Управление информационными рисками организации на основе логико-вероятностного метода

Кустов, Георгий Алексеевич

Методы и системы защиты информации, информационная безопасность

автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Управление информационными рисками организации на основе логико-вероятностного метода

кандидата технических наук: Кустов, Георгий Алексеевич
город: Уфа
год: 2008
специальность ВАК РФ: 05.13.19

Диссертация по информатике, вычислительной технике и управлению на тему «Управление информационными рисками организации на основе логико-вероятностного метода»

Автореферат диссертации по теме "Управление информационными рисками организации на основе логико-вероятностного метода"

На правах рукописи

□03454Э9Э

КУСТОВ Георгий Алексеевич

УПРАВЛЕНИЕ ИНФОРМАЦИОННЫМИ РИСКАМИ ОРГАНИЗАЦИИ НА ОСНОВЕ ЛОГИКО-ВЕРОЯТНОСТНОГО МЕТОДА (на примере компании добровольного медицинского страхования)

Специальность: 05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

5 ЙЕ«®8

Уфа 2008

003454999

Работа выполнена на кафедре вычислительной техники и защиты информации Уфимского государственного авиационного технического университета

Научный руководитель д-р техн. наук, проф.

Васильев Владимир Иванович

Официальные оппонента д-р техн. наук, проф.

Мельников Андрей Витальевич

канд. техн. наук

Погорелов Дмитрий Николаевич

Ведущая организация

ГОУ ВПО «Самарский Государственный Университет»

Защита диссертации состоится г .на заседании

диссертационного совета Д-212.288.07 при Уфимском государственном авиационном техническом университете по адресу: 450000, Уфа, ул. К.Маркса, 12.

С диссертацией можно ознакомиться в библиотеке университета. Автореферат разослан «

11 2008 г.

Ученый секретарь диссертационного совета, д-р техн. наук, профессор

С.С. Валеев

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. В связи с принятием Федерального закона «О персональных данных» и реализацией законов «Об информации, информационных технологиях и защите информации» и «О медицинском страховании граждан в Российской Федерации» возросла значимость эффективного управления рисками информационных систем персональных данных. В настоящее время нерешенными остаются многие задачи правового, технического и финансового регулирования в медицинских информационных системах, содержащих конфиденциальные данные. Остаются открытыми вопросы обеспечения гарантированного доступа к информации, защиты врачебной тайны, обмена информацией с «третьими лицами» (со страховыми компаниями), оценки величины выплат, компенсирующих моральный вред, вследствие утечки конфиденциальной информации. По классификации категорий персональных данных, предложенной Федеральной службой по техническому и экспортному контролю (ФСТЭК), данные о состоянии здоровья граждан относятся к самой важной - первой категории, а информационные системы (ИС) компаний добровольного медицинского страхования относятся к классу ИС, для которых нарушение безопасности обрабатываемых персональных данных может привести к значительным негативным последствиям для субъектов персональных данных.

Согласно данным отчетов аудиторской компании РептеМх только 5% российских организаций не пострадали от утечек данных в 2007 г. Как отмечается в исследовании «Инсайдерские угрозы в России 2008», чаще всего похищаются персональные данные (57%), детали конкретных сделок (47%) и финансовые отчеты (38%).

Целью деятельности страховой компании (СК) является получение прибыли от проведения эффективной политики в области страхования и инвестирования. Деятельность страховой компании сосредоточена на решении вопросов управления техническими, нетехническими и инвестиционными рисками. Информационные риски (ИР) являются важной составляющей группы нетехнических рисков. При управлении СК роль информационных рисков значительна. Поэтому исследования, направленные на решение задач, связанных с анализом, оценкой информационных рисков в страховой компании добровольного медицинского страхования (СК ДМС) и выбором эффективных контрмер по их снижению являются актуальными.

Объект и предмет исследования. Объектом диссертационного исследования является информационная система СК ДМС. Предметом исследования является математическое и программное обеспечение управления информационными рисками страховой компании.

Целью диссертационной работы является снижение информационных рисков компании добровольного медицинского страхования на основе разрабатываемых моделей, методов и методик анализа и управления рисками информационной системы.

Для достижения этой цели в диссертации поставлены и решены следующие задачи:

1. Формирование структуры системы управления информационными рисками СК ДМС на основе логико-вероятностного метода (ЛВМ).

2. Разработка моделей количественной оценки информационных рисков и анализа качества решений, принимаемых на их основе.

3. Разработка метода оценки компенсации морального ущерба в случае нарушения конфиденциальности информации.

4. Разработка метода формирования наиболее эффективного набора контрмер для планирования бюджета информационной безопасности.

5. Разработка методики страхования информационных рисков на примере информационной системы конкретной СК ДМС.

Методы исследования. При решении поставленных в работе задач использовались основные положения методологии структурного анализа и проектирования, системного анализа, теории вероятностей и математической статистики, теории принятия решений, методов экспертных оценок. На защиту выносятся:

1. Структура системы управления информационными рисками СК ДМС.

2. Модели идентификации и количественной оценки информационных рисков.

3. Метод оценки морального ущерба в случае нарушения конфиденциальности информации.

4. Метод оценки и выбора наиболее эффективных контрмер.

5. Методика начисления брутто-премии при страховании информационных рисков.

6. Программное обеспечение системы управления информационными рисками организации.

Научная новизна работы состоит в следующем:

1. Предложена новая структура системы управления информационными рисками, основанная на использовании ЛВМ для идентификации и количественной оценки рисков в информационных системах, отличающаяся использованием различной степени детализации сценариев опасных состояний ИС в зависимости от их значимости и позволяющая повысить достоверность оценки информационных рисков.

2. Разработана функциональная модель процесса управления информационными рисками, основанная на применении 8АБТ методологии, использование которой позволяет обоснованно выбрать состав и функции основных этапов анализа и управления рисками организации.

3. Поставлена и решена задача определения структуры ущерба компании при нарушении конфиденциальности. Предложен метод оценки компенсации морального ущерба в случае нарушения конфиденциальности, основанный на модификации метода предпочтений н замещений, который отличается использованием балльных оценок и позволяет оценить вклад морального ущерба в структуру информационных рисков.

4. Предложен новый метод формирования эффективного набора контрмер на основе ЛВМ с использованием иерархического перебора, отличающийся учетом влияния контрмер на инициирующие события и позволяющий определить оптимальный набор контрмер при заданных бюджетных мраничениях.

5. Разработана методика страхования информационных рисков, основанная на применении предложенных моделей и методов анализа и управления рисками, что позволяет- дать обоснованные рекомендации для выбора объектов страхования и размеру страховой суммы и премии.

Практическая значимость и внедрение результатов. Предложенные модели и методы позволяют снизить на 58-67 % информационные риски СК ДМС при заданных бюджетах информационной безопасности и могут использоваться на практике при идентификации, анализе, оценке информационных рисков, формировании набора контрмер и начислении страховой премии в практике страхования информационных рисков.

Разработанное программное обеспечение «Система управления информационными рисками на основе логико-вероятностного метода» внедрено в страховой компании ООО «МСК «УралСиб»», Уфимском филиале СК ООО «Росгосстрах-Аккорд» и в Уфимском филиале Центрального коммерческого банка.

Апробация работы

Основные положения, представленные в диссертационной работе, докладывались на следующих конференциях:

-УШ-ой научной конференции студентов и аспирантов - КРЭС 2006. Томск, ТУСУР, 2006 г.;

-П-ой республиканской научно-практической конференции «Актуальные вопросы современной медицины и здравоохранения», Уфа, БГМУ, 2006;

-Х1-ой международной научно-технической конференции «Системный анализ в проектировании и управлении», СПб, Политехнический университет, 2007;

-ГХ-ой Международной научной конференциях «Компьютерные науки и информационные технологии» (С81Т 2007), Уфа, 2007;

-III Всероссийской зимней школе - семинаре аспирантов и молодых ученых, Уфа, 2008.

