv2 ~
В отсутствие страхования (4) имеет вид Щу,и)=Н{и) - z(u) -v- R(y,u), тогда оптимальной стратегией страхователя будет выбор (v.,и.):
(эд(у..ц.) _ п .
(5)
dv
Пусть при страховании осуществляется полная компенсация ущерба:
V(y,u)=W(y,u)!{ 1+4). При страховании (4) имеет вид Efiv, и) = Щи) - z(u) - v - k(v, и), тогда оптимальной стратегией страхователя будет выбор (и", и*):
(dk(v',u') _ „ .
~ " (К
dk(.v',u') _ W
dv
Если и) - нагрузка к нетто-ставке страхования, то имеет место
kjv.u) = Mvm)W^*RIvm) . (?)
Тогда, подставляя в (6) выражения из (5) и учитывая (7), получаем систему уравнений:
ja^ _ а^о = _f _ а^^ и.} _ «^Оfo(p.#W
В рамках рассматриваемой модели стратегией страховщика является выбор зависимости нагрузки к нетго-ставке §>( ) от затрат на предупредительные мероприятия и действий страхователя. Вводится предположение:
П8: выполнено условие взаимовыгодности страхования:
Vv>0^0(v)<^(v). Утверждение 5-1. Если <§,(•) = <§) = Const, то:
1) страхование способствует увеличению отчислений на предупредительные мероприятия (играет предупредительную роль), если } < - ;
dv {о
2) страхование способствует уменьшению отчислений на предупреди-
aw(v') f
тельные мероприятия, если ——- > — —;
dv („'
3) страхование не изменяет отчислений на предупредительные мероприя-
dW(v•) {
тия, если —-— = — г-.
dv fo
Если при этом V v > 0 £o(v) = £p(v), то условия 1-3 примут вид:
22
2«) >--*-; 3
dv p(» ) di> PCO P(v')
Утверждение 5-1 показывает, что в отличие от случая, когда ущерб полагался постоянным, даже страхование при постоянной нагрузке может побуждать страхователя выбирать различные стратегии, в том числе ведущие к увеличению отчислений на предупредительные мероприятия, если «удельное» снижение ущерба при этих отчислениях будет не меньше некоторой критической величины.
Из П6 следует, что IV(v) - положительная функция, монотонно убывающая по V. Пусть выполнено:
П9: Жтах > lV(v) > Wmm > 0.
Если нагрузка переменная, т.е. 5o(') = 5o(v), то система уравнений (8) примет вид: = -f-«£2
Тогда, поскольку £<,(■) > 0 и ^ > 0 и выполнены П6, П7 и П9, то для того чтобы страхование играло предупредительную роль (V > v„), достаточно выполнение следующего условия:
шо <__!_.
dv Wnin
Утверждение 5-2. Если выполнены П8 и П10, то страхование играет предупредительную роль.
Аналогичные результаты получены в работе и для многоэлементной модели страхования в предположении, что вероятности наступления страхового случая для каждого страхователя зависят от величины вложений в предупредительные мероприятия всех страхователей: р, = р, (v), где v = (v,, v2, ..., vj6 - вектор вложений в предупредительные мероприятия страхователей, ie N, и бюджет х,0 страхователя ограничен, т.е. и, + v, = .y,0. Рассмотрение в качестве концепции решения игры равновесие Нэша позволяет разработать механизм страхования, который побуждал бы страхователей выбирать тот же вектор вложений в предупредительные мероприятия, что и в отсутствие страхования. Результаты синтеза указанного механизма страхования представлены в утверждениях 5-5 и 5-6.
В шестой главе рассматриваются вопросы использования моделей и методов контроля в управлении ИР корпораций.
Ранее был осуществлен анализ и синтез эффективных методов организационного управления ИР на базе механизмов планирования, стимулирования и страхования. При этом все ключевые параметры: уровни допустимого и текущего ИР, значение заявки агента при реализации указанных механизмов предполагались заданными. Однако никаких методов определения и контроля значений указанных параметров предложено не было. Также открытым остался вопрос о том, насколько эффективны контрмеры, выбираемые агентом на этапе
' Под величиной вложений конкретного страхователя V, й 0 будет пониматься сумма средств, затрачиваемых страхователем на предупредительные мероприятия.
реализации выделенного ему ресурса.
Поскольку функционирование системы управления ИР происходит в условиях воздействия как определенных, так и случайных факторов, то при реализации методов контроля они должны учитываться в равной степени. Одним из возможных подходов является использование процедур стохастического имитационного моделирования на основе полученных на этапе анализа рисков вероятностных характеристик. Пусть заданы: множества ИУ 11 = {(/,,..., 1/м}, контрмер К= {Ки..., К//} и возможных механизмов реализации контрмер ЦК,)= {Л,..., Г'здх,)} (/= 1, уровень допустимого ИР р и объем выде-
ленного ресурса к . Предполагается, что на основе различных вариантов Т (К,) было подготовлено несколько «проектов» Р = {Ри ..., Р^, реализующих набор контрмер К и удовлетворяющих ограничению на объем выделенного ресурса к . Задача выбора эффективного «проекта» может быть сформулирована следующим образом: из множества допустимых «проектов» Р выбрать тот, который наиболее эффективно противостоит угрозам из множества и.
В качестве критерия эффективности представляется целесообразным рассматривать разность между расчетным уровнем ИР «проекта» р(Р,) и уровнем допустимого ИР р\ Н(Р,) = р(Р,) - р. При этом естественно считать, что один «проект» лучше другого, если соответствующее значение Н меньше. Значение р{Р,) зависит не только от выбранных контрмер, но и от частоты возникновения и успешности реализации ИУ. Процесс возникновения и реализации ИУ можно рассматривать как реализацию некоторой многомерной случайной величины (с.в.) V.
Для каждого Р, генерируется множество V, = {у,,..., ум} реализаций с.в. у, и для каждой реализации рассчитываются значения Н(Р,), которые обозначаются ¿у, / = 1, ...Д, у = 1, ....Л). Таким образом, по результатам экспериментов (стохастического имитационного моделирования) каждому варианту «проекта» Л сопоставляется выборка из некоторой генеральной совокупности £ = {<?!.....¿м}. Пусть Е= /= 1,..., Ц - множество соответствующих выборок.
Процесс выбора эффективного «проекта» может иметь следующий вид:
1. Вводится понятие «меньше» (х) для с.в. и на I устанавливается частичный порядок. При этом предполагается, что если С «меньше» £ (тф1), то соответственно Рт «лучше» Р,.
2. Во множестве Е определяется минимальный элемент Стт, такой, что Г»« -< £ (для VI Фт). Если такого элемента не существует, то рассматривается «нижний класс» множества 2": £тШ = /' е /с {1,..., ¿}, причем для Р/ е / и
3. В качестве эффективного «проекта» рассматривается Рт или подмножество {Л, /' е /}. В последнем случае необходимо проведение дальнейших исследований.
В работе рассмотрены методы построения квадратичного функционала, определенного на классе функций распределения и удовлетворяющего некоторым «разумным» требованиям.
Показано, что используя предложенный выше процесс и механизм сравнения «проектов», реализуемый с использованием квадратичного функционала, можно построить механизм контроля эффективности выбора набора контрмер при управлении ИР (Алгоритм 6-1), а также механизмы определения значений базовых контрольных параметров управления ИР: определения заявки агента (Алгоритмы 6-2 и 6-3) и значения уровня допустимого ИР (Алгоритм 6-4).
В седьмой главе рассматриваются вопросы практической реализации моделей и методов управления ИР корпораций, в частности, приведена разработанная на основании результатов диссертационного исследования «Методика организации проектных работ в области управления и оценки информационных рисков» (далее - «Методика»), принятая в Группе Компаний «Информационные бизнес-системы», ООО «ИБС Экспертиза», ЗАО «Орбита», ООО «Проектный институт «Гипроком» и ряде других в качестве корпоративного стандарта. В рамках «Методики» описывается следующий комплекс работ:
• определение необходимости создания системы управления ИР (СУИР) организации;
• проведение аудита ИБ, построение моделей угроз и нарушителя, определение уровня допустимого ИР организации;
• проведение оценки текущего уровня ИР организации;
• определение набора механизмов управления ИР для реализации СУИР, включая сценку бюджета и порядок его распределения.
Положения «Методики» полностью соответствуют требованиям в области защиты информации и управления ИР нормативных правовых актов РФ и руководящих документов ФСТЭК России и ФСБ России, национальным и международным стандартам, а также лучшим мировым практикам и требованиям системы управления качеством.
Далее приведены некоторые примеры практического использования «Методики» и полученных теоретических результатов диссертационного исследования в ряде организаций (корпорации «Лентрансгаз» и компании «Орбита»).
На основе полученных в диссертационной работе теоретических результатов разработаны прикладные методики синтеза эффективных механизмов управления ИР корпорации, которые использованы при разработке, адаптации и внедрении систем управления в различных организациях, а также в учебном процессе в ряде вузов. Эффективность внедрения подтверждена актами и справками о внедрении, приведенными в приложении.
ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ
В результате выполненного диссертационного исследования решена крупная научная проблема разработки комплекса теоретико-игровых и оптимизационных моделей и методов эффективного организационного управления ИР корпораций, имеющая важное значение для обеспечения информационной безопасности РФ.
Основные научные и практические результаты, полученные в диссертационном исследовании, состоят в следующем:
1. Проведен анализ отечественного и зарубежного опыта исследования и использования моделей и методов организационного управления ИР, сформулированы требования к ним и выявлена их специфика, в том числе, существенная зависимость от организационной структуры корпорации.
2. Для основных классов ОС построены модели ИУ и контрмер, на основе которых построены модели организационного управления ИР, реализуемые на базе механизмов управления ОС следующих классов: мотивационного, институционального и информационного.
3. Из механизмов управления ОС сформирован набор моделей и методов эффективного организационного управления ИР, включающий механизмы планирования (распределения ресурса), стимулирования, страхования, управления ограничениями и нормами деятельности и информационного управления, который может быть успешно использован, чтобы противостоять всем основным классам ИУ, реализует все основные классы контрмер, а также подходит для корпораций с различными организационными структурами.
Из этого набора выделен комплекс основных (базовых) механизмов (планирования, стимулирования и страхования), которые образуют необходимый и минимально достаточный набор моделей и методов организационного управления ИР корпораций.
4. Для моделей планирования сформулированы и решены задачи анализа и синтеза механизмов планирования (распределения ресурса на мероприятия по снижению ИР) для различных типов структур управления корпорацией:
-для случая полной информированности центра предложена арбитражная схема распределения ресурса, для которой доказано существование и единственность решения специального вида («максимально-стимулирующего» решения), а также для ряда практически важных частных случаев решение получено в аналитической форме",
- для случая асимметричной информированности, когда у агентов появляется возможность манипулирования сообщаемой центру информацией, получено решение задачи нахождения минимального суммарного количества ресурса, при котором заданное множество агентов получает оптимальное для себя количество ресурса;
-для случая асимметричной информированности, когда центр может влиять лишь на информированность агентов, сформулирована и решена задача
рефлексивного управления: найдены оптимальные информационные воздействия - стабильные представления о типах оппонентов, которые центру следует сформировать у агентов, чтобы агенты сообщили заявки, приводящие к требуемому центром распределению ресурса.
5. Для моделей стимулирования решена задача синтеза оптимальной системы стимулирования центром агентов на основании результатов оценки уровня ИР, достигнутого в результате деятельности агента и уровня допустимого ИР, установленного для этого агента центром.
6. Для моделей страхования решена задача синтеза механизмов страхования, которые могут способствовать увеличению отчислений на проведение предупредительных мероприятий по снижению ИР в условиях ограниченного бюджета.
7. Для моделей контроля разработаны методы (алгоритмы) контроля эффективности выбранного агентом набора контрмер и методы (алгоритмы) определения значений базовых контрольных параметров при организационном управлении ИР корпораций.
8. Разработана {(Методика организации проектных работ в области оценки и управления информационными рисками», принятая в ряде организаций в качестве корпоративного стандарта.
9. Полученные теоретические и прикладные результаты использованы в следующих организациях: Министерство информационных технологий и связи, Федеральное агентство по информационным технологиям, ООО «ИБС Экспертиза», Группа компаний «Информационные бизнес-системы», ЗАО «Орбита», ООО «Проектный институт «Гипроком», а также в учебном процессе ряда вузов, что позволило повысить обоснованность и эффективность принимаемых в этих организациях управленческих решений и способствовало совершенствованию учебного процесса. Практическая значимость результатов подтверждена актами и справками о внедрении.
Основные результаты диссертации опубликованы в следующих работах:
Публикации в изданиях, рекомендованных ВАК РФ
1. Калашников А.О. Управление информационными рисками с использованием арбитражных схем / А.О. Калашников // Системы управления и информационные технологии: научно-технический журнал. 2004. - № 4 (16). - С. 57 -61.
2. Рефлексивная модель распределения корпоративных ресурсов / С.А. Баркалов, А.О. Калашников, П.И. Семенов, A.M. Потапенко // Вестник Воронежского государственного технического университета. - 2005. - Т.1. № 10-С. 61-63.
3. Калашников А.О. Построение эффективной системы обеспечения информационной безопасности / А.О. Калашников // Информационные ресурсы
России. - 2006. - № 4 (92). - С. 31 - 32.
4. Калашников А.О. Арбитражная модель управления информационными рисками организационных систем / А.О. Калашников // Системы управления и информационные технологии: научно-технический журнал. 2006. - № 3 (25). -С. 41-45.
5. Калашников А.О. «Максимально стимулирующее» решение в задаче управления информационными рисками организационных систем / А.О. Калашников // Системы управления и информационные технологии: научно-технический журнал. 2006. - № 3(25). - С. 45 - 51.
6. Калашников А.О. Анализ частных случаев «максимально стимулирующего» решения в задаче управления информационными рисками организационных систем / А.О. Калашников // Системы управления и информационные технологии: научно-технический журнал. 2006. -№ 4(26). - С. 53 - 59.