Публикации

Результаты диссертационной работы отражены в 12 публикациях, в том числе в 2-х статьях из перечня ВАК Рособрнадзора. Получено свидетельство РОСАПО № 2008612183 об официальной регистрации программы для ЭВМ «Система управления информационными рисками на основе логико-вероятностного метода».

Структура работы. Диссертационная работа состоит из введения, 4-х глав, заключения, списка литературы, включающего 89 наименований, приложений. Содержание работы изложено на 152 страницах.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность исследований в области управления рисками информационной безопасности. Формулируются цель работы и задачи, исследований, научная новизна и практическая ценность выносимых на защиту результатов.

Первая глава посвящена обзору и сравнительному анализу методов управления информационными рисками (ИР).

Рассматривается общий подход к управлению рисками в страховой компании добровольного медицинского страхования. На основе Европейского страхового законодательства выделяется группа нетехнических рисков -рисков, не связанных со страховой деятельностью. На информационные риски (рис. 1), входящие в эту группу, приходится до трети от интегрального риска организации.

Рисунок 1 - Риски страховой компании ДМС Отмечается, что формально решение задачи управления информационными рисками (если говорить о снижении риска) может быть сведено к выполнению следующих этапов:

1. Идентификация ресурсов информационной системы страховой компании.

2. Идентификация и анализ угроз, действующих на эти ресурсы.

3. Анализ и оценка уровня информационных рисков для каждого ресурса и информационной системы в целом.

4. Управление риском - выбор мер для снижения информационных рисков (контрмер) и анализ эффективности управления.

Производится обзор известных методик выполнения каждого из этапов риск-менеджмента. Анализируются известные подходы к оценке различных видов потенциального ущерба, а также существующие методики измерения рисков.

Законодательная база рассматривается как фундамент эффективного управления информационными рисками.

Проанализированы известные подходы к управлению ИР; в качестве эффективного способа управления рассматривается страхование ИР. С одной

стороны, это эффективная контрмера, с другой — способ передачи управления риском другой компании. Приведена классификация объектов страхования, виды и этапы страхования, способы определения страховых премий.

Дан обзор программных средств анализа и управления рисками, представленных двумя классами - ПО базового уровня и ПО полного анализа рисков. Среди известных реализаций - Cobra, CRAMM, Risk Advisor, Risk Watch, система управления информационной безопасностью «АванГард», ГРИФ 2006, КОНДОР 2006.

Формулируются цель и задачи исследований диссертационной работы.

Во второй главе предложен подход к анализу, оценке и управлению информационными рисками, основанный на применении логико-вероятностного метода. Основные этапы управления риском, задачи и методы, решаемые на каждом из этапов, представлены в таблице 1.

Задачи и методы исследования на этапах управления риском Таблица 1

Название этапа Задачи Подход к решению

Идентификация ресурсов ИС и угроз 1 .Определение структуры информационных рисков СК. На основе ЛВМ

Анализ и оценка риска ресурсов и всей системы 2.Выбор наиболее значимых опаснъа состояний ИС. 3.Оценка интегрального риска информационной системы СК: 3.1.Оценка вероятности реализации опасного состояния ресурса ИС; 3.2.0ценка ущерба при реализации опасного состояния ресурса ИС: 3.2.1.0ценка структуры ущерба при утечке конфиденциальной информации; 3.2.2.0пределение размера компенсации морального ущерба. На основе карт рисков или алгоритма Мамдани На основе ЛВМ Методика разработана в диссертации Модифицированный метод предпочтений и замещений

Управление риском ^Формирование наиболее эффективного набора контрмер. 5.Оценка уровня риска ИС с учетом контрмер и оценка эффективности решения задачи управления информационными рисками б.Определение премий при страховании информационных рисков. Метод разработан в диссертации На основе ЛВМ и модификации методики Россгосстрахнадзора

Данные подходы к решению задачи управления рисками реализованы в системе управления информационными рисками на основе логико-вероятностного метода (СУИР ЛВМ). Первый уровень функциональной модели системы представлен на рисунке 2.

Задача 1. Определение структуры информационных рисков ИС ИС представляет собой совокупность ресурсов: программных, аппаратных, каналов связи и ресурсов данных. Отказ какого-либо из ресурсов

приводит к невозможности выполнения компанией одной или нескольких своих функций.

Рисунок 2 - Функциональная модель системы

Под риском системы рассматривается сумма рисков ресурсов, из которых состоит система:

(1)

где .й, - риск г'-го ресурса, и - количество ресурсов. С каждым ресурсом связано множество опасных состояний (ОС), реализация которых приводит к отказу, нарушению конфиденциальности, доступности или целостности данного ресурса.

Под риском 1-го ресурса понимается сумма рисков, связанных с реализацией опасных состояний данного ресурса:

и,

Л, = 2>5м (2)

7=1 _

где гу - риск реализации ./-го опасного состояния г'-го ресурса, ] = 1, М1; М, -количество опасных состояний г'-го ресурса.

Под риском реализации ]-го опасного состояния г-го ресурса понимается произведение вероятности Ри- и стоимости потерь Сц- от реализации данного опасного состояния ресурса:

го С» ■ (3)

Таким образом, идентификация рисков ИС представлена:

1) описанием структуры ресурсов ИС;

2) описанием множества опасных состояний ресурсов ИС;

3) описанием множества угроз инициирующих ОС.

Задача 2. Выбор наиболее значимых опасных состояний ИС

Для ОС системы, идентифицированных на предыдущем этапе, классификация опасных состояний по группам значимости рисков производится на основе карты рисков или алгоритма нечеткой логики Мамдани. Предварительный анализ ИР осуществляется по двухфакторной методике - формула (3).

Согласно данной классификации производится выбор способа управления, который зависит от двух параметров: размера ущерба и вероятности реализации ОС в течение года. Малые риски не требуют внимания андеррайтеров, т.е. управление рисков сводится к их игнорированию, отказу от управления. Катастрофические риски и высокие риски с малой частотой принято страховать, т.е. осуществлять передачу управления риском. Если ресурс подвержен высоким и частым рискам, то его лучше просто заменить — отказ от ресурса. Остальные риски требуют анализа, определенной степени детализации при оценке; управление ими сводится к осуществлению превентивных мер по снижению риска.

В работе рассматривается более детально одни из способов управления информационными рисками, а именно - метод снижения частоты ущерба или предотвращения убытка. Для группы рисков средней значимости используются результаты предварительной оценки, для ОС высокой значимости производится детализированный расчет вероятности на основе ЛВМ и построенных сценариев реализации ОС.

Задача З.Оценка интегрального риска информационной системы Оценка вероятности реализации опасного состояния ресурса ИС

Дано:

1. Ресурс с номером г", для которого выделены опасные состояния ^ / = \,т, где т - число возможных состояний.

2. Структура ОС и вероятности инициирующих событий (угроз) хк, к = 1,И. Требуется найти:

1. Вероятности Рч реализации опасных состояний ¡-го ресурса ; = 1 ,т.

2. Значимости 2(хк) каждого инициирующего условия или события хк с учетом его вклада в реализацию опасного состояния к - номер инициирующего события или угрозы к = \,И.

Алгоритм решения Шаг 1. Составление сценария опасного состояния^-.

Шаг 2. Построение функции алгебры логики (ФАЛ) /(х];...,жА) с использованием операций конъюнкции и дизъюнкции на основе сценария опасного состояния й,-.

Шаг 3. Построение вероятностной функции (ВФ)Р0{/(х.....,*,,)=!} на основе

функции алгебры логики.

Шаг 4. Расчет вероятности реализации опасного состояния с помощью вероятностной функции.

Шаг 5. Расчет значимости Z(xi¡) каждой угрозы с учетом ее вклада в реализацию опасного состояния.

Значимость элемента (угрозы) определяется на вероятностной модели как частная производная ВФ:

яр

Z(xk) = = ,...,xh) = 1}. (4)

Если задача решается для нескольких ОС, то под значимостью k-ой угрозы для данного ОС понимается величина

\ t/ 8Pt дРк

где sk - величина ущерба в случае реализации ОС; г - величина ущерба для данного ОС.

Оценки вероятностей отказов аппаратных ресурсов и программного обеспечения - статистически достоверные данные исследуемых ИС. При вычислении рисков таких ресурсов, как программное обеспечение, предлагается воспользоваться аналитическими моделями надежности, в частности моделью Коркорена.

Оценка ущерба при реализации опасного состояния ресурса ИС В работе приведены варианты оценки ущерба для различных ОС:

• для физического ресурса: невосстанавливаемый и восстанавливаемый аппаратный отказ;

• для информационного ресурса: потеря ресурса, временная недоступность ресурса, сочетание потери ресурса и отсутствия резервной копии ресурса, нарушение конфиденциальности ресурса;

• для программного ресурса: сбой, отказ, несанкционированный доступ;

• для информационного канала: временная недоступность.

Для подсчета ущерба используются известные подходы, такие, как прямой счет, и оценка пороговых значений риска.

Для i-ro риска размер случайного ущерба U¡ изменяется в пределах

a,<U,¿bt, (6)

где а, и b¡ - соответственно минимальный и максимальный возможный ущерб по i-му риску. Тогда размер общего (суммарного) случайного ущерба изменяется в пределах

±а,<и<±Ь,=В, (7)

/-i

где п - число оцениваемых рисков.

Общий ожидаемый ущерб EUопределяется по формуле:

EU~YjEU (8)

»i

где EU - математическое ожидание общего ущерба; EU, - математическое ожидание ущерба по i-му риску. В зависимости от типа опасного состояния предлагается несколько вариантов оценки стоимости потерь.

Оценка структуры ущерба при утечке информации

Описана структура ущерба при нарушении конфиденциальности ресурса. Выделены убытки: прямые - восстановление информации, уведомление пострадавших, создание са11-центра, судебное расследование, почтовые услуги, услуги консультантов, аудиторов, создание служб для общения с прессой; косвенные - это потеря инвесторов, партнеров, клиентов, снижение конкурентоспособности, моральный ущерб пострадавших; упущенная прибыль— это снижение привлекательности марки, репутациоцные издержки. Определение размера компенсации морального ущерба Данная задача рассматривается как многокритериальная на основе модификации метода предпочтений и замещений. Новым является использование статистических данных и балльных оценок для построения одномерных функций ценности и использование значения многомерной функции ценностей для выявления доли выплат.

В данной задаче рассматриваются только денежные компенсации. Поэтому предполагается, что если максимальная сумма выплат равна Бтах, то, в зависимости от конкретной ситуации, выплаты есть доля Дано:

• максимальная сумма выплат - Бта1;

• критерии, по которым возможна оценка ситуаций;

• шкалы, экспертные данные для построения одномерных функций ценности. Требуется построить:

• многомерную функцию ценности, предусматривающую оценку любой ситуации выплат.

Найти: реальную сумму выплаты.

Основные этапы алгоритма построения многомерной функции ценности с помощью метода предпочтений и замещений представлены в диссертации. Таким образом, этап анализа и оценки риска ИС представляется как:

1) классификация ОС по группам значимости;

2) оценка вероятностей ОС ресурсов ИС, в том числе выявление меры влияния угроз на реализацию опасных состояний;

3) оценка стоимости потерь от реализации опасных состояний.

Задача 4. Формирование перечня наиболее эффективных контрмер ИС Пронумеруем угрозы, отобранные для дальнейшего рассмотрения опасных

состояний заново. Для этого введем новый индекс V =1,К, учитывающий каждую из угроз для каждого опасного состояния каждого ресурса ИС. При введении нового индекса учитывается тот факт, что одна и та же угроза может встречаться в нескольких опасных состояниях. В этом случае под значимостью угрозы понимается сумма значимостей этой угрозы в различных опасных состояниях. Конечная цель - уменьшение уровня риска ИС посредством реализации набора контрмер 1 = \,Т. Для контрмеры известна стоимость ее реализации 5,, также задана величина яо — бюджет, выделенный на обеспечение информационной безопасности организации.

Вариант 1

Дано: матрица ||а„,||, где / = \,Т, V = , а^ е {0,1}, я„=1, если контрмера я, влияет на угрозу х„ иначе ап=0; Ъ - значимость угрозы ху;

5, - стоимость контрмеры - бюджет ИБ на контрмеры. Требуется найти: бинарный вектор {Ъ1, ..., Ьгу, Ь1 е {0,1}, такой, что:

тах ПРИ 1>А -• (9)

Вариант 2

Дано: матрица ||Др(,||, где ( = 1,Т, у = 1 ,У, А,р[ - изменение вероятности реализации угрозы с номером у при попадании контрмеры с номером / в перечень коптрмер для реализации или 0, если контрмера с номером I не оказывает влияния на угрозу с номером V.

Требуется найти: бинарный вектор ¿2» • - ■■> Ьт) , которому соответствует максимальное изменение интегрального риска системы АЛ -> тах, согласно формулам (1)-(3), такого что:

ЩХ*с1->тах при е{0,1}, ( = 1Т, у = (10)

и-1 ) 1=1

Для обоих вариантов метода определения эффективного набора контрмер будет использоваться направленный перебор на множестве бинарных векторов длины Г при упорядочивании стоимости контрмер по убыванию.

Замечание. В варианте 2 для решения задачи необходимо знать Др£ для всех контрмер, в том числе и для тех, которые не войдут в перечень контрмер для реализации, что требует дополнительных временных затрат.

Задача 5. Оценка уровня риска ИС с учетом контрмер и оценка эффективности решения задачи управления информационными рисками

Пусть уровень риска ИС с учетом выбранных для реализации контрмер равен Я, Бо - бюджет ИБ на контрмеры. Тогда эффективность Е/, выбранных для реализации контрмер, определяется формулой:

= (11)

Задача 6. Определение страховых премий при страховании информационных рисков

Управление риском для определенных выше групп рисков может осуществляться страхованием ресурсов информационной системы. Пусть АЯ - величина снижения среднего риска:

АЯ = р*Б - В, (12)

где Б - страховая сумма; В - размер страховой премии. В том случае, если страхование массовое, используется модифицированная методика имущественного страхования

Росгосстрахнадзора. Брутто-премия в расчете на Б руб. страховой суммы:

в =

5*р*(1 + 1,2а(г)

(13)

¡-А

где Б - страховая сумма по конкретному договору страхования;

р - вероятность наступления страхового случая по конкретному договору

страхования;

а(у) - значение коэффициента гарантии безопасности, соответствующее принятому уровню доверительной вероятности; Ь - страховая нагрузка компании;

п - предполагаемое количество договоров, отнесенных к периоду страхования.

Отличия от методики расчета тарифных ставок по рисковым видам страхования Росгосстрахнадзора:

1. Индивидуальный подход к определению брутто-премии без использования андеррайтингового коэффициента.

2. Необходимость применения специальных методов для определения индивидуальных характеристик страхуемого объекта.

3. Отсутствие входных данных, использующих статистику выплат и премий прошлых периодов.

При индивидуальном страховании страховая сумма определяется как сумма, близкая к потенциальному ущербу, а страховая премия - как величина риска рассматриваемого ресурса.

В третьей главе решается задача оценки информационных рисков департамента ДМС страховой компании. Описывается структура информационной системы, формируется набор наиболее значимых опасных состояний ресурсов.

В результате проведенного анализа выделены четыре группы ресурсов: информационные ресурсы (7 ед.), сервисы (3 ед.), физические ресурсы (16 ед.), программное обеспечение (9 ед.). «Уровни значимости» опасных состояний ресурсов ИС СК ДМС, оцененные по алгоритму нечеткой логики Мамдани, представлены в диссертационном исследовании. По пороговой величине значимости опасных состояний или карте рисков, получен набор опасных состояний группы «Высокой значимости» для дальнейшего анализа с помощью логико-вероятностного метода. Аналогичные расчеты по управлению рисками для информационной системы коммерческого банка представлены в приложении 1.