7. Калашников А.О. Арбитражная модель ресурсного обеспечения информационной безопасности организационных систем / А.О. Калашников // Управление большими системами. - 2006. - № 14. - С. 91 - 105.
8. Заложнев Д.А. Модели тарифно-премиальных систем стимулирования / Д.А. Заложнев, А.О. Калашников, Д.А. Новиков // Автоматика и телемеханика. -2007.-№3.-С. 142- 153.
9. Калашников А.О. Управление информационными рисками организационных систем: базовая модель / А.О. Калашников // Системы управления и информационные технологии: научно-технический журнал. 2008. - № 1.3(31) - С 366-371.
10. Калашников А.О. Управление информационными рисками взаимодействующих организационных систем / Калашников // Системы управления и информационные технологии: научно-технический журнал. 2008. -№ 1.3(31).-С. 375-380.
11. Калашников А.О. Управление информационными рисками автономных организационных систем / А.О. Калашников // Системы управления и информационные технологии: научно-технический журнал. 2008. - X» 2 2 (32) -С. 262-267.
12. Калашников А.О. Управление информационными рисками организационных систем: взаимосвязь неопределенностей, угроз и контрмер / А.О. Калашников // Системы управления и информационные технологии: научно-технический журнал. 2008. -№ 3.1(33). - С. 151 - 156.
13. Калашников А.О. Предупредительная роль страхования в управлении информационными рисками / А.О. Калашников // Системы управления и информационные технологии: научно-технический журнал. 2009. - № 1 3(35} -С. 351 -356.
14. Калашников А.О. Предупредительная роль страхования в управлении информационными рисками многоэлементных систем / А.О. Калашников // Системы управления и информационные технологии: научно-технический журнал. 2009. -№ 1.3(35). - С. 356 - 360.
15. Калашников А.О. Роль механизмов страхования в снижении информационных рисков / А.О. Калашников // Бизнес - Информатика. - 2009. - № 3 (9).-С. 34-40.
16. Губанов Д.А. Теоретико-игровые модели информационного противоборства в социальных сетях / Д.А. Губанов, А.О. Калашников, Д.А. Новиков // Управление большими системами. - 2010. - № 31. - С. 192 - 204.
17. Калашников А.О. Модели и методы организационного управления информационными рисками корпораций / А.О. Калашников // Информация и безопасность: региональный научно-технический журнал. 2011. - № 2. - С. 259 -266.
Книги
18. Калашников А.О. Организационные механизмы управления информационными рисками корпораций: монография / А.О. Калашников. - М.: ПМСОФТ, 2008. - 175 с.
19. Современная модель эффективного бизнеса: монография /
A.О. Калашников и др.; под общ. ред. С.С. Чернова. - Новосибирск: ЦРНС -Изд-во «СИБПРИНТ», 2008. Кн. 3. - 175 с.
20. Калашников А.О. Информационные технологии: особенности применения и приоритетные направления развития: монография / А.О. Калашников и др.; под общ. ред. С.С.Чернова. - Новосибирск: ЦРНС - Изд-во «СИБПРИНТ», 2008. Кн. 3. - 153 с.
21.Котухов М.М. Информационная безопасность: учеб. пособие / М.М. Котухов, А.Н. Кубанков, А.О. К шашников - М.: МФТИ, 2009. - 195 с.
22. Калашников А.О. Модели и методы организационного управления информационными рисками корпораций: монография / А.О. Калашников. - М.: Эгвес, 2011.-312 с.
Статьи и материалы конференций
23. Калашников А.О. Об одном классе предпочтений в пространстве распределений (учет роста и разброса) / А.О. Калашников, В.И. Ротарь / В кн.: Модели и методы стохастической оптимизации. - М.: ЦЭМИ АН СССР, 1983 -С. 77-89.
24. Калашников А.О. О максимально стимулирующем решении задачи распределения доходов / А.О. Калашников, В.И. Ротарь // Современные проблемы математической экономики: тез. докл. Всесоюз. симпозиума. - Вильнюс: ИМК АН Литовской ССР, 1984. - С. 48 - 49.
25. Калашников А.О. Арбитражная схема, основанная на принципах «стимуляции» и «неподавления» (случай игры трех лиц) /А.О. Калашников,
B.И. Ротарь // Вероятностные проблемы управления и математическая экономика. - М.: ЦЭМИ АН СССР, 1985. - С. 53 - 65.
26. Калашников А.О. Максимально стимулирующее решение в арбит-
ражной схеме / А.О. Калашников, В.И. Ротарь // Современные проблемы теории игр и принятия решений: тез. докл. и сообщений Всесоюз. конф. - Ленинград, 1985. - С. 73 - 75.
27. Калашников А.О. Два подхода к выбору компоновочной структуры гибкой производственной системы при автоматизированном проектировании и моделировании / А.О. Калашников, A.M. Павлов // Автоматизация, роботизация и интеллектуализация производства: межвуз. сб. - М.: МИЭМ, 1986. - С. 37 -41.
28. Дерягин Ю.В. Использование метода стохастической оптимизации для выбора рациональной компоновочной структуры (КС) ГПС / Ю.В. Дерягин, А.О. Калашников // Автоматизация, роботизация и интеллектуализация производства: межвуз. сб. - М.: МИЭМ, 1988. - С. 42 - 47.
29. Калашников А.О. Практические вопросы аудита информационной безопасности / А.О. Калашников, М.М. Котухов, И.А. Личманов И Методы и средства технической защиты конфиденциальной информации: тез. докл. Все-рос. науч. - практ. конф. - Обнинск: ГОУ «ГЦИПК», 2004. - С. 89 - 90.
30. Калашников А.О. Управление информационными рисками с использованием математического аппарата арбитражных схем / А.О. Калашников // Системные проблемы надежности, качества информационных и электронных технологий. Информационные бизнес-системы: материалы Междунар. конф. и Рос. науч. школы. - М.: Радио и связь, 2004. Ч. 3. - С. 166 - 174.
31. Калашников А.О. Практические вопросы аудита состояния информационной безопасности корпоративных информационных систем / А.О. Калашников, М.М. Котухов, И.А. Личманов // Information Security. Информационная безопасность. - 2004. - № 3. - С. 28 - 31.
32. Иващенко A.A. Рефлексивное управление в модели распределения корпоративных ресурсов /A.A. Иващенко, А.О. Калашников, Д.А. Новиков // Современные сложные системы управления: труды VIII Междунар. конф. -Краснодар, 2005.-С. 148- 151.
33. Риски в управлении инновационным развитием корпораций / Д.А. За-ложнев, A.A. Иващенко, А.О. Калашников, Д.А. Новиков // Проблемы управления безопасностью сложных систем: труды XIII Междунар. конф - М-РГГУ, 2005. - С. 186- 187.
34. Проблемы финансирования проектов инновационного развития фирмы / A.A. Иващенко, А.О. Калашников, Д.В. Колобов, C.B. Садовников // Теория активных систем: труды Междунар. науч. - практ. конф. - М.: ИПУ РАН 2005.-С. 192- 193.
35. Калашников А.О. Обратная задача распределения ресурса на мероприятия по обеспечению информационной безопасности корпораций / А.О. Калашников // Труды конференции МФТИ.- М.: МФТИ, 2005. Ч. 1. - С 125 -126.
36. Калашников А.О. Организационные механизмы управления информационной безопасностью корпораций / А.О. Калашников // Проблемы управле-
ния безопасностью сложных систем: труды XIII Междунар. конф. - М.: РГГУ, 2005.-С. 499-501.
37. Калашников А.О. Основы безопасности информационных порталов / А.О. Калашников // Мир и безопасность. - 2005. - № 4. - С. 28 - 36.
38. Калашников А.О. Задача синтеза оптимальной тарифно-премиальной системы оплаты труда / А.О. Калашников, Д.А. Заложнев, Д.А. Новиков // В кн.: Модели тарифно-премиальных систем оплаты труда. - М.: ИПУ РАН, 2006. -75 с.-С.27-43.
39. Белоусов В.Е. Модель эффективной системы информационной безопасности /В.Е. Белоусов, А.О. Калашников, А.И. Половинкина //Проблемы экономики современных промышленных"комплексов: труды II Всерос. конф. -Самара: СГАУ, 2006. - С. 25 - 27.
40. Калашников А.О. Выбор эффективного проекта системы обеспечения информационной безопасности / А.О. Калашников // Управление инновациями: труды конф. - М.: ИПУ РАН, 2006. - С. 356 - 359.
41. Калашников А.О. Управление информационными рисками во взаимодействующих организационных системах / А.О. Калашников // Инновации в условиях развития информационно-коммуникационных технологий: материалы конф. - М.: МИЭМ, 2008. - С. 123 - 124.
42. Калашников А.О. Базовая модель управления информационными рисками организационных систем / А.О. Калашников // Современные сложные системы управления: материалы VIII Междунар. науч. - практ. конф. - Тверь: ТГТУ, 2008. :I. 1.-С. 113-120.
43. Калашников А.О. Управление информационными рисками в организационных системах: базовая модель / А.О. Калашников // Инновации в условиях развития информационно-коммуникационных технологий: материалы конф. - М.: МИЭМ, 2008. - С. 124 - 126.
44. Калашников А.О. Управление информационными рисками в автономных организационных системах / А.О. Калашников // Инновации в условиях развития информационно-коммуникационных технологий: материалы конф. -М.: МИЭМ, 2008. - С. 128 - 130.
45. Калашников А.О. Предупредительная роль страхования в управлении информационными рисками организационных систем / А.О. Калашников // Информационные бизнес-системы: труды I Всерос. конф. - М.: Академия ИБС-МФТИ, 2009. - С. 255 - 257.
46. Калашников А.О. Роль страхования в управлении информационными рисками многоэлементных систем I А.О. Калашников // Инновации в условиях развития информационно-коммуникационных технологий: материалы конф -М.: МИЭМ, 2009. - С. 382 - 384.
47. Калашников А.О. Предупредительная роль страхования в управлении информационными рисками организационных систем в условиях ограниченного ресурса / А.О. Калашников // Информационные бизнес-системы: труды I Всерос. конф. - М.: Академия ИБС: МФТИ, 2009. - С. 258 - 260.
48. Калашников А.О. Роль страхования в управлении информационными рисками / А.О. Калашников // Инновации в условиях развития информационно-коммуникационных технологий: материалы конф. - М.: МИЭМ, 2009. - С. 384
Подписано в печать 06.07.2011. Формат 60x84/16. Бумага для множительных аппаратов. Усл. печ. л. 2,0. Тираж 90 экз. Заказ № Я 4Я-
ФГБОУ ВПО воронежский государственный технический университет» 394026 Воронеж, Московский просп., 14
Оглавление автор диссертации — доктора технических наук Калашников, Андрей Олегович
ВВЕДЕНИЕ.
ГЛАВА I. ПРОБЛЕМЫ ОРГАНИЗАЦИОННОГО УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ.
1.1. Актуальность проблемы управления информационными рисками.
1.2. Основные понятия и цели управления информационными рисками
1.3. Основные классы информационных угроз.
1.4. Основные меры противодействия информационным угрозам
1.5. Управление информационными рисками и «уровень зрелости» корпораций
1.6. Цикл управления информационными рисками
1.7. Комплексная модель управления информационными рисками
1.8. Организационная структура управления информационными рисками корпорации
1.9. Жизненный цикл организационного управления информационными рисками корпорации
1.10. Особенности управления информационными рисками в зависимости от типа организационной структуры корпорации
ГЛАВА 2. МОДЕЛИ ОРГАНИЗАЦИОННОГО УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ
2.1. Модели управления организационными системами, учитывающие степень влияния центра на принятие решений агентами
2.2. Базовая модель управления организационной системой
2.3. Взаимосвязь информационных угроз и неопределенностей в управлении организационной системой
2.4. Общая постановка задачи управления организационной системой в условиях неопределенности
2.5. Базовая модель управления информационными рисками организационной системы
2.6. Модели управления информационными рисками автономных организационных систем.
2.7. Модели управления информационными рисками взаимодействующих организационных систем
2.8. Взаимосвязь информационных угроз, контрмер и механизмов управления информационными рисками организационных систем
2.9. Основные и вспомогательные механизмы управления информационными рисками организационных систем
ГЛАВА 3. МЕХАНИЗМЫ ПЛАНИРОВАНИЯ В ОРГАНИЗАЦИОННОМ УПРАВЛЕНИИ ИНФОРМАЦИОННЫМИ РИСКАМИ
3.1. Общая постановка задачи планирования в организационном управлении информационными рисками корпораций
3.2. Постановка и анализ задачи планирования в случае полной информированности
3.3. Арбитражное решение.
3.4. Арбитражное решение в частных случаях
3.5. Анализ «пропорционального» решения
3.6. Постановка и анализ задачи планирования в случае ассиметричной информированности
3.7. Постановка и анализ задачи планирования в случае использования механизмов рефлексивного управления
ГЛАВА 4. МЕХАНИЗМЫ СТИМУЛИРОВАНИЯ В ОРГАНИЗАЦИОННОМ УПРАВЛЕНИИ ИНФОРМАЦИОННЫМИ РИСКАМИ.
4.1. Общая постановка задачи стимулирования в организационном управлении информационными рисками корпораций
4.2. Постановка и решение задачи синтеза оптимальной тарифно-премиальной системы стимулирования агентов за снижение уровня информационных рисков.
4.3. Компенсаторная премиальная система стимулирования
4.4. Линейная премиальная система стимулирования
4.5. Аккордная (соревновательная) премиальная система стимулирования
4.6. Бригадная премиальная система стимулирования
4.7. Сравнительная эффективность премиальных систем стимулирования
ГЛАВА 5. МЕХАНИЗМЫ СТРАХОВАНИЯ В ОРГАНИЗАЦИОННОМ УПРАВЛЕНИИ ИНФОРМАЦИОННЫМИ РИСКАМИ
5.1. Общая постановка задачи страхования в организационном управлении информационными рисками корпораций
5.2. Предупредительная роль страхования в условиях влияния предупредительных мероприятий на вероятность возникновения страхового случая и величину ущерба.