Пример оценки риска реализации опасного состояния «Нарушение конфиденциальности базы данных системы аналитической поддержки данных страховой компании (БД САПД СК)» на основе логико-вероятностного метода представлен ниже поэтапно.

Шаг 1. Составление сценариев опасных состояний ресурсов.

нарушение конфиденциальности бд сапд ск

Еща__

злоумышленником несанкционированного доступа к бд

получение несанкционированного доступа к компьютеру сотрудника подразделения дмс

исПОЛ^ОёАниЁ

служебного положения i сотрудником |

страховой компании 1

несанкционированный физический доступ злоумышленника к серверу 6д

Рисунок 3. Сценарий ОС «Нарушение конфиденциальности БД САПД СК» Шаг 2. Построение функции алгебры логики.

Согласно описанному сценарию, логическая функция принимает вид: ^2X3X4 и Х$ХбХ7 [}Х^ХдХю и X/ / и Х12Х}3Х} 4Х}5\}Х12X13X14X15 и Хн^Х] 7X18 и иХ/$Х2оХ^иХ22иХ23иХ24Х2^иХ26иХ27Х28иХ2диХ30иХ3/иХ32 Шаг 3. Построение вероятностной функции.

Для расчета итоговой вероятности опасного события функция алгебры логики приводится в базис конъюнкция-отрицание. Таким образом, получаем: XIX X ьХ 1 ХгХбХ? ХкХаХш Хп ХиХиХмХи ХиХтХ» Х.<Х,.Х„ Х32 Хи ХиХи Хк Х17Х1В Хи X» Хз, Хи Шаг 4. Расчет оценки вероятности реализации опасного состояния. В базисе конъюнкция-отрицание для расчета итоговой вероятности опасного состояния инициирующие события могут быть заменены их вероятностями, полученными на основе статистических данных и экспертных оценок (таблица 2).

Вероятности инициирующих событий сценария «Нарушение конфиденциальности БД САПД СК» Таблица 2

х, X, X, X, X, X7 X, X, Х/п Х„ Хп Х„ Х„ Х„ Хм

0,5 0,4 0,3 0,1 0,5 0,4 0,05 0,01 0,05 0,8 0,005 0,5 0,1 0,3 0,1 0,5

х„ Хщ Хщ х„ Хп Х„ х„ Х17 Хън Хю х>, Хп

0,4 0,05 0,01 0,01 ол 0,07 0,05 0,3 0,1 0,15 0,5 0,05 0,1 0,15 0,01 0,005

Расчетное значение вероятности опасного состояния Р= 0,4821. Величина риска реализации опасного состояния К, определяемая как Л = Р- 5,где оценка ущерба от реализации опасного состояния, составляет II = 0,4821 ■ 3 400 ООО = 1 639 140 (руб.).

На рисунке 4 представлен анализ результатов управления рисками информационных систем трех различных организаций - ИСО 1, ИСО 2, ИСО 3 (рис. 4А) и доли ИР, приходящиеся на каждый способ управления (рис. 4В).

Оценка рисков

1 Предваритель ная оценка ушррба по двухфакторной методике а Детализирован ная оценка ушррба по ЛВМ

а Реальные данные по ущербу за исследуемый период

Способы управления рисками ИС01

й Отказ от риска (игнорирование)

□ Снижение рисков средней значимости @ Снижение рисков высокой значимости и Страхование

Рисунок 4 - Анализ результатов внедрения При сравнении результатов детализированная оценка ИР по ЛВМ ближе к реальному ущербу, чем оценка по двухфакторной методике.

В четвертой главе рассматривается программное обеспечение, реализующее подходы и алгоритмы, представленные во второй главе.

инфо&

Рисунок 5 - Структура программного комплекса «СУИР ЛВМ»

На рисунке 6 представлен интерфейс «СУИР ЛВМ» на примере автоматизированного расчета вероятности опасного состояния «Нарушение конфиденциальности БД САПД СК». Результат расчета риска до и после внедрения контрмер для этого сценария выделен в окне Scenarios. В центральной части формы расположены входные данные сценария, справа -матрща эффектвности контрмер для инициирующих событий.

|:Ив Reports Opttans Нф

|?Q'S В

SduOdn navigation

Protection measures

Scenarios

! Scenario name Presl PresZ

i ОЧСонфиденциаПытаст... - 0.1145;

XI *X2^i'X4+X5'*X6'lX7-l-X8;kX9*X Ш+Х11+X113*X H*X 15+X16*X 17*Х18+Х19*X2D"*X21+X22+X23+X24*X2S+X26+-X3 I

2-Сочетание отказов p...

3-Иарушение конф-ти...

4-Нарушение конф-ти...

5-Нарушение конф-ти ... | &-Нарушеннвкси4»ие...

7-Нарушенив конф-тм... 9-Нарушение работы с... Ю-Карушашработы ... 1 ¡-Отказ коммутатора

0.000577 0.0005;

0.145393 0.0850'

0.482194 0.1816;

0.145393 0.C8S0;

0.067841 0.0427;

0.028725 0.0М9|

0.042342 0.04231

0.070662 0.0706;

0.007282 0.0039;

Solution Project budget:

3 1 ЕЙ 1 | Delete j

Variables Measure matrix

' Variabfe VaJue Part. derivative л Measure XI Х2 хз Х4 Х5 Хб К7 j

: x* ¿.5ЕЮ000 0.006251 Пропускной ре... О.5.. 0 0 6 O.S.. 0 0 '

; x2 0.400000 0,007814 ; Электронные и., 0.9.. 0 0.9.. 0 0.9.. 0 0 i

I X3 0.330000 0.010419 Система видео.. 0 0.7... 0 0 0 D.7.. 0 }

' XI 0.100000 0.031256 Сканеры у яда!.. 0 0 0 0 0 0 0.9,.I

; X5 o.soooob 0.010461 Системы защит.. 0 0 0 0 0 0 0 1

; X6 0.400000 0.01Э076 Сканеры безоп.. 0 0 0 0 0 0 о :

: X7 0.050000 0.104607 Системы защит.. 0 0 0 0 0 0 о !

i X8 0.010000 0.020721 Регламентация 0 0 0 0 0 0 0.5..!

|X9 ' 0.050000 0.004144 Регламентация.. 0 0 0 0 0 0 0 {■

! xio 0.800000 0,000259 Политика расп... 0 0 0 0 0 0 0 fr

j Xll 0.005000 0.520408 Политика дост... 0 0 0 0 0 0 0 !

; X12 o.sooooo 0.001556 Утилиты защит.. 0 0 0 0 0 0 0 !

i X13 c.woooo 0.007779 Программа дос,.. 0 0 0 0 0 0 о ;

XI4 0.300000 0.002593 GSM териорету.. 0 0 0 0 0 0 о I

! X1S 0.100000 0,007779 Резервироеани.. 0 0 0 0 0 0 0 j

! X36 0.5ШКШ 0.010461 Подключение к.- 0 0 0 0 0 0 0 |

; xi7 0.400000 0.013076

XI8 0JJ5000G 0.104607

i X19 0.010000 0.001036 ;

: X20 0,010000 0.001036 < . i

' X21 0.200000 .0,000052 :vr! __¿2

__„_JiQst.effectr/e.5olution. . ¡RiskEvafcatorvl.lZ

Рисунок 6 - Интерфейс программного комплекса «СУИР ЛВМ».

Проведен сравнительный анализ разработанной системы с современными системами управления информационными рисками.

Разработанная «СУИР ЛВМ» является представителем класса систем анализа защищенности и управления риском. Данная программа позволяет моделировать риски безопасности средних и крупных информационных систем организаций с высокой степенью адекватности. Система позволяет рационально распределить время на оценку. ИС: игнорировать малозначимые риски, быстро оценивать средние риски и с высокой степенью детализации и точности оценивать наиболее значимые риски.

Высокая точность оценки рисков ИС важна не только для внутренних целей организации, но и при взаимодействии с представителями внешних организаций, такими, как аудиторы надзорных органов и андеррайтеры страховых компаний.