5.3. Предупредительная роль страхования в условиях ограниченности бюджета страхователя
5.4. Механизмы страхования в организационном управлении информационными рисками многоэлементных организационных систем
ГЛАВА 6. МЕХАНИЗМЫ КОНТРОЛЯ В ОРГАНИЗАЦИОННОМ УПРАВЛЕНИИ ИНФОРМАЦИОННЫМИ РИСКАМИ
6.1. Общая постановка задачи контроля в организационном управлении информационными рисками корпораций
6.2. Модель двухкритериального выбора эффективного набора контрмер при управлении информационными рисками
6.3. Механизм контроля эффективности набора контрмер при организационном управлении информационными рисками
6.4. Механизмы определения значений базовых контрольных параметров организационного управления информационными рисками
ГЛАВА 7. ВНЕДРЕНИЕ МОДЕЛЕЙ И МЕТОДОВ О Р Г АНИ 3 АЦИ О Н Н О ГО У П Р А В Л Е Н И Я 11Н ФОР М А ЦИ О Н Н ЫМ И РИСКАМИ.
7.1. Методика организации проектных работ в области управления и оценки информационных рисков.
7.2. Внедрение механизмов организационного управления информационными рисками в ООО «Лентрансгаз»
7.3. Внедрение механизмов организационного управления информационными рисками в ЗАО «Орбита».
Введение 2011 год, диссертация по информатике, вычислительной технике и управлению, Калашников, Андрей Олегович
Приоритетной целью государственной политики на современном этапе является переход на инновационный путь развития [4]. Данный переход характеризуется интенсивным внедрением и использованием передовых информационных техиопогии |9| в сферах экономики и финансов, промышленности и энергетики, транспорта и связи, i осу дарственного управления [6] и национальной безопасности |1, 5, 10], науки и культуры, образования и здравоохранения и многих других [2, 11].
Однако, широкое и повсеместное использование информационных технологий немыслимо без повышенного внимания к проблемам их безопасности~ [2, 3, 4, 11].
При переходе страны па инновационный путь развишя, особая роль, роль своеобразных «локомотивов» в cooi веiсi вующих офаслях экономики, отводится государственным и коммерческим корпорациям\ Как правило, корпорации представляют собой тсрриториально-распределеггные организации со сложной многоуровневой системой управления и производства. Поэтому именно в корпорациях информационные технологии становятся, в настоящее время, одним из главных инструментов управления бизнесом и важнейшим средством производства.
Однако активное использование информационных технологий в деятельности корпораций имеет и «оборотную» сторону, состоящую в существенном повышение значимое! и рисков, которые с этими технологиями Информационная техно ю^ня - приемы способы п мекпы причинения ^ре^ыв вычисли1епьной ¡ехппкп при выполнении функций сбора хранения обработки передачи п нсиопыовання данных (см [310] 11рипожение I ста1ья 4 и [312] статья 3 I 9)
Безопасность информационной технологии - состояние информационной технологии определяющее защищенность информации и ресурсов информационной техноло! ни о: иснстпя обьекIивных и субъективных внешних и внутренних случайных и преднамеренных чч роз а ыкже способное! ь информационной юхномопш выполнять предписанные функции бе'. нанесения ненрнем г|с\ю1 о ущерба сч'бъекыч! информационных
01 ношений ( сч| |322]и|312| С1атья3 12) Корпорация - от позднепат мнекого «софопно» - объединение I)обьедпмемпе сою; общее то 2) в прайс -совокупность лиц обьединившихся для досшжеипя какой-либо нcJlп явпясчся юридических! лицоч! (см [243]) связаны - информационных рисков\ что, в свою очередь, с неизбежное!ыо приводит к необходимости поиска эффеюивных меюдов i прав \euiw ими
Все методы управления информационными рисками с ючки зрения pon и информационной безопасности в организации6 мо1ут быть условно разделены на две большие i руппы меюды организационного управления, i дс в качестве обьекга управления выс i упас i субъект в opi липзацпп (например, субъект информационного процесса1), и меюды технологического управления, 1дс в качестве обьема ) правления выстчпает объект в opi анпзацпи (например, объект зашиты информант/ч) К меюдам первою шпа опюся!, как правппо, админисграт пвно-процедурные, нормашвно-правовые, моралыю-эшчеекпе и экономические, а к методам в юрою шпа — физические, технические, программные, программно-юхпическис и друi не подобные меры и механизмы И, поскольку любая корпорация преды лвняы собой оргаии^аиионн) ю 9 систему , имеющую определенные цели механизмы управления информационными рисками должны являться члыыо механизмов корпоративно! о управления
Проблемам обеспечения ппформацпоппоп безопасное i и посвящены работы таких известных российских ученых п специалисюв как Г В Емельянов [81, 82, 83], ГГ Д 3ei жда [98, 99], В В Кульба [110, 111], Puci - влияние неопределенностей на процесс юспиенпя nocían lemii i\ нелеп Примечания I) цели мот HMCI ь разппчные аспек 111 финансовые аспект связаппнс со дорошем бе опасносм ю п внешней ере ion и мог\ г четанавливат вся на рашыч \ровия\ на cipaiei пчсском \ровпс и маспи iGa\ opi анизатш на \ровнс проекта продчкта и процесса 2) риск чаею чарамерп \е1ея сем икон im но i сини ijii hi ic события поепедешня пли ич комоинацию a iак же на то как они мот илпяп hi юеш/кенпс нелеп 3) pnci ч icio выражаекя и 1ерминач комбинации ноелеаенчни соотия пли тмснеппя оосюя 1сЛ1 с i и п пч нцзояшосш (ем [312| еипья
3 2 9)
3 Viipcu теине púa aun - коорппнпровапппс непстпя по lump iüjiciíiiio н кошролю над аеятегп пост i ю opi анп ацпн в свя псрпск1мп(см [312| смня3 2 1б)
1 Ро/ь информационной ос^опасноанн < op aun аннн (.оиокмпюс 11 определепш1Ч фчнкцнн и ¡адач обеспечения информаниопноп ot опасное i и ормнп ацпн \ с мн ш шрлюпшч допчешмое в an\io'icnci вне межтч счбъекюм п объемом в орпнп аинп Прпмеч шпя I) к e\oicin\i омюсякя мин и чпе п р\ KOBoinieien opiaini ацпн ее персон н или ннпцппр\ с\п к oí пч пменн пронесем по i мпо шсиию мсистни над объемами 2) объекпми \ioi\i они кчническое upoi раммно«. upoipiMMiio 1счнпчеекое срсдсшо информационный рес\ ре паи которыми выио 1пяю1ся 1епавпя(см |3!21 с i ai i я 3 4 4)
Информационный прочей - процесс сования сбор i обраоотки иакоп iciiim чраненпя поиска распроетр шення п iiciiojii ованпя ннформаннн (см pl2¡ ci шя > I S) s Объе/ni jaiiuinibi информации информация или hochicjii ннформтнн мни информационны!! процесс коюрые необчо'Ц|чю анппцап в соотвыстии с licjii ю ати i м информации (см Р11| с i н ья 2 d 1)
4 Организационная система (oigim/auon) - объединение люден (и итрнмер корпорация пречприяшс объединение фирма) совместо реали!\ютпч некогорчю npoipa\im\ ппи пл. и и пиЧенвчющич hi основе опре'(еле1шыч процедчр и мрашп (мечашьмон) (сч| Р1">|)
В.H. Лопатин [I 80|, A.A. Малюк [64, 185, 186, 187|, В.Г. Матюхин [190, 191, 192, 193], H.A. Молдовян [100, 201 |, С.П. Расторгуев [246j, A.B. Старовойтов [204, 263], A.A. Стрельцов [81, 256], Д.С. Черешкин [240] и других.
Большой вклад в развитие информационной безопасности, гак же внесли зарубежные исследователи: Р. Андерсон [16], С. Бармен [281, Л. Маккарти [184], М. Мур [203], Д. Пикфорд [2331 и другие.
Основы управления защитой информации изложены в работах
B.А. Герасименко [63, 64], A.C. Кузьмина [219, 242], В.А. Минаева [197, 198, 218], А.Г. Остапенко [222, 236, 237], C.B. Скрыль [257, 267], С.А. Филина [274] и других.
Теоретические основы компьютерной безопасности изложены в работах Ю.М. Батурина [31], A.A. Зацаринного [96, 97], A.M. Ивашко [98], А.П. Курило [216, 257], A.A. Молдовяна [100, 201], A.A. Петрова [2311 и других.
Вопросам управления информационными рисками посвящены работы
A.M. Астахова [23], B.C. Артамонова [18. 19. 21, 22], В.И. Завгороднего [86, 87, 90, 92], С.А. Петренко [224, 230], C.B. Симонова [230, 255] и других. В частности, вопросы страхования информационных рисков рассматривались в работах Ю.А. Гордеева [67], Д.Г. Дьяконова [80|, В.А. Конявского [165],
C.П. Круглова [169], А.Г. Лукацкого [181], В.А. Пярина |78], В.П. Хованова [278], Mark S. Dopfman [293], George E. Rejda [304] и других.
Теоретико-игровые модели управления организационными системами (в том числе планирования стимулирования и страхования) исследовались в работах многих отечественных и зарубежных авторов, среди которых:
B.Н. Бурков [37, 38, 41, 48], Ю.Б. Гермейер [65, 661, А.Ю. Заложнев [50, 93], A.A. Иващенко [102, 104], H.H. Ильин [59, 108, 109], В.В. Кондратьев [44], О.С. Кулик [42], В.В. Кульба [110, 111, 173], В.А. Лефевр [174, 175, 176, 177, 178], Д.А. Новиков [26, 93, 162, 196, 205. 207, 21 1, 212. 214, 215], А.Н. Райков [244, 245], А.Ю. Силантьев [85, 195, 256], А.Г. Чхартишвили [74, 211, 212], A.B. Щепкин [43, 46, 51, 283], Дж. У. Хаит [277], Дж. Ф. Нейман [276],
A.A. Томпсон [268], M. Jackson [2941, Е. Kalai 1295. 2961, Е. Maskin [292], J. Moore [299], H. Moulin [202, 300], R. Mverson [301, 302]. J.F. Nash [303|, W. Thomson [307], L. Zhou [309] и другие.
Вместе с тем, необходимо отметить, что, не смотря на то, что в большинстве теоретических работ по управлению информационной безопасностью декларируется необходимость комплексного подхода сбалансировано сочетающего в себе, как методы организационного, так и технологического управления, на практике методам организационного управления уделяется значительно меньше внимания.
С другой стороны, существующие на сегодняшний день результаты исследования моделей и методов корпоративного организационного управления, практически не затрагивают проблем управления информационными рисками (в отличие, например, от промышленной безопасности [39, 46], экологической безопасности [26, 43, 51, 210], финансовых рисков [50, 70, 95] и т.д.)
Таким образом, можно констатировать, что, несмотря на значительное число публикаций, как по механизмам управления организационными системами, так и по информационной безопасности, на сегодняшний день отсутствует целостная картина формальных моделей и методов, а также обоснованных ими практических рекомендаций по организационному управлению информационными рисками корпораций. Все это определяет актуальность темы диссертационного исследования, посвященного анализу моделей и синтезу методов (.механизмов10) эффективного организационного управления информационными рисками корпораций.
Объектом исследования является система управления информационными рисками.
Предметом исследования являются модели и методы организационного у правлен и я и н ф о р м а ц ион н ь i м и р и ска м и к о р п о р а ц и й.
1(1 Механизм (mechanism) - I) система, vcipoiicrno. определяющее порядок какого-либо вида деятельности. 2) совокупность правил, чаконов и процедур, регламентирующих взаимодействие участников организационной системы: 3) совокупность процедур принятия управленческих решений (см. |215|)
Целыо работы является разработка и исследование теоретико-игровых и оптимизационных моделей и методов эффективного организационного управления информационными рисками корпораций.
Реализация поставленной цели предполагает решение следующих основных задач:
1.Анализ целей, функций, процедур и оби/ая постановка задачи повышения эффективности организационного управления информационными рисками корпораций.
2. Разработка и исследование теоретико-игровых и оптимизационных моделей и методов планирования в организационном управлении и н ф о р м а ц и о н ными риск а м и к о р п о р а ц и й.
3. Разработка и исследование теоретико-игровых и оптимизационных моделей и методов стимулирования в организационном управлении и н ф о р м а ц и о н н ы м и р исками к о р п о р а ц и й.
4.Разработка и исследование теоретико-игровых и оптимизационных моделей и методов страхования в организационном управлении и нформацион н ым и рискам и корпораци и.
5. Разработка и исследование оптимизационных моделей и методов контроля в организационном управлении информационными рисками корпорации.
6. Апробация разработанных моделей и методов в практике управления информационными рисками корпораций.
Методы исследования. Основным методом исследования является математическое моделирование, базирующееся на использовании аппарата современной теории управления, в частности, теории игр, теории принятия решений, теории активных систем, исследования операций, а также теории защиты информации и методов анализа и управления информационными рисками.
Основные положения, выносимые на защиту.
1. Модели организационного управления информационными рисками, учитывающие уровень влияния управляющего органа (центра) на принятие решений управляемыми субъектами (агентами).
2. Комплекс механизмов организационного управления информационными рисками (планирования, стимулирования, страхования, управления ограничениями и нормами деятельности, информационного управления), который может быть успешно использован, чтобы противостоять всем основным типам информационных угроз, реализует все базовые типы контрмер и применим для корпораций с различными организационными структурами.
3. Комплекс основных (базовых) механизмов (планирования, стимулирования и страхования), которые образуют необходимый и минимально достаточный набор моделей и методов организационного управления информационными рисками корпораций.