Пользователями системы являются специалисты по ИБ, системные администраторы, аудиторы и андеррайтеры СК. Для работы с программным средством требуется уровень квалификации специалиста по ИБ.

В реализованной программе модель системы является статической. Существуют два состояния: начальное (текущее) и конечное (состояние, после внедрения выбранного эффективного набора контрмер и страхования части

опасных состояний). СУИР может быть дополнена до динамического варианта, в котором поддерживается последовательное внедрение наборов контрмер и учет изменений структуры информационной системы.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ

1. Предложена структура системы управления информационными рисками СК ДМ С на основе ЛВМ и разработанных моделей, которая позволяет анализировать, оценивать информационные риски компании и снижать их за счет эффективных контрмер.

2. Разработана функциональная модель процесса управления информационными рисками, основанная на применении 8АБТ-методологии, использование которой позволяет обоснованно выбрать состав и функции основных этапов анализа и управления рисками СК ДМС. На основе данной модели предложена методика количественной оценки рисков, учитывающая различную степень детализации опасных состояний в зависимости от их значимости на основе алгоритма нечеткой логики Мамдани, карты рисков и логико-вероятностного подхода:

• применение алгоритма Мамдани для оценки значимости ОС позволило снизить временные затраты эксперта по информационной безопасности на анализ опасных состояний ИС СК ДМС на 40%;

• эффективность решения задачи управления ИР СК ДМС составила 59% и 68% для первого и второго варианта алгоритмов соответственно для фиксированного бюджета.

3. Предложен метод оценки ущерба при реализации опасных состояний, в том числе оценки компенсации морального ущерба в случае нарушения конфиденциальности информации, который основан на модификации метода предпочтения и замещения.

4. Предложен метод формирования эффективного набора контрмер, основанный на применении ЛВМ, использование которого позволяет определить оптимальный состав программно- аппаратных средств и организационных мероприятий при заданном бюджете ИБ.

5. Разработана методика страхования информационных рисков, основанная на применении предложенных моделей и методов анализа и управления рисками, что позволяет дать обоснованные рекомендации по выбору объектов страхования и размеру страховой суммы и премии.

6. Разработано программное обеспечение СУИР СК ДМС, позволяющее осуществлять поддержку основных этапов риска-анализа в процессе управления информационными рисками организации.

Система управления информационными рисками на основе логико-вероятностного метода (свидетельство об офиц. регистрации программы для ЭВМ. №2008612183) внедрена в ООО «МСК «УралСиб»», ООО «Росгосстрах-Акхорд» и Уфимском филиале Центрального коммерческого банка.

ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

Публикации в периодическом издании из списка ВАК:

1. Задача управления информационными рисками компании добровольного медицинского страхования / Кустов Г.А. // Вестник УГАТУ, серия «Управление вычислительная техника и информатика» т.9, №4(22), 2007.- Уфа: УГАТУ .-С.

2. Методы принятия решений в задачах управления риском на примере исследования риска неэффективного лечения в лечебно-профилактическом учреждении / Зотова О.Ф., Зиборов Г.С., Кустов Г.А. // Управление риском, №4 (44), 2007 - М.: Изд-во Анкил.-С. 62-66.

Другие публикации:

3. Защита систем микроплатежей / Васильев В.И., Кустов Г.А. // Информационная безопасность: Материалы VI Международной научно-практической конференции. - Таганрог: Изд-во ТРТУ, 2004-С. 62-63.

4. Организация и защита данных в системах аналитической поддержки деятельности компании ДМС / Зотова О.Ф., Кустов Г.А. // Принятие решений в условиях неопределенности. Вопросы моделирования: Межвузовский научный сборник. - Уфа: УГАТУ, 2006.-С. 56-61.

5. Защита конфиденциальности в медицинских базах данных / Калабухов М.С., Катаев Т.Р., Кустов Г.А. // Актуальные вопросы современной медицины и здравоохранения: Материалы Республиканской Научно-практической конференции Уфа: БГМУ, 2006.- С. 114-181.

6. Управление рисками в добровольном медицинском страховании / Кустов Г.А., Зотова О.Ф. П Принятие решений в условиях неопределенности. Вопросы моделирования. Межвузовский научный сборник- Уфа: УГАТУ, 2007.-С. 91-98.

7. Задача управления информационными рисками страховой компании / Кустов Г.А., Николаева М.А., Зотова О.Ф. // Компьютерные науки и информационные технологии (CSIT'2007): Тр. 9-го Междунар. симп. Уфа, Россия, 2007. Уфа: УГАТУ, 2007. Т. 1.-С. 102-107. (Статья на англ. яз.).

8. Комплексный подход к управлению рисками страховой компании ДМС / Кустов Г.А., Николаева М.А., Зотова О.Ф. // Системный анализ в проектировании и управлении: Труды XI международной научно-технической конференции. СПб.: Изд-во Политехнического университета, 2007,-С. 84-86.

9. Оценка морального ущерба при нарушении конфиденциальности / Кустов Г.А. Степанова М.К. // Всероссийская молодежная научная конференция «Мавлютовские чтения». - Уфа: УГАТУ, 2007.-С. 39-40.

10.Система управления информационными рисками на основе логико-вероятностного метода / Кустов Г.А. // Информатика управление и компьютерные науки: Третья всероссийская зимняя школа-семинар аспирантов и молодых ученых, Сборник статей, том 1, Уфа: УГАТУ 2008.-С. 338-346.

Диссертант

77-84.

КУСТОВ Георгий Алексеевич

УПРАВЛЕНИЕ ИНФОРМАЦИОННЫМИ РИСКАМИ ОРГАНИЗАЦИИ НА ОСНОВЕ ЛОГИКО-ВЕРОЯТНОСТНОГО МЕТОДА

(на примере компании добровольного медицинского страхования)

Специальность: 05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Подписано к печати 12.11.2008. Формат 60x84 1/16. Бумага офсетная. Печать плоская. Гарнитура Times New Roman Cyr. Усл. печ. л. 1,0. Усл. кр.-отт. 1,0. Уч.-изд. л. 0,9. Тираж 100 экз. Заказ № 524. ГОУ ВПО Уфимский государственный авиационный технический университет Центр оперативной полиграфии 450000, Уфа-центр, ул. К. Маркса, 12.

Оглавление автор диссертации — кандидата технических наук Кустов, Георгий Алексеевич

Введение

Глава 1.Обзор и сравнительный анализ методов управления информационными рисками (ИР)

1.1 Управление рисками в страховой компании добровольного медицинского страхования (ДМС).

1.2 Обзор известных методик анализа и идентификации информационных рисков.

1.3.Измерение рисков.

1.4. Оценка ущерба при риск-анализе.

1.5.Управление риском.

1.6.Страхование информационных рисков.

1.7.Обзор программных средств анализа и управления рисками.

Выводы по первой главе.

Глава 2. Математические модели задач управления информационными рисками

2.1. Основные этапы решения задачи управления информационными рисками.

2.2. Задача 1. Оценка уровня риска ИС.

2.3. Задача 2. Построение рейтинга угроз.

2.4. Задача 3. Формирование перечня наиболее эффективных контрмер ИС

2.5. Задача 4. Оценка уровня риска ИС с учетом контрмер и оценка эффективности решения задачи управления информационными рисками

2.6. Задача страхования информационных рисков.

Выводы по второй главе.

Глава 3. Реализация методов оценки рисков информационной системы СК ДМС

3.1. Оценка уровня риска ИС.

3.2. Построение рейтинга угроз.

3.3. Формирование перечня наиболее эффективных контрмер ИС.

3.4. Оценка уровня риска ИС с учетом контрмер и оценка эффективности решения задачи управления информационными рисками.

3.5. Страхование информационных рисков.

3.6. Анализ результатов внедрения.

Выводы по третьей главе.

Глава 4. Система управления информационными рисками

4.1 Сравнительный анализ систем.

4.2 Основные этапы реализации системы управления информационными рисками.