4. Арбитражная схема распределения ресурса, для которой доказано существование и единственность решения специального вида, включая ряд практически важных частных случаев, для которых решение получено в а н ал и т и чес ко й фор м е.
5. Решение задачи нахо.ждения минимального суммарного количества распределяемого ресурса, при котором заданное множество агентов получает оптимальное для себя количество ресурса.
6. Решение задачи рефлексивного управления, в рамках которого найдены оптимальные информационные воздействия - стабильные представления о типах оппонентов, которые центру следует сформировать у агентов, чтобы последние сообщили заявки, приводящие к желательному для центра распределению ресурса.
7. Решение задачи синтеза оптимальной системы стимулирования центром агентов на основании соотношения уровня информационными рисками, достигнутого в результате деятельности агента и уровня допустимого информационными рисками, установленного для этого агента центром.
8. Решение задачи синтеза механизмов страхования, которые могут способствовать увеличению отчислений на проведение предупредительных мероприятий по снижению информационными рисками в условиях о гра н и ч ен н о го 61 оджета.
9. Методы (алгоритмы) контроля эффективности выбранного агентом при управлении информационными рисками набора контрмер и методы {алгоритмы), позволяющие определять значения базовых контрольных параметров при организационном управлении информационными рисками корпораций.
Научная новизна результатов диссертационного исследования в целом заключается в том, что впервые разработан комплекс моделей и методов эффективного организационного управления ИР корпораций, который может быть успешно использован, чтобы противостоять всем основным классам ИУ, реализует все базовые типы контрмер и применим для корпораций с разл и ч н ы м и ор га н и зац и о н н ы м и структурам и.
Научная новизна полученных при этом отдельных научных результатов состоит в следующем:
1.Для основных классов ОС, учитывающих степень влияния центра и агентов на принимаемые решения, разработаны модели организационного управления ИР, включающие модели ИУ и модели противодействия им (модели контрмер), отличающиеся тем, что могут быть реализованы на базе механизмов управления ОС, относящихся к одному из трех возможных видов: мотива иионному, институциональному или информационному.
2. Сформирован набор моделей и методов организационного управления ИР, который, в отличие от известных, может быть успешно использован, чтобы противостоять всем основным типам ИУ, реализует все базовые типы контрмер и применим для корпораций с различными организационными структурами. Из данного набора выделен комплекс основных {базовых) механизмов {планирования. стимулирования и страхования). которые образуют необходимый и минимально достаточный набор моделей и методов организационного управления ИР корпораций.
3. Для моделей планирования впервые сформулированы и решены задачи анализа и синтеза .механизмов распределения ресурса на мероприятия по снижению ИР для корпораций с различными типами структур управления:
-для случая полной информированности управляющего органа (центра) предлолсена арбитражная схема распределения ресурса, для которой доказано существование и единственность решения специального вида («максимально — стимулирующего» решения) и рассмотрен ряд практически важных частных случаев, для которых данное решение получено в аналитической форме-,
-для случая асимметричной информированности, когда у управляемых субъектов (агентов) появляется возможность манипулирования предназначенной для центра информацией, получено решение задачи нахождения минимального суммарного количества распределяемого ресурса, при котором заданное множество агентов получает оптимальное для себя количество ресурса;
- для случая асимметричной информированности, когда центр может влиять лишь на информированность агентов, сформулирована и решена задача рефлексивного управления'. найдены оптимальные информационные воздействия - стабильные представления о типах оппонентов, которые центру следует сформировать у агентов, чтобы последние сообщили заявки, приводящие к желательному для центра распределению ресурса.
4. Для моделей стимулирования, решена задача синтеза оптимальной системы стимулирования центром агентов, отличающаяся от аналогов учетом соотношения уровня ИР, достигнутого в результате деятельности агента, и уровня допустимого ИР, установленного для этого агента центром.
5. В рамках задач управления ИР для моделей страхования впервые сформулирована и решена задача синтеза механизмов страхования, которые могут способствовать увеличению отчислений на проведение предупредительных мероприятий по снижению ИР в условиях ограниченного бюджета.
6. Предложенные модели контроля отличаются тем, что для них: разработаны .методы (алгоритмы) контроля эффективности выбранного агентом при управлении ИР набора контрмер и методы (алгоритмы), позволяющие определять значения базовых контрольных параметров при организационном управлении ИР корпораций.
Теоретическая значимость научных результатов работы состоит в разработке комплекса теоретико-игровых и оптимизационных моделей и методов организационного управления информационными рисками, который может быть успешно использован, чтобы противостоять всем основным классам информационных угроз, реализует все базовые типы контрмер и применим для корпораций с различными организационными структурами.
Практическая значимость работы определяется разработанными и внедренными методическими рекомендациями по построению комплекса эффективных механизмов организационного управления информационными р и с к а м и ко р пора ц и й.
В соответствии с формулой специальности 05.13.19 "Методы и системы защиты информации, информационная безопасность", в диссертации решались задачи организационного управления информационной безопасности. Полученные в диссертации научные результаты соответствуют следующим пунктам области исследования специальности 05.13.19:
- теория и методология обеспечения информационной безопасности и защиты информации (п.1);
- методы, модели и средства выявления, идентификации и классификации угроз нарушения информационной безопасность объектов различного вида и класса (п.З);
-анализ рисков нарушения информационной безопасности и уязвимости процессов переработки информации в информационных системах любого вида и области применения (п.7);
- модели противодействия угрозам нарушения информационной безопасности для любого вида информационных систем (п.З);
- модели и методы оценки защищенности информации и информационной безопасности объекта (п.9);
- модели и методы оценки эффективности систем (комплексов) обеспечения информационной безопасности объектов защиты (и. 10);
-модели и методы управления информационной безопасностью (п. 15).
Реализация результатов работы. Полученные в диссертационной работе результаты использованы при разработке, адаптации и внедрении систем управления информационными рисками в следующих организациях и предприятиях: Министерство информационных технологий и связи, Федеральное агентство по информационным технологиям, Группа компаний «Информационные бизнес системы», ООО «ИБС Экспертиза», ЗАО «Орбита», ООО «Проектный институт «Гипроком», а гакже в учебном процессе ряда ВУЗов, что подтверждено актами и справками о внедрении.
Личный вклад. Все основные результаты получены автором самостоятельно.
Связь с планом. Исследования по теме диссертационной работы проводились в соответствии с плановой тематикой работ Учреждения Российской академии наук Института проблем управления им. В.А. Трапезникова РАН (ИПУ РАН) в рамках координационных планов научных исследований РАН.
Апробация работы. Основные результаты, полученные в диссертационной работе, докладывались на: семинарах ИПУ РАН, МФТИ, МИЭМ, Академии ФСО, ВГТУ, а также на следующих научных конференциях: всесоюзном симпозиуме «Современные проблемы математической экономики» (Вильнюс, 1984), научно-практической конференции «Методы и средства технической защиты информации» (Обнинск, 2004), международной конференции и российской научной школе «Системные проблемы надежности, качества информационных и электронных технологий. Информационные бизнес системы» (Сочи, 2004), международных научных конференциях «Современные сложные системы управления» (Воронеж, 2005; Краснодар, 2005; Тверь, 2008), международной научно-практической конференции «Теория активных систем» (Москва, 2005), 2-ом всероссийском форуме
Информационная безопасность. Практические подходы» (Москва, 2005), 2-ой всероссийской научно-практической конференции «Проблемы экономики современных промышленных комплексов» (Самара, 2006), конференции «Управление инновациями» (Москва, 2006), XI международном форуме «Технологии безопасности» (Москва, 2006), 1-ой всероссийской ежегодной научно-практической конференции «Информационные бизнес системы» (Москва, 2009), научно-практической конференции «Инновации в условиях развития информационно-коммуникационных технологий» (Сочи, 2008, 2009), всероссийской конференции «Обеспечение информационной безопасности. Региональные аспекты» (Сочи, 2006, 2007, 2008, 2009), всероссийской конференции по информационной безопасности «Инфофорум» (Москва, 2005, 2006, 2007, 2008, 2009, 2010, 201 1).
Публикации. Всего автором опубликовано более 70 печатных работ. По теме диссертационного исследования автором опубликованы 48 печатных работ общим объемом 54,3 печатных листа (личный вклад автора составляет 42,4 печатных листа), в том числе учебное пособие для вузов « И н ф о р м а ц и о н н а я безопасность», м огюграфп и: « О р га н и з а ц и о н н ы е м е х а н и змы управления информационными рисками корпораций», «Современная модель эффективного бизнеса», «Информационные технологии: особенности применения и приоритетные направления развития», «Модели и методы организационного управления информационными рисками корпораций», а также 17 статей в ведущих рецензируемых научных журналах, рекомендованных ВАК.
Структура и объем работы. Диссертационная работа состоит из введения, семи глав, заключения, списка литературы и приложения. Работа содержит 347 страниц текста (без Приложения), включая 28 рисунков и 16 таблиц. Список литературы включает 322 наименования. Приложение содержит акты и справки, подтверждающие практическую реализацию и внедрение результатов диссертацион но го исследован и я.
Заключение диссертация на тему "Модели и методы организационного управления информационными рисками корпораций"
Основные результаты и выводы.
В результате выполненного диссертационного исследования решена крупная научная проблема разработки комплекса теоретико-игровых и оптимизационных моделей и методов эффективного организационного управления информационными рисками корпораций, имеющая важное значение для обеспечения информационной безопасности Российской Федерации.
Основные научные и практические результаты, полученные в диссертационном исследовании, состоят в следующем:
1. Проведен анализ отечественного и зарубежного опыта исследования и использования моделей и методов организационного управления информационными рисками, сформулированы требования к ним и выявлена их специфика, в том числе, существенная зависимость от организационной структуры кор пора и и и.
2. Для основных классов организационных систем построены модели информационных угроз и контрмер, на основе которых построены модели организационного управления информационными рисками, реализуемые на базе механизмов управления организационными системами следующих классов: мотивационного, институционального и информационного.
3. Из механизмов управления организационными системами сформирован набор моделей и методов эффективного организационного управления информационными рисками, включающий механизмы планирования (распределения ресурса), стимулирования, страхования, управления ограничениями и нормами деятельности и информационного управления, который может быть успешно использован, чтобы противостоять всем основным классам информационных угроз, реализует все основные классы контрмер, а также подходит для корпораций с различными организационными структурами.
Из этого набора выделен комплекс основных (базовых) механизмов (планирования, стимулирования и страхования), которые образуют необходимый и минимально достаточный набор моделей и методов организационного управления информационными рисками корпораций.
4. Для моделей планирования: сформулированы и решены задачи анализа и синтеза механизмов планирования (распределения ресурса на мероприятия по снижению информационных рисков) для различных типов структур управления корпорацией:
-для случая полной информированности центра предложена арбитражная схема распределения ресурса, для которой доказано существование и единственность решения специального вида («максимально-стимулирующего» решения), а также для ряда практически важных частных случаев решение получено в аналитической форме',
-для случая асимметричной информированности, когда у агентов появляется возможность манипулирования сообщаемой центру информацией, получено решение задачи нахождения минимального суммарного количества ресурса, при котором заданное множество агентов получает оптимальное для себя количество ресурса;
-для случая асимметричной информированности, когда центр может влиять лишь на информированность агентов, сформулирована и решена задача рефлексивного управления'. найдены оптимальные информационные воздействия - стабильные представления о типах оппонентов, которые центру следует сформировать у агентов, чтобы агенты сообщили заявки, приводящие к требуемому центру распределению ресурса.
5. Для моделей стимулирования: решена задача синтеза оптимальной системы стимулирования центром агентов на основании результатов оценки уровня информационного риска, достигнутого в результате деятельности агента и уровня допустимого информационного риска, установленного для этого агента центром.
6. Для моделей страхования: решена задача синтеза механизмов страхования, которые могу г способствовать увеличению отчислений на проведение предупредительных мероприятий по снижению информационных рисков в условиях ограниченного бюджета.
7. Для моделей контроля: разработаны методы (алгоритмы) контроля эффективности выбранного агентом набора контрмер и .методы (алгоритмы) определения значений базовых контрольных параметров при организационном управлении информационными рисками корпораций.
8. Разработана «Методика организации проектных работ в области оценки и управления информационными рисками», принятая в ряде организаций в качестве корпоративного стандарта.
9. Полученные теоретические и прикладные результаты использованы в следующих организациях: Министерство информационных технологий и связи, Федеральное агентство по информационным технологиям, ООО «ИБС Экспертиза», Группа компаний «Информационные бизнес системы», ЗАО «Орбита», ООО «Проектный институт «Гипроком», а также в учебном процессе ряда ВУЗов, что позволило повысить обоснованность и эффективность принимаемых в этих организациях управленческих решений и способствовало совершенствованию учебного процесса. Практическая значимость результатов подтверждена актами и справками о внедрении.
ЗАКЛЮЧЕНИЕ
Библиография Калашников, Андрей Олегович, диссертация по теме Методы и системы защиты информации, информационная безопасность
1. Военная доктрина Российской Федерации: утверждена Указом Президента Российской Федерации от 05.02.2010 № 146 // Российская газета. -10.02.2010. -№ 27.
2. Государственная программа Российской Федерации «Информационное общество (2011 2020 годы)»: утверждена Распоряжением правительства Российской Федерации от 20.10.2010. № 1 81 5-р //.
3. Доктрина информационной безопасности Российской Федерации: утверждена решением Президента Российской Федерации от 09.09.2000 № Пр-1895 // Российская газета. 28.09.2000. - № 187.
4. Концепция формирования в Российской Федерации электронного правительства до 2010 года: утверждена распоряжением Правительства Российской Федерации от 06.05.2008 № 632-р // Собрание законодательства Российской Федерации. 19.05.2008. - № 20. - ст. 2372.
5. О персональных данных: Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ (ред. Федерального закона от 25.1 1.2009) // Собрание законодательства Российской Федерации. 3 1.07.2006. - № 3 1 (1 ч.). -ст. 3451.