4.3 Функциональная модель и структура системы.

4.4 Описание функциональных подсистем.

4.5 Пользователи системы.

4.6 Архитектура системы, средства проектирования и разработки программного обеспечения.

4.7 Оценка временных характеристик работы системы.

Выводы по четвертой главе.

Введение 2008 год, диссертация по информатике, вычислительной технике и управлению, Кустов, Георгий Алексеевич

Актуальность темы исследования. В связи с принятием Федерального закона «О персональных данных» и реализацией законов «Об информации, информационных технологиях и защите информации» и «О медицинском страховании граждан в Российской Федерации» возросла значимость управления рисками информационных систем персональных данных, В настоящее время нерешенными остаются многие проблемы правового, технического и финансового регулирования в медицинских информационных системах, которые располагают хранилищем конфиденциальных данных. Остаются открытыми вопросы гарантий доступа к информации, защиты врачебной тайны, обмена информацией с "третьими лицами" (со страховыми компаниями), определения размера компенсации морального вреда вследствие утечки информации. По классификации категорий персональных данных, предложенной ФСТЭК, данные о состоянии здоровья граждан относятся к самой важной — первой категории, а информационные системы (ИС) компаний добровольного медицинского страхования относятся к классу ИС, для которых нарушение безопасности обрабатываемых персональных данных может привести к значительным негативным последствиям для субъектов персональных данных.

Согласно данным отчетов аудиторской компании Perimetrix только 5% российских организаций не пострадали от утечек данных в 2007 г. Как отмечается в исследовании «Инсайдерские угрозы в России 2008», чаще всего похищаются персональные данные (57%), детали конкретных сделок (47%) и финансовые отчеты (38%) [54].

Для достижения этой цели в диссертации поставлены и решены следующие задачи:

2. Разработка моделей для количественной оценки информационных рисков и анализа качества решений, принимаемых на их основе.

Методы исследования. При решении поставленных в работе задач использовались основные положения методологии структурного анализа и I проектирования, системного анализа, теории вероятностей и математической статистики, теории принятия решений, статистические методики анализа экспертных оценок.

На защиту выносятся:

1. Структура системы управления информационными рисками СК

ДМС.

2. Модели идентификации и количественной оценки информационных рисков.

3. Метод оценки морального ущерба в случае нарушения конфиденциальности информации.

4. Метод оценки и выбора наиболее эффективных контрмер для планирования бюджета информационной безопасности.

5. Методика начисления брутто-премии при страховании информационных рисков.

6. Программное обеспечение системы управления информационными рисками СК ДМС.

Научная новизна работы состоит в следующем:

1. Предложена новая структура системы управления информационными рисками, основанная на использовании JIBM для идентификации и количественной оценки рисков в информационных системах, отличающаяся использованием различной степени детализации сценариев опасных состояний ИС в зависимости от их значимости и позволяющая повысить достоверность оценки информационных рисков.

2. Разработана функциональная модель процесса управления информационными рисками, основанная на применении SADT методологии, использование которой позволяет обоснованно выбрать состав и функции основных этапов анализа и управления рисками СК ДМС.

3. Поставлена и решена задача определения структуры ущерба компании при нарушении конфиденциальности. Предложен метод оценки компенсации морального ущерба в случае нарушения конфиденциальности, основанный на модификации метода предпочтений и замещений, отличающийся использованием балльных оценок и позволяющий оценить вклад морального ущерба в структуру информационных рисков.

5. Разработана методика страхования информационных рисков, основанная на применении предложенных моделей и методов анализа и управления рисками, что позволяет дать обоснованные рекомендации для выбора объектов страхования и размеру страховой суммы и премии.

Разработанное программное обеспечение «Система управления информационными рисками на основе логико-вероятностного метода» зарегистрировано в РОСАПО (свидетельство № 2008612183 об официальной регистрации программы для ЭВМ) и внедрено в страховой компании ООО «МСК «УралСиб»», Уфимском филиале СК ООО «Росгосстрах- Аккорд» и в Уфимском филиале Центрального коммерческого банка.

Апробация работы.

Основные положения, представленные в диссертационной работе, докладывались на следующих конференциях:

-VIII-ой научной конференции студентов и аспирантов - КРЭС 2006. Томск, ТУСУР, 2006 г.;

-Н-ой республиканской научно-практической конференции. Актуальные вопросы современной медицины и здравоохранения. Уфа, БГМУ, 2006;

-XI-ой международной научно-технической конференции. Системный анализ в проектировании и управлении. СПб, Политехнический университет, 2007;

-ТХ-ой Международной научной конференциях «Компьютерные науки и информационные технологии» (CSIT), г.Уфа, г. Красноусольск, 2007 г;

-III Всероссийской зимней школе - семинаре аспирантов и молодых ученых, Уфа, 2008.

Результаты диссертационной работы отражены в 10 публикациях, в том числе в 2-х статьях из перечня ВАК Рособрнадзора. Получено свидетельство № 2008612183 об официальной регистрации программы для ЭВМ «Система управления информационными рисками на основе логико-вероятностного метода».

Структура работы. Диссертационная работа состоит из введения, 4-х глав, заключения, списка литературы, включающего 109 наименований, приложений. Содержание работы изложено на 176 страницах.

Заключение диссертация на тему "Управление информационными рисками организации на основе логико-вероятностного метода"

Основные результаты и выводы диссертационной работы:

1. Предложена структура системы управления информационными рисками СК ДМС на основе ЛВМ и разработанных моделей, которая позволяет анализировать, оценивать информационные риски компании и снижать их за счет эффективных контрмер.

2. Разработана функциональная модель процесса управления информационными рисками, основанная на применении SADT-методологии, использование которой позволяет обоснованно выбрать состав и функции основных этапов анализа и управления рисками СК ДМС. На основе данной модели предложена методика количественной оценки рисков, учитывающая различную степень детализации опасных состояний в зависимости от их значимости на основе алгоритма нечеткой логики Мамдани, карты рисков и логико-вероятностного подхода:

•применение алгоритма Мамдани для оценки значимости ОС позволило снизить временные затраты эксперта по информационной безопасности на анализ опасных состояний ИС СК ДМС на 40%;

•эффективность решения задачи управления РГР СК ДМС составила 59% и 68% для первого и второго варианта метода соответственно при фиксированном бюджете.

6. Разработано программное обеспечение СУИР ЛВМ, позволяющее осуществлять поддержку основных этапов риска-анализа в процессе управления информационными рисками организации.

Система управления информационными рисками на основе логико-вероятностного метода (свидетельство об офиц. регистрации программы для ЭВМ. №2008612183) внедрена в ООО «МСК «УралСиб»», ООО «Росгосстрах-Аккорд» и Уфимском филиале Центрального коммерческого банка.

Заключение

Библиография Кустов, Георгий Алексеевич, диссертация по теме Методы и системы защиты информации, информационная безопасность

1. Алгоритм: модель анализа угроз и уязвимостей Электронный ресурс. Режим доступа: http://www.dsec.iTi/download/threatsvuln.pdf

2. Алексенцев А.И. Защита информации. Сводный словарь основных понятий и терминов // Безопаснось информационных технологий №4 - 1998. -С.101 -108.

3. Андрейчиков А.В., Андрейчикова О.Н. Анализ, синтез, планирование решений в экономике /- М.: Финансы и статистика, 2001. 368 с.

4. Анисимов Д. Сколько стоит банковский инсайдер. PC Week/RE №23 (629), 2008.

5. Аудит информационной безопасности предприятия на соответствие ISO 27001 Электронный ресурс. Режим доступа: http://www.it.techexpert.ua/consult/ infoSequrity/auditonlSO/Pages/Default.aspx.

6. Аудит информационной безопасности. Под ред. П.Курило. БДЦ-пресс, 2006. 304 е.

7. Балдин К.В., Быстров О.Ф. Математические методы в экономике. Теория, примерные варианты контрольных работ: Учеб. пособие /К.В. Балдин, М.: Издательство Московского психологического социального института; Воронеж: Издательство НПО «МОДЭК», 2003. 54 с.