6. Об информации, информационных технологиях и о защите информации: Федеральный закон Российской Федерации от 27.06.2006
7. ФЗ.: в ред. Федерального закона от 27.07.2010 N 227-ФЗ // Собрание законодательства Российской Федерации. 3 1.07.2006. - № 3 1 (1 ч.). - ст. 3448.
8. Основы политики Российской Федерации в области развития науки и технологий на период до 2010 года и дальнейшую перспективу: утверждено решением Президента Российской Федерации от 30.03.2002 № Пр-576. //.
9. Стратегия национальной безопасности Российской Федерации до 2020 года: утверждена Указом Президента Российской Федерации от 12.05.2009 №537 // Собрание законодательства Российской Федерации. -18.05.2009. -№ 20. ст. 2444.
10. П. Стратегия развития информационного общества в Российской Федерации: утверждена Президентом Российской Федерации от 07.02.2008 № Пр-212 // Российская газета. 16.02.2008. - № 34.
11. Абдикеев, 11.N4. Проектирование интеллектуальных систем в экономике: учебное пособие / Н.М. Абдикеев. Под ред. д.э.н., проф. Н.П. Тихомирова. М.: Издательство «Экзамен», 2004. - 528 с.
12. Автоматизированные информационные, ресурсы России. Состояние и тенденции развития (Национальный доклад) // Вестник Российского общества информатики и вычислительной техники. 1994. - № 4-5. - С. 7 - 66.
13. Александрович, Г.Я. Автоматизация оценки информационных рисков компании / Г.Я. Александрович, С.Н. Нестеров, С.А. Петренко // Информационно методический журнал «Защита информации. КОНФИДЕНТ». - 2003. - № 2(50) - С. 78 - 81.
14. Алексеев, В.М. Комплекс защиты информации для автоматизированных информационных систем с использованием баз данных / В.М. Алексеев и др. // Безопасность информационных технологий. 1994. -№3-4.-С. 128 - 130.
15. Андерсон, Р. Чтобы системы на смарт-картах были надежными / Р. Андерсон // Конфидент. 1995. - № 3. - С. 61 - 68.
16. Арзуманов, C.B. Оценка эффективности инвестиций в информационную безопасность / C.B. Арзуманов // Информационнометодический журнал «Защита информации. И НС А ИД». 2005. - № 1(1). — С. 23 - 25.
17. Артамонов, B.C. Новые технологии в деятельности подразделений и организаций МЧС России / B.C. Артамонов. // Вестник Санкт-Петербургского института ГГ1С МЧС России. 2004. - № 2. - С. - .
18. Артамонов, B.C. Методологические аспекты теории анализа и управления риском на основе формализации экспертной информации / B.C. Артамонов, A.B. Спесивцев. // Вестник Санкт-Петербургского института ГПС МЧС России. 2005. - № 3 (10). - С. - .
19. Артамонов, B.C. Методы многокритериальной оценки качества ведомственной информационной сети / B.C. Артамонов, A.A. Рыков,
20. A.C. Рыков // Вестник Санкт-Петербургского института ГПС МЧС России. -2004. -№2. -С.-.
21. Артамонов, B.C. Основные положения теории управления риском /
22. B.C. Артамонов. // Вестник Санкт-Петербургского института ГПС МЧС России. 2003. - № 3. - С. - .
23. Артамонов, B.C. Теоретические основы построения систем управления риском (системно-формальный аспект) / B.C. Артамонов. // Вестник Санкт-Петербургского института ГПС МЧС России. 2003. - № 3. - С. - .
24. Астахов, A.M. Искусство управления информационными рисками / A.M. Астахов. М.: ДМК Пресс, 2010. - 3 1 2 с.
25. Балабанов, И.Т. Риск-менеджмент / И.Т. Балабанов М.: Финансы и статистика, 1996. - 192 с.
26. Баранов, Д. Оценка эффективности управления рисками / Д. Баранов // Information Security. Информационная безопасность. 2004. - № 2.1. C. 26-28.
27. Баркалов, С.А. Модели управления конфликтами и рисками / С.А. Баркалов и др.; под ред. Д.А. Новикова. Воронеж: Научная книга, 2008 -495 с. ISBN 978-5-98222-358-6.
28. Баркалов, С.А. Рефлексивная модель распределения корпоративныхресурсов / С.А. Баркалов, А.О. Калашников, П.И. Семенов, А.М. Потапенко // Вестник Воронежского государственного технического университета. -Воронеж, 2005. -№ 10. T. I. С. 61-63.
29. Бармен, С. Разработка правил информационной безопасности / С. Бармен; пер. с англ. М.: Издательский дом «Вильяме», 2002. - 208 с. ISBN 5-8459-0323-8.
30. Баронов, В.В. Информационные технологии и управление предприятием / Баронов В.В и др. M.: Компания АйТи, 2004. - 328 с.
31. Бартон, Т. Комплексный подход к риск-менеджменту: стоит ли этим заниматься / Т. Бартон, У. Шеннир, П. Уильям. М.: Издательский дом «Вильяме», 2003. - 208 с.
32. Батурин, Ю.М. Компьютерная преступность и компьютерная безопасность / Ю.М. Батурин, А.М. Жодзишский. М.: Юридическая литература, 1991. - 160 с.
33. Баутов, А. Экономический взгляд на проблемы информационной безопасности / А. Баутов // «Открытые системы». 2003. - № 2 - С 34 - 37.
34. Баутов, А. Эффективность защиты информации / А. Баутов // «Открытые системы». 2003. - № 7-8. - С 56 - 60.
35. Брусничкин, Г.Д. Способы оценки затрат и проблемы освоения рынка информационной безопасности / Г.Д. Брусничкин // Information Security. Информационная безопасность. 2004. - № 2. - С. 28 - 29.
36. Бурдин, О.А. Оценка рисков компьютеризации организационных систем / О.А. Бурдин // Проблемы управления информационной безопасностью: Сборник трудов ИСА РАН. Под. ред. д.т.н., проф. Д.С. Черешкина. М.: Едиториал УРСС - 2002. - С. 106 - 1 1 1.
37. Бурков, В.Н. Большие системы: моделирование организационных механизмов / В.Н. Бурков и др.. М: Наука, 1989. - 245 с.
38. Бурков, В.Н. Введение в теорию управления организационными системами: Учебник. / В.Н. Бурков, H.A. Коргин, Д.А. Новиков; под. ред. Д.А. Новикова. М.: Книжный дом «ЛИБРОКОМ», 2009. - 264 с. iSBN 978-5397-0041 1-4.
39. Бурков, В.Н. Задачи оптимального управления промышленной безопасностью / В.Н. Бурков, А.Ф. Грищенко, О.С. Кулик. М.: ИПУ РАН, 2000. - 70 с.
40. Бурков, В.Н. Как управлять проектами / В.Н. Бурков, Д.А. Новиков. -М.: Синтег, 1997,- 190 с.
41. Бурков, В.Н. Механизмы корпоративного управления / В.Н. Бурков и др.. М.: ИПУ РАН, 2004. - 109 с.
42. Бурков, В.Н. Механизмы страхования в социально-экономических системах / В.Н. Бурков, A.IO. Заложнев, О.С. Кулик, Д.А. Новиков М.: ИПУ РАН, 2001. - 109 с.
43. Бурков, В.Н. Механизмы управления эколого-экономическими системами / В.Н. Бурков, Д.А. Новиков, A.B. Щепкин. Под. ред. акад. С.Н. Васильева М.: Издательство физико-математической литературы, 2008. -244 с.
44. Бурков, В.Н. Механизмы функционирования организационных систем / В.Н. Бурков, В.В. Кондратьев. М.: Наука, 1981. - 384 с.
45. Бурков, В.Н. Механизмы функционирования социально -экономических систем с сообщением информации / В.Н. Бурков,
46. A.К. Еналеев, Д.А. Новиков // Автоматика и Телемеханика. 1996. - № 3. -С. 3-26.
47. Бурков, В.Н. Модели и методы управления безопасностью /
48. B.Н.Бурков, С.И. Дзюбко, A.B. Щепкин. М.: Синтег, 2001. - 160 с.
49. Бурков, В.Н. Модели и механизмы распределения затрат и доходов в рыночной экономике / В.Н. Бурков и др.. М.: ИПУ РАН, 1997. - 57 с.
50. Бурков, В.Н. Основы математической теории активных систем / В.Н. Бурков. М.: Наука, 1977.- 255 с.
51. Бурков, В.Н. Теория активных систем: состояние и перспективы /
52. B.Н. Бурков, Д.А. Новиков. М.: СИНТЕГ, 1999. - 128 с.
53. Бурков, В.Н. Управление риском: механизмы взаимного и смешанного страхования / В.Н. Бурков, А.Ю. Заложнев, Д.А. Новиков. // Автоматика и телемеханика. 2001. - № 10. - С. 125-131.
54. Бурков, В.Н. Экологическая безопасность / В.Н. Бурков, A.B. Щепкин -М.:ИПУ РАН, 2003.-92 с.
55. Буянов, В.П. Рискология (управление рисками): Учебное пособие. 2-е изд. испр. и доп. / В.Н. Буянов, К.А. Кирсанов, Л.М. Михайлов. М.: «Экзамен», 2003. - 384 с.
56. Виханский, О.С. Менеджмент: человек, стратегия, организация, процесс: учебник/ О.С. Виханский, А.И. Наумов М.: Гардарика, 1996.-416с.
57. Вишняков, Я.Д. Управление обеспечением безопасности предприятий: экономические подходы / Я.Д. Вишняков, С.А. Харченко // Менеджмент в России и за рубежом. 2001. - № 5. - С. 72 - 79.
58. Вовченко, В.В. Проблемы защиты информации от экономического шпионажа / В.В. Вовченко, И.О. Степанов // Конфидент. 1994. - № 1.1. C. 48-65.
59. Воробьев, H.H. Основы теории игр. Бескоалиционные игры. / H.H. Воробьёв. М.: Наука, 1984. - 496 с.
60. Воробьев, С.И. Управление рисками в предпринимательстве / С.Н. Воробьев, К.В. Балдин. М.: Издательско - торговая корпорация «Дашков и К0», 2005. - 772 с.
61. Воронин, A.A. Математические модели организаций: Учебное пособие / A.A. Воронин и др.. М.: ЛЕЛАНД, 2008. - 360 с.
62. Воссоздание системы информационного обеспечения управления страной может претендовать на роль пятого национального проекта
63. Электронный ресурс. / Н.И. Ильин. // «Академия Тринитаризма». М.: Эл. № 77-6567.-22.12.2006.-публ. 14103.
64. Гаек, Я. Теория ранговых критериев / Я. Гаек, 3. ULI и да к. -М.: Наука,1971.-376 с.
65. Гапоненко, А.Л. Стратегическое управление: учебник /
66. A.Л. Гапоненко, А.П. Панкрухин. М.: Омега-Л, 2004. - 472 с.
67. Гарбарчук, Д. А. «Группа МОСТ»: Структура службы безопасности / Д.А. Гарбарчук // Системы безопасности. 1995. - № 5. - С. 54 - 55.
68. Герасименко, В.А. Защита информации в автоматизированных системах обработки данных. Кн. 1, 2. / В. А. Герасименко. М.: Энергоатомиздат, 1994. - 568 с.
69. Герасименко, В.А. Основы защиты информации. Учебное пособие. /
70. B.А. Герасименко, A.A. Малюк. М.: МИФИ, 1997. - 538 с.
71. Гермейер, Ю.Б. Введение в теорию исследования операций / Ю.Б. Гермейер. М.: Наука, 1971. - 383 с.
72. Гермейер, Ю.Б. Игры с не противоположными интересами. Теория принятия решения при неполном единстве / Ю.Б. Гермейер. М.: Изд-во МГУ,1972,- 183 с.
73. Гордеев, Ю.А. Система страхования компьютерных рисков как важное условие обеспечения безопасности / Ю.А. Гордеев, Н.В. Ключко,
74. A.A. Кононов. // Информационное общество. 2002. - Вып. 1. - С. 27 - 28.
75. Гостев, И.М. Безопасность бесполезная трата денег или выгодное вложение / И.М. Гостев // Информационно - методический журнал «Защита информации. КОНФИДЕНТ». - 2003. - № 4(52). - С. 44 - 47 (начало).
76. Гостев, И.М. Безопасность бесполезная трата денег или выгодное вложение / И.М. Гостев // Информационно - методический журнал «Защита информации. КОНФИДЕНТ». - 2003. - № 5(53). - С. 16 - 18 (окончание).
77. Гранатуров, В.М. Экономический риск: сущность, методы измерения, пути снижения: Учебное пособие. 2-е изд. перераб. и доп. /
78. B.М. Гранатуров М.: «Дело и Сервис», 2002. - 160 с. ISBN 5-8018-0060-3.
79. Грибунин, В.Г. Политика безопасности: разработка и реализация / В.Г. Грибунин // nfonnalionSecurity. Информационная безопасность. -2005. -№ 1. С. 18-20.
80. Гринберг, A.C. Защита информационных ресурсов государственного управления: Учеб. пособие для вузов / A.C. Гринберг, H.H. Горбачев, A.A. Тепляков М.: ЮНИТИ - ДАНА, 2003. - 327 с.
81. Гроот, М. Оптимальные статистические решения / М. Гроот. М.: Мир, 1974.-492 с.
82. Губанов, Д.А. Теоретико-игровые модели информационного противоборства в социальных сетях / Д.А. Губанов, А.О. Калашников, Д.А. Новиков // Управление большими системами. М.: ИПУ РАН. - 2010. -Выпуск 31.-С 192- 204.
83. Губко, М.В. Теория игр в управлении организационными системами. Учебное пособие. Серия «Управление организационными системами». / М.В. Губко, Д.А. Новиков. М.: СИНТЕГ, 2002. - 148 с.