8. Банковские риски. Если страховать, то какие? Электронный ресурс. Режим доступа: http://www.pmoney.ru/txt.asp?rbr=202&sec=275&id=520717.

9. Безмалый В. Внутренние угрозы. Электронный ресурс. Режим доступа: http://www.bms-consulting.com/ru/press/news/box/112.

10. Безопасная сеть вашей компании . Hardening Network Security. Серия: Защита и администрирование. НТ Пресс, 2007 .

11. Белов П.Г. Теоретические основы системной инженерии безопасности. — М.: ГНТП «Безопасность», 1996. 424 с.

12. Березин А.С., Петренко С.А. Безопасность корпоративной информационной системы глазами бизнеса // Экспресс электроника. - №9 -2002. - С. 2-4.

13. Брюс Шнайер Секреты и ложь. Безопасность данных в цифровом мире Электронный ресурс. Режим доступа: http://www.proklondike.com/ index.php?filt=l& mainpart=3.

14. Бурков, В.Н. Механизмы страхования в социально-экономических системах / В.Н. Бурков, А.Ю. Заложнев, О.С. Кулик, Д.А. Новиков М.: ИПУ РАН, 2001. 255 с.

15. Всероссийский Союз Страховщиков Электронный ресурс. Режим доступа: www.ins-union.ru.

16. Галатенко В.А. Основы информационной безопасности. Интернет-университет информационных технологий ИНТУИТ.ру , 2008. 205 с.

17. Голубин, А.Ю. Математические модели в теории страхования: построение и оптимизация / М.: АНКИЛ, 2003. 160 с.

18. Гранатуров В.М. Экономический риск: Учеб. пособие. М.: Дело и сервис, 1999 .160 с.

19. Грищенко, Н.Б. Основы страховой деятельности: Учебное пособие / Н.Б. Грищенко. Барнаул: Изд-во Алт. ун-та, 2001. 274 с.

20. Группа ИНЭК Российские технологии для успешного бизнеса: Информационные технологии, Консалтинг, Аудит и Оценка, Бизнес-обучение Электронный ресурс. Режим доступа: http://www.inec.ru.

21. Диасофт Электронный ресурс. Режим доступа: http://www.diasoft.ru.

22. Доля А.А. Защита персональных данных по закону. Защита информации. INSIDE. №1. 2007.

23. Доля А.А. Сколько стоит утечка на самом деле? Электронный ресурс. Режим доступа: http://safe.cnews.ru/reviews/index.shtml?2007/03/16/240444l.

24. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. К.: ТИД ДиаСофт, 2002. 688 с.

25. Домарев В.В. Безопасность информационных "технологий. Системный подход. К.: ООО ТИД ДиаиСофт, 2004. 992 с.

26. Домарев В.В. Защита информации и безопасность компьютерных систем. -К.: ДиаСофт, 1999. 480 с .

27. Дулясова М.В., Стрижкова Н.В. Базовые составляющие социально -экономического ущерба от несчастного случая //Нефтегазовое дело , № 4, 2003.

28. Дьяконов, Д. Страхование информационных рисков как метод защиты информации Электронный ресурс. Режим доступа: http://www.amulet-group.ru/print.htm?id=30&str=5.

29. Е.Б. Белов, В.П. Лось и др.- Основы информационной безопасности. Учебное пособие для вузов: М.: Горячая линия — Телеком , 2006. 544 с.

30. Закон об организации страхового дела в Российской Федерации // Страховое дело. 2004. - № 4.

31. Зегжда Д.П., Ивашко A.M., Основы безопасности информационных систем М: Горячая линия - Телеком, 2000. 452 с.

32. Зотова О.Ф., Зиборов Г.С., Кустов Г.А. Методы принятия решений в задачах управления риском на примере исследования риска неэффективного лечения в лечебно-профилактическом учреждении. М.: Изд-во Анкил, Управление риском, №4 (44), 2007. С. 62-66.

33. Зубец, А.Н. Маркетинговые исследования страхового рынка / М.: Центр экономики и маркетинга, 2001. 224 с.

34. Измалков В.И., Измалков А.В. Техногенная и экологическая безопасность и управление риском. Спб.: НИЦЭБ РАН, 1998. 481 с.

35. Исаев, В. Как обосновать затраты на информационную безопасность? Электронный ресурс. Режим доступа: http://www.itrust.ru/articles/zatibezop.htm.

36. Как построить и сертифицировать систему управления информационной безопасностью? Электронный ресурс. Режим доступа: http.V/www.infosecurity.m/cgi-bin/cart/arts.pl?a=061215.

37. Кини P.JI. Принятие решений при многих критериях: предпочтения и замещения / P.JI. Кини, X. Райфа X: пер. с англ. / под ред. И.Ф. Шахнова. М.: Радио и связь, 1981. 560 с.

38. Конявский В.А., Хованов В.Н. Система страхования информационных рисков как экономический механизм компесации ущерба при воздействии угроз информационной безопасности // Системы безопасности №36. - 2001.

39. Корпорация ПАРУС корпоративные системы управления для предприятий и государственных структур Электронный ресурс. Режим доступа: http://www.parus.ru.

40. Косарев А. Практические аспекты страхования информационных рисков Электронный ресурс. Режим доступа: http://www.zhuk.net.

41. Кремер Н.Ш. Теория вероятностей и математическая статистика: Учебник для вузов / Н.Ш. Кремер. М.: ЮНИТИ-ДАНА, 2002. 543 с.

42. Кузнецова Н.П., Чернова Г.В. Европейское страховое законодательство: Оценка платежеспособности страховых компаний по рисковым видам страхования. Санкт-Петербург, Институт Страхования, 2002. 54 с.

43. Куканова Н. Методика оценки риска ГРИФ 2005 из состава Digital Security Office Электронный ресурс. Режим доступа: http://www.citforum.ru/products/dsec/grif.

44. Куканова Н. Современные методы и средства анализа и управление рисками информационных систем компаний. Diginal Security Электронный ресурс. Режим доступа: http://www.citforum.ru/products/dsec/grif.

45. Кустов Г.А. Задача управления информационными рисками компании добровольного медицинского страхования. Уфа: Вестник УГАТУ, т.9, №4(22). -С. 77-84.

46. Кустов Г.А., Зотова О.Ф. Управление рисками в добровольном медицинском страховании // Принятие решений в условиях неопределенности. Вопросы моделирования. Межвузовский научный сборник. Уфа: УГАТУ, 2006. -С. 67-72.

47. Кустов Г.А., Николаева М.А., Зотова О.Ф. Задача управления информационными рисками страховой компании // Компьютерные науки и информационные технологии (CSIT'2007): Тр. 9-го Междунар. симп. Уфа, Россия, 2007. Уфа: УГАТУ, 2007. Т. 1. -С. 102-107.

48. Лаврушина О.И., Валенцева Н.И. Банковские риски: учебное пособие. 2-е изд.- М.: 2008. 232 с.

49. Литвак Б.Г. Экспертная информация: методы получения и анализа / Б.Г. Литвак. -М.: Радио и связь, 1982. 184 с.

50. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. пособие для вузов-М: Горячая линия- Телеком, 2004. 280 с.

51. МедАСС Медицинская Автоматизированная Страховая Система. Электронный ресурс. Режим доступа: http://www.medost.ru.

52. Медведковский И. Особенности систем анализа информационных рисков на примере алгоритма ГРИФ. Электронный ресурс. Режим доступа: http://www.CITFORUM.RU.

53. Медведковский И. Современные методы и средства анализа и контроля рисков информационных систем компаний. Электронный ресурс. Режим доступа: http:// www.daily.sec.ru.

54. Методики расчета тарифных ставок по рисковым видам страхования (утв. распоряжением Росстрахнадзора от 08.07.1993 № 02-03-36) // Финансовая газета. 1993. -№40.

55. Миркин, Б.Г. Проблема группового выбора / Б.Г. Миркин. М.: Издательство «Наука», Главная редакция физико-математической литературы, 1974. 256 с.