84. Губко, М.В. Управление организационными системами с коалиционным взаимодействием участников / М.В. Губко. М.: ИПУ РАН, 2003.- 140 с.
85. Данилина, Н.М. Проблемы страхования информационных рисков / Н.М. Данилина, A.C. Кузьмин, В.А. Нярин /У Вопросы защиты информации. -М.:ВНИИМИ. 2001. - №3. - С. 2 - 6.
86. Дьяконов, Д.Г. Страхование информационных рисков как метод защиты информации /' Д.Г. Дьяконов // Хозяйство и право. 2001. - №> 3. -С. 25 - 33.
87. Емельянов Г.В. Информационная безопасность России. Ч. 1. Основные понятия и определения: учебное пособие / Г.В. Емельянов, A.A. Стрельцов. Под ред. проф. A.A. Пригожева. М.: РАГС при Президенте РФ, 1999.-52 с.
88. Емельянов, Г.В. О доктрине информационной безопасности Российской Федерации / Г.В. Емельянов, A.A. Стрельцов // Информационное общество. 2000. - № 3. - С. 22 - 25.
89. Емельянов, Г.В. Проблемы обеспечения информационно-психологической безопасности России / Г.В. Емельянов, В.Е. Лепский, A.A. Стрельцов // Информационное общество. 1999. - № 3. - С. 47 - 5 1.
90. Жаринов В.Ф. К вопросу об использовании электронных идентификаторов Touch Memory в системах защиты конфиденциальной информации / В.Ф. Жаринов и др. // Конфидент. 1995. - № 3. - С. 26 - 3 1.
91. Завальный, П.И. Современные модели управления крупными компаниями / ГШ. Завальный, А.Ю. Силантьев // Менеджмент в России и за рубежом. 2006. - № 4. - С. 129 - 137.
92. Завгородний, В.И. Информационные риски и экономическая безопасность предприятия / В.И. Завгородний М.: Финакадемия, 2008. — 160 с.
93. Завгородний, В.И. Информационные риски: сущность, концепция управления / В.И. Завгородний М.: ЗАО «Издательство «Экономика», 2007. -176 с.
94. Завгородний, В.И. Оценка расходов на управление информационными рисками / В.И. Завгородний // Проблемы теории и практики управления. 2006. - №4. - С.82 - 88.
95. Завгородний, В.И. Системное управление информационными рисками. Выбор механизмов защиты от информационных рисков / В.И. Завгородний // Проблемы управления. 2009. - № 1. — С. 53 - 58.
96. Завгородний, В.И. Управление информационными рисками предприятия / В.И. Завгородний М.: ИНИОН РАН, 2009. - 1 74 с.
97. Заложнев, Д.А. Модели тарифно-премиальных систем оплаты труда /Д. А. Заложнев, Д. А. Новиков М.: ИПУ РАН, 2006. - 75 с.
98. Заложнев, Д-А. Модели тарифно-премиальных систем стимулирования / Д.А. Заложнев, А.О. Калашников, Д.А. Новиков // Автоматика и Телемеханика. 2007. - № 3. - С. 142 - I 53.
99. Зацаринный, A.A. Тенденции развития современных инфокоммуникационных технологий с учетом концепции сете-центрических войн / A.A. Зацаринный, Ю.С. Ионенков // Системы и средства информатики. -2006.-Вып. 16.-С. 46-64.
100. Зацаринный, A.A. Тенденции развития современных инфокоммуникационных технологий с учетом концепции сетецентрических войн / A.A. Зацаринный, С.П. Присяжнюк, Ю.С. Ионенков // Информация и космос.-2006,-№4.-С. 85 -93.
101. Зегжда, Д.П. Основы безопасности информационных систем / Д.П. Зегжда, A.M. Ивашко. М.: Горячая линия - Телеком, 2000. - 452 с.
102. Зегжда, ГТ.Д. Проблемы безопасности информационных технологий / П. Д. Зегжда, В.А. Матвеев, Э.М. Шмаков // Приборы и системы управления. -1995,-№6. -С. 4-7.
103. Зима, В.М. Безопасность глобальных сетевых технологий. 2-е изд. / В.М. Зима, A.A. Молдовян, H.A. Молдовян. СПб.: БХВ Петербург, 2003. -368 с. ISBN 5-94157-213-1.
104. Иващенко, A.A. Конкурсная система стимулирования / A.A. Иващенко// Автоматика и Телемеханика. 2005. - № 10.-С. 126- 129.
105. Иващенко, A.A. Механизмы финансирования инновационного развития фирмы / A.A. Иващенко, Д.В. Колобов, Д.А. Новиков. М.: ИПУ РАН, 2005.-66 с.
106. Иващенко, A.A. Модели и методы оценки эффективности портфеля проектов / A.A. Иващенко, H.A. Коргин, Д.А. Новиков // Системы управления и информационные технологии. 2005. - № 3(20). - С. 92 - 98.
107. Иващенко, A.A. Модели и механизмы многокритериального стимулирования в организационных системах / A.A. Иващенко и др.. М.: ИПУ РАН, 2006. - 60 с.
108. Иващенко, A.A. Рефлексивное управление в модели распределения корпоративных ресурсов / A.A. Иващенко. А.О. Калашников, Д.А. Новиков // Труды восьмой международной конференции «Современные сложные системы управления». Краснодар, 2005. - С. 148 - 151.
109. Ивченко, Г.И. Математическая статистика: учеб. пособие / Г.И. Ивченко, Ю.И. Медведев М.: Высшая школа, 1984. - 248 с.
110. Ильин, Н.И. Развитие систем специального информационного обеспечения государственного управления / Н.И. Ильин. H.H. Демидов, П.Н. Попович. М.: «Медиа Пресс», 2009. - 287 с.
111. Информационное общество: Информационные войны. Информационное управление. Информационная безопасность. / Под. ред. М.А. Вуса. СПб.: Издательство Санкт-Петербургского университета, 1999. -212 с.
112. Искаков, М.Б. Равновесие в безопасных стратегиях / М.Б. Искаков // Автоматика и Телемеханика. 2005. - № 3. - С. 139 - 153.
113. Автоматизация, роботизация и интеллектуализация производства». М.: МИЭМ,- 1986. - С. 37-41.1 16. Калашников, А.О. Есть ли у российских компаний стимулы следовать стандартам ИБ? / А.О. Калашников // ИнформКурьер Связь. -2006. -№4. -С. 59 -60.
114. Калашников, А.О. Максимально стимулирующее решение в арбитражной схеме / А.О. Калашников, В.И. Ротарь // Тезисы докладов и сообщений всесоюзной конференции «Современные проблемы теории игр и принятия решений». Ленинград, 1985. - С. 73 - 75.
115. Калашников, А.О. Механизмы организационного управления информационными рисками корпораций / А.О. Калашников // Информация и Безопасность. 201 1. - вып.2.,т. 14. - С. 259 - 266.
116. Калашников, А.О. Об одном классе предпочтений в пространстве распределений (учет роста и разброса) / А.О. Калашников, В.И. Ротарь // Модели и методы стохастической оптимизации. М.: ЦЭМИ. - 1983. - С. 77- 89.
117. Калашников, А.О. Обратная задача распределения ресурса на мероприятия по обеспечению информационной безопасности корпораций / А.О. Калашников // Труды конференции МФТИ. Часть 1. Долгопрудный, 2005.-С. 125 - 126.
118. Калашников, А.О. Организационные механизмы управления информационными рисками корпораций / А.О. Калашников. М.: Г1МСОФТ, 2008. - 175 с.
119. Калашников, А.О. Организационные механизмы управления информационной безопасностью корпораций: дис. канд. техн. наук: 05.13.10: защищена 01.02.2006 : утв. 23.06.2006 / Калашников Андрей Олегович. — Воронеж, 2006 1 58 с.
120. Калашников, А.О. Основы безопасности информационных порталов / А.О. Калашников // Мир и безопасность. 2005. - №4. - С. - .
121. Калашников, А.О. Практические вопросы аудита состояния информационной безопасности корпоративных информационных систем / А.О. Калашников, М.М. Котухов, И.А. Личманов // Information Security. Информационная безопасность. 2004 - № 3. - С. 28 - 3 1.
122. Калашников, А.О. Риски ИБ: методология обоснования инвестиций / А.О. Калашников; бесед. А. Шуклин // ITNews. 2009. - № 6 (126). - С. 12 -13.
123. Калашников, А.О. Управление информационными рисками с использованием арбитражных схем / А.О. Калашников // Системы управления и информационные технологии. 2004. - № 4 (16) - С. 57-61.
124. Калашников, А.О. Формирование корпоративной политики внутренней информационной безопасности / А.О. Калашников и др. // BYTE Россия. Журнал для ИТ-профессионалов. 2006. - №4 (92). - С. 36 - 37.
125. Калашников, А.О. «Максимально стимулирующее» решение в задаче управления информационными рисками организационных систем / А.О. Калашников // Системы управления и информационные технологии. 2006. -№3(25).-С. 45-51
126. Калашников, А.О. Анализ частных случаев «максимально стимулирующего» решения в задаче управления информационными рисками организационных систем / А.О. Калашников // Системы управления иинформационные технологии. 2006. - № 4(26). - С. 53 - 59.
127. Калашников, А.О. Арбитражная модель ресурсного обеспечения информационной безопасности организационных систем / А.О. Калашников // Управление большими системами. 2006. - № 14.-С. 91 -105.
128. Калашников, А.О. Арбитражная модель управления информационными рисками организационных систем / А.О. Калашников // Системы управления и информационные технологии. 2006. - № 3 (25). - С. 41-45
129. Калашников, А.О. Выбор эффективного проекта системы обеспечения информационной безопасности / А.О. Калашников // Труды Конференции «Управление инновациями». М.: ИПУ РАН. - 2006. - С. 356 -359.
130. Калашников, А.О. Информационные технологии: особенности применения и приоритетные направления развития / А.О. Калашников и др.. Под общ. ред. С.С. Чернова. Книга 2. Новосибирск: ЦРНС - Изд-во «СИБПРИНТ», 2008. - 153 с.
131. Калашников, А.О. Когда экономить нельзя, но хочется. / А.О. Калашников и др.; бесед. Ю. Кольдичева // Network World. Сети. 2004. -№10 (171).-С. 28 - 33.
132. Калашников, А.О. Модели и методы организационного управления информационными рисками корпораций / А.О. Калашников. М.: Эгвес, 201 1. - 312 с.
133. Калашников, А.О. Надо строить безопасные системы, а не системы безопасности / А.О. Калашников // СЮ. Chief Information Officer -руководитель информационной службы. 2004. - № 4 (35). - С. 48 - 52, 201 -203.
134. Калашников, А.О. Наш ответ рынку / А.О. Калашников // Information Security. Информационная безопасность. 2005. - № 3. - С. 32.
135. Калашников, А.О. Организационные механизмы управления информационной безопасностью корпораций / А.О. Калашников // Труды XIII Конференции «Управление безопасностью сложных систем». М.: ИПУ РАН, 2005.-С. 499-501.
136. Калашников, А.О. Построение эффективной системы обеспечения информационной безопасности / А.О. Калашников // Информационные ресурсы России. 2006. - № 4 (92). - С. 3 I - 32.
137. Калашников, А.О. Предупредительная роль страхования в управлении информационными рисками / А.О. Калашников // Системы управления и информационные технологии. 2009. - № 1.3(35). - С. 351 - 356.
138. Калашников, А.О. Предупредительная роль страхования в управлении информационными рисками многоэлементных систем / А.О. Калашников // Системы управления и информационные технологии. — 2009. № 1.3(35). - С. 356 - 360.
139. Калашников, А.О. Роль механизмов страхования в снижении информационных рисков / А.О. Калашников // Бизнес Информатика. - 2009. -№3 (9).-С. 34-40.
140. Калашников, А.О. Роль страхования в управлении информационными рисками / А.О. Калашников // Инновации в условиях развития информационно-коммуникационных технологий: Материалы научно практической конференции. М.: МИЭМ. - 2009. - С. 384 - 387.
141. Калашников, А.О. Современная модель эффективного бизнеса / А.О. Калашников и др.. Под общ. ред. С.С. Чернова. Книга 3. Новосибирск: ЦРНС - Изд-во «СИБПРИНТ», 2008. - 1 75 с.
142. Калашников, А.О. Управление информационными рисками автономных организационных систем / А.О. Калашников // Системы управления и информационные технологии. 2008. -№ 2.2 (32). - С. 262 - 267.
143. Калашников, А.О. Управление информационными рисками взаимодействующих организационных систем / А.О. Калашников // Системыуправления и информационные технологии. 2008. - № 1.3(3 I). - С. 375 - 380.
144. Калашников, А.О. Управление информационными рисками организационных систем: базовая модель / А.О. Калашников // Системы управления и информационные технологии. 2008. - № 1.3(3 L). - С. 366 - 371.
145. Калашников, А.О. Управление информационными рисками организационных систем: взаимосвязь неопределенностей, угроз и контрмер / А.О. Калашников // Системы управления и информационные технологии. -2008.-№3.1 (33).-С. 151-156.
146. Калянов, Г.Н. Консалтинг: от бизнес-стратегии к корпоративной информационной системе управляющей системе / Г.Н. Калянов М.: Горячая линия - Телеком., 2004. - 208 с.
147. Караваев, А.П. Модели и методы управления составом активных систем / А.П. Караваев. М.: ИПУ РАН, 2003. - 1 5 1 с.
148. Конеев И.Р. Информационная безопасность предприятия / И.Р. Конеев, А.В. Беляев. СПб.: БХВ Петербург, 2003. - 752 с. ISBN 5-94157280-8.
149. Коновальчук, Е.В. Модели и методы оперативного управления проектами / Е.В. Коновальчук, Д.А. Новиков. М.: ИПУ РАН, 2004. - 63 с.