56. Модель анализа угроз и уязвимостей Электронный ресурс. Режим доступа: http://www.dsec.ru.

57. Можаев А.С., Громов В.Н. Теоретические основы общего логико-вероятностного метода автоматизированного моделирования систем. СПб.: ВИТУ, 2000. 143 с.

58. Николаева М.А., Зотова О.Ф. Сравнительный анализ программного и математического обеспечения для решения задач добровольного медицинского страхования / Информационные технологии. 2005. - № 8. — С. 72 - 79.

59. Николаева М.А., Юнцевич О.Ф. Методы и алгоритмы построения рейтингов // Информационные технологии. 2003. - № 12. - С. 7-18.

60. Николаева М.А., Юнцевич О.Ф.Автоматизированная система построения рейтингов: математическое обеспечение // Принятие решений в условиях неопределенности. Межвузовский научный сборник Уфа: УГАТУ, 2003. - С. 106-112.

61. Николенко Н.П. Реинжиниринг страховой компании / Н.П. Николенко. -М.: Страховое ревю, 2001. 100 с.

62. Новые утечки приватных данных из ChoicePoint Электронный ресурс. Режим доступа: http://ww.mfowatch.ru/threats?chapter=147151398&id=167728625.

63. О новой редакции Стандарта Банка России по информационной безопасности Электронный ресурс. Режим доступа: http://www.abiss.ru/news/detail.php?ID=864.

64. О продукте "Контур Корпорация. Операционные риски" Электронный ресурс. Режим доступа: http://www.iso.ru

65. Общий логико-вероятностный метод анализа структурно-сложных системных объектов и процессов Электронный ресурс. Режим доступа: http://www.szma.com/olwm.pdf.

66. Описание продукта "ULTOR" электронный ресурс. Режим доступа: http://www.ultor.ru/

67. Организацр1я и экономика защиты информации на предприятии Электронный ресурс. Режим доступа: http://bit.tsure.ru/books/ezi/9.htm

68. Петренко С.А. Особенности организации защиты информации в корпоративных системах Internet / Intranet // Экспресс электроника, № 12 -2001.

69. Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность / Петренко С.А., Симонов С.В. М.: Компания АйТи; ДМК Пресс, 2005. 384 с.

70. Петренко С.А., Симонов С.В. Методики и технологии управления информационными рисками // IT Manager. 2003,- № 3.

71. Правила добровольного медицинского страхования ООО «Росгострах-Аккорд» Уфа: ООО «Росгострах-Аккорд», 2002.

72. Правила Кодда Электронный ресурс. Режим доступа: http://www.isot.ru.

73. Представление знаний и использование знаний / Под ред. Уэно X., Исидзука М. и др. М.: Мир, 1989. 220 с.

74. Программный комплекс автоматизированного структурно-логического моделирования и расчета надежности и безопасности систем (ПК ACM СЗМА, базовая версия 1.0) электронный ресурс. Режим доступа: http://wvvw.szma.com.

75. Рябинин И.А. Надежность и безопасность структурно сложных систем. СПб.: Политехника, 2000. 248 с.

76. Салин В.Н. Математико-экономическая методология анализа рисковых видов страхования / В.Н. Салин, JI.B. Абламская, О.Н. Ковалев. М.: АНКИЛ, 1997. 126 с.

77. Серия стандартов ISO 14000 (ГОСТ Р ИСО 14000). Зачем это нужно? Электронный ресурс. Режим доступа: http://www.isol 4001 .ru/infoflSO14000.html.

78. Симонов С.А. Современные технологии анализа рисков в информационных системах // PC WEEK. 2001.- № 37.

79. Симонов С.В. Технологии и инструментарий для управления рисками // Jet Info-2003. -№ 1.

80. Система ГАРАНТ законодательство с комментариями. Законы, Указы, Постановления Электронный ресурс. Режим доступа: http://science.garant.ru/public/default.asp?no=12023005.

81. Смирнов А. Операционные риски и ИТ-инфраструктура банка Электронный ресурс. Режим доступа: http://www.cfin.ru/itm/it-infrbank.shtml

82. Смирнов Э.А. Разработка управленческих решений: Учебник для вузов / Э.А. Смирнов. М.: ЮНИТИ-ДАНА, 2000. 271 с.

83. Соложенцев Е.Д. Сценарное логико-вероятностное управление риском в бизнесе и технике. СПб.: Бизнес-Пресса, 2004. 432 с.

84. Страхование информационных рисков Электронный ресурс. Режим доступа: http://www.ifin.ru/publications/read/406.stm.

85. Страхование информационных рисков в кредитно-финансовой сфере деятельности Электронный ресурс. Режим доступа: http://forinsurer.coni/public/03/09/03/688.

86. Страхование информационных рисков как метод защиты информации Электронный ресурс. Режим доступа: http.V/www.amulet-group.ru/print.htm?id=30&str=5.

87. Тихомиров Н.П., Потравный И.М., Тихомирова Т.М. Методы анализа и управления эколого-экономическими рисками: Учеб. пособие для вузов / Под ред. проф. Н.П. Тихомирова. М: ЮНИТИ-ДАНА, 2003. 350 с.

88. Ульянов В. Угрозы Google Health. PC Week/RE №24 (630) 1 июля — 7 июля, 2008.- С. 22.

89. Ульянов В. Угрозы и риски в системе ИБ банков и страховых организаций PC Week/RE, №26 (632), 15 июля — 21 июля, 2008. С. 14.

90. Фисенко JI. Закон «О персональных данных»: еще один шаг к построению правового государства // Защита информации. INSIDE 2007. - № 1.С.5.

91. Хохлов Н.В. Управление риском: Учебное пособие для вузов- М.: -ЮНИТИ-ДАНА, 1999. 239 с.

92. Чернова Г.В., Кудрявцев А.А.Управление риском: учебн. пособие. — М.: ТК Велби, Изд-во Проспект, 2006. 160 с.

93. Черноруцкий И.Г. Методы принятия решений. СПб.: БХВ-Петербург, 2005.416 с.

94. Шелобаев, С.И. Математические методы и модели в экономике, финансах, бизнесе: Учебное пособие для вузов / С.И. Шелобаев. М.: ЮНИТИ-ДАНА, 2000. 367 с.

95. British Journal of Psychiatry 2000; 177, 196-200, Paul S. Appelbaum, MD Protecting Privacy While Facilitating Research, C. 3-4.

96. Business Technology Network Goverment Issues Broad Medical Privacy Rules Электронный ресурс. Режим доступа: http://www.techweb.com/wire/story/ TWB20001220S0011.

97. Corcoran W.J. Weingarten H., Zehna P.W., Estimating Reability After Corrective Action, Management Scince, 10 № 4, C. 786-795.

98. D. B. Hill MD, M. Gertz PhD "Medical Database Security", Advanced Database Systems ECS 289F, November 1998. Электронный ресурс. Режим доступа: http://www.db.cs.ucdavis.edu/teaching/289F/papers/david.pdf.

99. Mary J. Cronin, 2000, Privacy and the Internet Электронный ресурс. Режим доступа: http://www.hoover.stanford.edu/publications/digest/003/cronin.html.

100. Research Repositories, Databases, and the ШРАА Privacy Rule U.S. Department of health and human services, National Institutes of Health Электронный ресурс. Режим доступа: http://privacyruleandresearch.nih.gov/researchrepositories.asp.

101. Stanford Database Privacy Group an Overview, Database Privacy Research Krishnaram Kenthapadi, Hector Garcia-Molina, Rajeev Motwani Электронный ресурс. Режим доступа: http://theory.stanford.edu/~rajeev/privacy.html.

102. Т. Sorgente and Е. В. Fernandez, 2004. "Analysis patterns for patient treatment, Procs. of PLloP 2004. Электронный ресурс. Режим доступа: http://jerry.cs.uiuc.edu/~plop/plop2004/accepted submissions.

Похожие работы

Информатика, вычислительная техника и управление
05.13.00