150. Кононов, А. А. Проблемы управления информационной безопасностью бизнеса / А.А. Кононов // Проблемы управления информационной безопасностью: сборник трудов ИСА РАН. Под. ред. д.т.н., проф. Д.С. Черешкина. М.: Едиториал УРСС. - 2002. - С. 78 - 91.
151. Конявская, С.В. Страхование информационных рисков: подводные камни / С.В. Конявская // Information Security. Информационная безопасность. 2006 - 2007. - № 6 - 1. - С. 58 - 59.
152. Конявский, В. А. Система страхования информационных рисков, как экономический механизм компенсации ущерба при воздействии угроз информационной безопасности / В.А. Конявский, В.Н. Хованов // ИНФОРМОСТ Средства связи. - 2003. - № 2 (.15).
153. Корн, Г. Справочник по математике для научных работников и инженеров / Г. Корн, Т. Корн. М.: Наука. Главная редакция физико-математической литературы, 1984. - 830 с.
154. Котухов, М.М. Информационная безопасность: учебное пособие / М.М. Котухов, А.Н. Кубанков, А.О.Калашников. М.: МФТИ, 2009. -195 с.
155. Кочиева, Т.Б. Базовые системы стимулирования / Т.Б. Кочиева, Д.А. Новиков. М.: Апостроф, 2000. - 108 с.
156. Круглов, С.Н. Страхование информационных рисков в России / С.ГТ. Круглов // Information Security. Информационная безопасность. 2007. -№ 5. -С.1 1.
157. Кузнецова, Н.В. Управление рисками: Учебное пособие. / Н.В. Кузнецова. Владивосток: ТИДОТ ДВГУ, 2004. - 168 с.
158. Кузьминых, С.И. Методологические принципы проектирования интегрированных систем безопасности / С.И. Кузьминых, С.В. Забияко // Информационно методический журнал «Защита информации. КОНФИДЕНТ». - 2002. - № 1 (43) - С. 36 - 40.
159. Кузьмицкий, А.А. Организационные механизмы управления развитием приоритетных направлений науки и техники / А.А. Кузьмицкий, Д.А. Новиков. М.: ИПУ РАН, 1993. - 68 с.
160. Кульба, В.В. Введение в информационное управление / В.В. Кульба и др.. СПб.: Издательство Санкт-Петербургского университета, 1999,- 116 с.
161. Лефевр, В.А. Алгебра конфликта / В.А. Лефевр, Г.Л. Смолян. М.: Либроком, 201 1. - 70 с.
162. Лефевр, В.А. Алгебра совести / В.А. Лефевр. М.: Когито-Центр,202.-426 с.
163. Лефевр, В.А. Конфликтующие структуры. Изд. 2-е перераб. и доп. / В.А. Лефевр. М.: Советское радио, 1973. - 158 с.
164. Лефевр, В.А. Лекции по теории рефлексивных игр / В.А. Лефевр. -Когито-Центр, 2009. 224 с.
165. Лефевр, В.А. Рефлексия / В.А. Лефевр. М.: Коги го-Центр, 2003. -496 с.
166. Логинов, А.Л. Общие принципы функционирования международных электронных платежных систем и осуществление мер безопасности при защите от злоупотребления и мошенничества / А.Л. Логинов, Н.С. Елхимов // Конфидент. 1995. -№ 2. - С. 48 - 54.
167. Лопатин, В.Н. Информационная безопасность России: Человек. Общество. Государство. / В.Н. Лопатин. Санкт-Петербургский университет МВД России. - СПб.: Фонд «Университет», 2000. - 428с. ISBN 5-93598-030-4.
168. Лукацкий, A.B. Страхование информационных рисков / A.B. Лукацкий // Сети. 2003. -№ 12. - С 41 - 50.
169. Лукашевич, В.В. Менеджмент в структурно-логических схемах: Учебное пособие / В.В. Лукашевич М.: «Экзамен», 2003. - 224 с.
170. Лысаков, A.B. Договорные отношения в управлении проектами / A.B. Лысаков, Д.А. Новиков. М.: ИПУ РАН, 2004. - 100 с.
171. Маккарти, Л. IT-безопасность: стоит ли рисковать корпорацией? Пер. с англ. / Л. Маккарти. М.: КУДПЦ-ОБРАЗ, 2004. - 208 с. ISBN 5-95790013-3.
172. Малюк, A.A. Защита информации / A.A. Малюк. М.: МИФИ, 2002.- 52 с.
173. Малюк, A.A. Введение в защиту информации в автоматизированных системах / A.A. Малюк, C.B. Пазизин, Н.С. Погожин. -М.: Горячая линия телеком, 2001. - 148 с.
174. Малюк, A.A. Информационная безопасность: концептуальные иметодические основы защиты информации. Учебное пособие. / A.A. Малюк -М.: Горячая линия Телеком, 2004. - 280 с. ISBN 5-935 I 7-197-Х.
175. Марков, A.C. Разработка политики безопасности организации в свете новейшей нормативной базы / A.C. Марков, C.B. Миронов, B.JI. Цирлов // Информационно — методический журнал «Защита информации. КОНФИДЕНТ». 2004. - № 2(56). - С. 20 - 28.
176. Матвеев, A.A. Модели и методы управления портфелями проектов / A.A. Матвеев, Д.А. Новиков, A.B. Цветков. М.: ПМСОФТ, 2005. - 206 с.
177. Матюхин, В.Г. "Электронное государство" общенациональная информационная среда / В. Г. Матюхин; бесед. П. Шинкаренко // Проблемы теории и практики управления. — 2008. - № 6. - С. 8 - 1 5.
178. Матюхин, В.Г. Вопросы создания удостоверяющих центров в России / В.Г. Матюхин // Недвижимость и инвестиции. Правовое регулирование. 2004. - № 3 (20). - С. - .
179. Матюхин, В.Г. Сборник материалов Всероссийской конференции "Информационная безопасность России в условиях глобального информационного общества" / В.Г. Матюхин, под общ. ред. А.В.Жукова. М.: Бизнес + безопасность, 2001. - . с.
180. Матюхин, В.Г. Технологические аспекты формирования электронного правительства на региональном уровне / В.Г. Матюхин // Информационное общество. 2006. - Вып.4. - С. 16-18.
181. Менеджмент организации: современные технологии / Под ред. проф. Н.Г. Кузнецова, проф. ИГО. Солдатовой. Ростов-н/Дон: «Феникс», 2002.-480 с.
182. Методы моделирования конфликтных взаимодействий / Под ред. А.Ю. Силантьева. М.: РИЦ ИСГ1И РАН, 2002. - 232 с.
183. Механизмы управления: Учебное пособие. / Под. ред. Д.А. Новикова. М.: ЛЕЛАНД, 201 1. - 192 с. ISBN 978-5-9710-0342-7.
184. Минаев, В.А. Правовое обеспечение информационной безопасности учебник для высших учебных заведений МВД России / В.А. Минаев, C.B. Скрыль, C.B. Дворянкин. М.: Маросейка, 2008. 368 с.
185. Минаев, В.А. Цена информационной безопасности / В.А. Минаев,
186. B.Ю. Карпычев // Системы безопасности. 2003. - № 5 - С. 1 28 - 130.
187. Михайлов, А.Г. Пластиковые карты с магнитной полосой и защита систем электронных платежей / А.Г. Михайлов // Конфидент. 1995. - № 2.1. C. 43 -47.
188. Моделирование рисковых ситуаций в экономике и бизнесе: Учебное пособие 2-е изд. перераб. и доп. / A.M. Дубров и др., под ред. Б.А. Лагоши. - М.: Финансы и статистика, 2003. - 224 с.
189. Молдовян, H.A. Введение в криптосистемы с открытым ключом / H.A. Молдовян, A.A. Молдовян. СПб.: БХВ-Петербург, 2005. - 286 с. ISBN: 5-94157-563-7.
190. Мулен, Э. Кооперативное принятие решений: аксиомы и модели / Э. Мулен. -М.: Мир, 1991.-464 с.
191. Мур, М. Управление информационными рисками / М. Мур. // Финансовый директор. 2003. - № 9. - С. 64 - 77.
192. Никитов, В.А. Информационное обеспечение государственного управления / В.А. Никитов, Е.И. Орлов, A.B. Старовойтов и др.. Под ред. Ю.В. Гуляева. М.: Славянский диалог, 2000. -415 с.
193. Новиков, Д.А. Институциональное управление организационными системами / Д.А. Новиков М.: ИПУ РАН, 2004. - 68 с.
194. Новиков, Д.А. Курс теории активных систем / Д.А. Новиков, С.Н. Петраков. М.: СИНТЕГ, 1999. - 108 с.
195. Новиков, Д.А. Механизмы функционирования многоуровневых организационных систем / Д.А. Новиков. М.: Фонд «Проблемы управления», 1999. - 150 с.1 ~> J JO
196. Новиков, Д.А. Механизмы функционирования организационных систем с распределенным контролем / Д.А. Новиков, A.B. Цветков. М.: ИПУ РАН, 200 L - 118 с.
197. Новиков, Д.А. Модели и механизмы управления научными проектами в ВУЗах / Д.А. Новиков, А.Л. Суханов. М.: Институт управления образованием РАО, 2005. - 80 с.
198. Новиков, Д.А. Оптимальные механизмы стимулирования в системах управления экологической безопасностью / Д.А. Новиков // Проблемы безопасности при чрезвычайных ситуациях. 1994. - № 8. - С. 5 I - 58.
199. Новиков, Д.А. Прикладные модели информационного управления / Д.А. Новиков, А.Г. Чхартишвили. М.: ИПУ РАН, 2004. - 129 с.
200. Новиков, Д.А. Рефлексивные игры / Д.А. Новиков, А.Г. Чхартишвили. М.: Синтег, 2005. - 150 с.
201. Новиков, Д.А. Синергетический эффект в моделях распределенного контроля / Д.А. Новиков, Н.Е. Рыбченко // Информационная экономика. Сборник трудов. Выпуск 5. Под. ред. P.M. Нижегородцева. М.: МГУ. -2005. -С. 134- 144.
202. Новиков, Д.А. Стимулирование в организационных системах / Д.А.Новиков. М.: Синтег, 2003. - 3 12 с.
203. Новиков, Д.А. Теория управления организационными системами. / Д.А. Новиков. М.: Московский психолого-социальный институт, 2005. -584 с.
204. Обеспечение информационной безопасности бизнеса / А.П. Курило и др.. М.: БДЦ-пресс, 2005. - 5 12 с. ISBN 5-93306-075-5.
205. Основы информационной безопасноеги. Учебное пособие для вузов / Е.Б. Белов, В.П. Лось и др. М.: Горячая линия - Телеком , 2006. - 544 с.
206. Основы информационной безопасности: учебник для высших учебных заведений МВД России / Под. ред. В.А. Минаева и С.В. Скрыля. Воронеж: Воронежский институт МВД России, 2001. 464 с.1. Л 1 "7 J J /
207. Основы криптографии: Учебное пособие. / А.П. Алферов, А.Ю. Зубов, A.C. Кузьмин и др.. М.: Гелиос АРБ, 2001. - 480 с.
208. Панин, O.A. Оптимизация параметров систем охранной сигнализации как задача многокритериального выбора / O.A. Панин, С.И. Журин // Информационно — методический журнал «Защита информации. КОНФИДЕНТ». 2004. - № 1(55). - С. 84 - 87.
209. Петраков, С.Н. Механизмы планирования в активных системах: неманипулируемость и множества диктаторства / С.Н. Петраков. М.: ИПУ РАН, 2001. - 135 с.
210. Петренко, С.А. Аудит безопасности Intranet/ С.А. Петренко, A.A. Петренко М.: ДМК Пресс, 2002. -416 с.
211. Петренко, С.А. Обоснование инвестиций в безопасность / С.А. Петренко, Е.М. Терехова // Информационно методический журнал «Защита информации. ИНСАЙД». - 2005. - № 1(1). - С. 49 - 53.
212. Петренко, С.А. Оценка затрат на защиту информации / С.А. Петренко, Е.М. Терехова // Информационно методический журнал «Защита информации. ИНСАЙД. - 2005. - № 1(1). - С. 36 - 48.
213. Петренко, С.А. Оценка затрат на информационную безопасность / С.А. Петренко, Ю.И. Попов // Информационно методический журнал «Защита информации. КОНФИДЕНТ». - 2003. - № I (49). - С. 68 - 73.
214. Петренко, С.А. Оценка эффективности и зрелости технологий безопасности / С.А. Петренко, В.А. Курбатов // Информационно-методический журнал «Защита информации. ИНСАЙД». 2005. - № 1(1). -С. 16-22.
215. Петренко, С.А. Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, C.B. Симонов М.: Компания АйТи; ДМК Пресс, 2004. - 384 с.
216. Петров. A.A. Компьютерная безопасность. Криптографические методы защиты / A.A. Петров. М.:ДМК, 2000. - 448 с.
217. Печерский, СЛ. Теория игр для экономистов. Вводный курс. Учебное пособие / С.Л. Печерский, A.A. Беляева. СП-б. Изд-во Европейского университета в СПб., 2001. - 342 с.
218. Пикфорд, Д. Управление рисками / Д. Пикфорд, пер. с англ. ML: ООО «Вершина», 2004. - 352 с.
219. Питеркин, C.B. Точно вовремя для России. Практическое применение ERP-систем. 2-е изд. / C.B. Питеркин, H.A. Оладов, Д.В. Иваев -M.: Альпина Паблишер, 2003. 368 с.
220. Подиновский, В.В. Парето-оптимальные решения многокритериальных задач / В.В. Подиновский, В.Д. Ногин. М.: Наука, 1982. - 382 с.
221. Попова, Е.В. Безопасность автоматизированных систем и распределения Паскаля / Е.В. Попова, А.Г. Остапенко // Информация и безопасность: региональный научно-технический журнал. Воронеж. 2007. -Т. 10.4.2.-С. 367.
222. Правоторов, В.Д. Защитить, чтобы не проиграть. Методика оптимального планирования бюджета на защиту информации в конкурентных условиях / В.Д. Провоторов // InformationSeciinly. Информационная безопасность. 2004. - № 2. - С. 26 - 28.
223. Преснухин, В.В. Некоторые аспекты моделирования воспроизведения компьютерного вируса и совершенствования программных средств защиты / В.В. Преснухин, Г.К. Пискова // Информатика и вычислительная техника. 1991. - №4. - С. 52 - 58.
224. Проблемы управления информационной безопасностью / Сборник трудов PICA РАН // Под ред. д.т.н., проф. Д.С. Черешкина. М.: Едигориал УРСС, 2002.-224 с.
225. Протасов, И.Д. Теория игр и исследование операций / И.Д. Протасов. М.: Гелиос АРВ, 2003. - 368 с.
226. Пярин, В.А. Безопасность электронного бизнеса / В.А. Пярин, A.C. Кузьмин, С.Н. Смирнов. М.: Гелиос АРБ, 2002. - 432 с.
227. Пятенко, C.B. 9 основ менеджмента / C.B. Пятенко СПб.: Питер, 2004.-608 с.
228. Райков, А.Н. Информационная безопасность и управление / А.Н. Райков // Информационное общество. 1999. - Вып.5. - С. 6 -9.
229. Райков, А.Н. Конвергентное управление и поддержка решений / А.Н. Райков. М.: Икар, 2009. - 245 с. ISBN 978-5-7974-0191-9.
230. Романов, В.П. Интеллектуальные информационные системы в экономике: учебное пособие / В.П. Романов. Под ред. д.э.н., проф. Н.П. Тихомирова. М.: Издательство «Экзамен», 2003. - 496 с.
231. Романов, O.A. Организационное обеспечение информационной безопасности: учебник для студ. высш. учеб. заведений / O.A. Романов, С.А. Бабин, С.Г. Жданов. М.: Издательский центр «Академия», 2008. - 192 с. ISBN 978-5-7695-4272-5.
232. Ротарь, В.И. Некоторые замечания о существовании и свойствах функции полезности / В.Н. Ротарь // Экономика и математические методы. -1982. -t.XVI1L в.4. - С. 719 - 723.
233. Ротарь, В.И. О принципе стимуляции в арбитражной схеме /
234. B.И. Ротарь // Экономика и математические методы 1984. - т. XVII. в. 4.1. C. 751 764.
235. Румянцева, З.П. Общее управление организацией: теория и практика / З.П. Румянцева- М.: ИНФРА-М, 2001. 304 с.
236. Саак, А.Э. Информационные технологии управления: учебник / А.Э. Саак, Е.В. Нахомов, В.Н. Тюшпяков- СПб.: Питер, 2005. 320 с.
237. Сёмкин, С.Н. Основы организационного обеспечения информационной безопасности объектов информатизации: Учебное пособие / С.Н. Сёмкин и др.. М.: Гелиос АРВ, 2005. - 192 с. ISBN 5-85438-042-0.
238. Системные проблемы качества, математического моделирования и электронных технологий. Имитационное моделирование и конфликтология. 4.7 / Под ред. А.ГО. Силантьева. М.: Радио и связь, 2003. - 304 с.
239. Скрыль, C.B. Конфиденциальность, как субъективный показатель защищенности информации. / С. В. Скрыль, А.П. Курило, В.Н. Финько,
240. B.Н. Чашкин. // Безопасность информационных технологий. 2009. - № 3.1. C. 141 144.
241. Смирнов, В.Б. Системы охранного телевидения: новый качественный уровень / В.Б. Смирнов // Системы безопасности. 1995. - №5. -С. 48- 49.
242. Смоляк, С.А. О правилах сравнения вариантов хозяйственных мероприятий в условиях неопределенности / С.А. Смоляк // В кн.: Исследования по стохастической теории управления и математической экономике. М.: ЦЭМИ АН СССР, 1981. - С. 1 54 - 163.
243. Спесивцев, A.B. Защита информации в персональных ЭВМ /
244. A.B. Спесивцев и др. М.: Радио и связь, «Веста», 1992. - 191 с.
245. Станиславчик, E.H. Риск менеджмент па предприятии. Теория и практика / E.H. Станиславчик- М.: «Ось - 89», 2002. - 80 с.
246. Старовойтов, A.B. Вопросы обеспечения информационной безопасности России / A.B. Старовойтов. // Информационное общество.- 1997. -№ 1.-С. 3-6.
247. Стратегическое управление: регион, город, предприятие / Под ред. Д.С. Львова, А.Г. Гранберга, А.Г1. Егоршина, ООН РАН, НИМБ.-М.: ЗАО «Издательство «Экономика», 2004. 605 с.
248. Стрельцов, A.A. Обеспечение информационной безопасности России: Теоретические и методологические основы / A.A. Стрельцов. Под ред.
249. B.А. Садовничего, В.П. Шерстюка. М.: Издательство Московского Центра непрерывного математического образования (М1ЦНМО), 2002. - 296 с.
250. Теренин, A.A. Проектирование экономически эффективнойсистемы информационной безопасности / A.A. Теренин // Информационно -методический журнал «Защита информации. ИНСАЙД». 2005. - № 1(1). -С. 26 - 35.
251. Технические средства и методы защиты информации: Учебник для вузов / А.Г1. Зайцев, A.A. Шелупанов, C.B. Скрыль и др.. Под ред. А.П. Зайцева и A.A. Шелупанова. М.: ООО «Издательство Машиностроение», 2009. - 508 с.
252. Томпсон, A.A. Стратегический менеджмент. Искусство разработки и реализации стратегии: учебник для вузов. / A.A. Томпсон, А.Дж. Стрикленд. Пер. с англ. под ред. Л.Г. Зайцева, М.И. Соколовой. М.: Банки и биржи, ЮНИТИ, 1998.-576 с.
253. Тэпман, Л.Н. Риски в экономике: Учебное пособие / Л.Н. Тэпман, под ред. проф. В.А. Швандара. М.: ЮНИТИ - ДАНА, 2003. - 380 с.
254. Уилкс, С. Математическая статистика / С. Уилкс М.: Наука, 1967. - 632 с.
255. Управление организацией: учебник / Под ред. А.Г. Поршнева, З.П. Румянцевой, H.A. Соломатиной. - М.: ИНФРА-М, 2003. - 715 с.
256. Устинов, Г.Н. Основы информационной безопасности систем и сетей передачи данных: учебное пособие. Серия «Безопасность». / Г.Н. Устинов М.: СИНТЕГ, 2000. - 248 с.
257. Фахрутдинов, P.A. Стратегический менеджмент: учебник. 5-е изд. испр. и доп. / P.A. Фахрутдинов- М.: Дело, 2002. 448 с.
258. Филин, С.А. Информационная безопасность: Учебное пособие. -М.: Издательство «Альфа-Пресс», 2006. -412 с. ISBN 5-94280-163-0.
259. Фишберн, П. Теория полезностей для принятия решений / П. Фишберн-М.: Наука, 1978.-352 с.
260. Фон Нейман, Дж. Теория игр и экономическое поведение / Дж. Фон Нейман, О. Моргенштейн. М.: Наука, 1970. -983 с.
261. Хаит, Дж. У. Управление людьми в компаниях: руководство для менеджера: пер. с английского /Дж.У. Хант М.: Олимп-Бизнес, 1999,112 с.
262. Хованов, В.Н. О системном подходе к проблеме страхования информационных рисков / В.Н. Хованов // Information Security. Информационная безопасность. 2004. - № 3. - С. 13-14.
263. Хохлов, Н.В. Управление риском: Учебное пособие / Н.В. Хохлов -М.: ЮНИТИ-ДАНА, 2003. 239 с.
264. Черкасов, В.В. Проблемы риска в управленческой деятельности / В.В. Черкасов- М.: «Рефл бук», К.: «Ваклер», 2002. - 320 с.
265. Черней, Г.А. Оценка угроз безопасности автоматизированным информационным системам / Г.А. Черней // НТИ, Серия 2. Информационные процессы и системы. 1997. - № 10.
266. Чернова, Г.В. Управление рисками: учеб. пособие / Г.В. Чернова, A.A. Кудрявцев М.: ТК Велби, Изд-во Проспект, 2005. - 160 с.
267. Щепкин, A.B. Механизмы внутрифирменного управления / A.B. Щепкин. М.: ИГ1У РАН, 2001. - 80 с.
268. Положение об управлении рисками в ОАО «Банк Финсервис» // vvvvw.finsb.ru/fileadmin/clocuments/Upravlenieriskami v banke2010.pdf
269. ALlais, M. Le comportement de 1'hamme rational devant le riskue / M. Allais. Econometrika. - 1953. - v.21. - C. 503 - 546.
270. Bernoulli, D. Specimen theoriae novae de mensura soatis / D. Bernoulli // S.Peterbourg 1738. English translation in Econometrica. 1954. -vol.22. -№1.
271. Burkov, V.N. Fairplay in control of active systems / V.N. Burkov, A. Y. Lerner. // Differential games and related topics. Amsterdam. - London: North-Holland Publishing Company, 1971. - P. 164 - 168.
272. Dasgupta, P. The implementation of social choice rules: some general results on incentive compatibility / P. Dasgupta, P. Hammond, E. Maskin // Review of Economic Studies. 1979. - Vol. 46. - № 2. - P. 185-216.
273. Dopfman, Mark S. Introduction to Risk Management and Insurance (8 edition) / Mark S. Dopfman. Prentice Hall, 2004. - 608 p.
274. Jackson, M. Mechanism theory / M. Jackson. California Institute of Technology. Working Paper, 2003. -46 p.
275. Kalai, E. Other solutions to the Nash bargaining problem / E. Kalai, M. Smorodinsky // Econometrica. 1975. - Vol. 43. - P. 5 13 - 518.
276. Kalai, E. Proportional solutions to bargaining situations: interpersonal utility comparison / E. Kalai // Econometrica. 1977. - Vol. 45. - P. 1623 - 1630.
277. Mas-Collel, A. Microeconomic theory / A. Mas-Collel, M.D. Whinston, J.R. Green. -N.Y.: Oxford Univ. Press, 1995.-981 p.
278. McKelvey, R.D. Game forms for Nash implementation of general choice correspondences / R.D. McKelvey // Social Choice and Welfare. 1989. - № 6. -P. 139 - 156.
279. Moore, J. Implementation, contracts and renegotiations in environment with complete information / J. Moore // Advances in Economic Theory. Vol. 1. -Cambridge: Cambridge University Press. - 1992. - P. I 82 - 281.о «—' ^
280. Moulin, H. Serial cost sharing; / H. Moulin, S. Shenker // Econometrica.1 <. 71992.-Vol.60.-N5.-P. 1009-1037.
281. Myerson, R.B. Game theory: analysis of conflict / R.B. Myerson. -London: Harvard Univ. Press, 1991. 568 p.
282. Myerson, R.B. Optimal coordination mechanisms in generalized principal-agent problems / R.B. Myerson // Journal of Math. Economy. 1982. - Vol. 10. -№ I.-P. 67-81.
283. Nash, J.F. The bargaining problem / J.F. Nash // Econometrica. 1950. -Vol. 18.-P. 155 - 162.
284. Rcjcla, George E. Principles of Risk Management and insurance / George E. Rejda. Addison - Weslej Publishing, 2005. - 784 p.
285. Saijo, T. Strategy space reduction in Maskin's theorem: sufficient conditions for Nash implementation / T. Saijo // Econometrica. 1988. - Vol. 56. -№ 3.-P. 487 - 502.
286. Savage, L.G. The foundations of statistics / E.G. Savage. New-York, Willey., 1954-376 c.
287. Thomson, W. Cooperative models of bargaining / W. Thomson // Handbook in Game Theory. N.Y.: North-Holland. - 1994. - Chapter 35. -P. 1237- 1248.
288. Verdee, N. Abuznri programate / N. Verdee и др.| // Ciber. 1993. -№1-2.-C. 22 - 23.
289. Zhou, L. The Nash bargaining problem with non-convex problems / L. Zhou // Economertica. 1997. - Vol. 65. - P. 681 - 685.
290. ГОСТ 34.003-90 ИТ. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения. — М.: Стандартанформ, 2005. 7 с.
291. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. М.: Стандартинформ, 2010. - 8 с.
292. ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины иопределения.: Последнее изменение: 19.01.20! 1. М.: Стандартинформ, 2009. -20 с.
293. ГОСТ P ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. (ISO/IEC 17799:2000. Information technology. Code of practice for information security management.) M.: Стандартинформ, 2008. - 62 с.
294. Руководящий документ Гостехкомиссии России «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий». Введен в действие Приказом Гостехкомиссии России от 19.06.02 № 187.
-
Похожие работы
- Управление финансовыми потоками корпорации в условиях риска на основе имитационной модели
- Организационные механизмы управления информационной безопасностью корпораций
- Управление рисками нарушения информационной безопасности при стратегическом планировании
- Модели и методы управления синергетическим взаимодействием подразделений вертикально интегрированных корпораций
- Исследование и развитие методического обеспечения оценки и управления рисками информационных систем на основе интересо-ориентированного подхода
-
- Системный анализ, управление и обработка информации (по отраслям)
- Теория систем, теория автоматического регулирования и управления, системный анализ
- Элементы и устройства вычислительной техники и систем управления
- Автоматизация и управление технологическими процессами и производствами (по отраслям)
- Автоматизация технологических процессов и производств (в том числе по отраслям)
- Управление в биологических и медицинских системах (включая применения вычислительной техники)
- Управление в социальных и экономических системах
- Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей
- Системы автоматизации проектирования (по отраслям)
- Телекоммуникационные системы и компьютерные сети
- Системы обработки информации и управления
- Вычислительные машины и системы
- Применение вычислительной техники, математического моделирования и математических методов в научных исследованиях (по отраслям наук)
- Теоретические основы информатики
- Математическое моделирование, численные методы и комплексы программ
- Методы и системы защиты информации, информационная безопасность