Информационные риски: методы оценки и анализа

Information risks: methods of estimation and analysis

УДК 330, 004.9

22.06.2017
 

Выходные сведения:
Киселева И.А., Искаджян С.О. Информационные риски: методы оценки и анализа // ИТпортал, 2017. №2 (14). URL: http://itportal.ru/science/economy/informatsionnye-riski-metody-otsenk/

Авторы:
Ирина Анатольевна Киселева, доктор экономических наук, профессор, профессор кафедры математических методов в экономике, Российский экономический университет им. Г.В. Плеханова, Москва, Российская Федерация, Kia1962@list.ru

Симон Оганнесович Искаджян, кандидат экономических наук, заместитель заведующего кафедрой экономических наук Ереванского филиала Российского экономического университета им. Г.В. Плеханова, Ереван, Армения, simon_iskajyan@yahoo.com

Authors:
Irina Anatolievna Kiselеva, Plekhanov Russian University of Economics, Moscow, Russian Federation, Kia1962@list.ru

Simon Ogannesovich Iskadzhyan, Yerevan Branch of the Plekhanov Russian University of Economics,Yerevan, Armenia, simon_iskajyan@yahoo.com

Ключевые слова:
информационные риски, методы анализа рисков, управление риском, информационная безопасность

Keyword:
information risks, risk analysis methods,, risk management, information security

Аннотация: 
В статье рассматриваются понятие и классификация информационных рисков, а также различные методы оценки и анализа информационных рисков. Статья посвящена актуальной теме современности – развитию информационного риск — менеджмента, основная задача которого заключается в управлении рисками. Актуальность темы обусловлена тем, что в течение последних нескольких лет информация стала играть важнейшую роль во всех сферах человеческой жизни, что связано с постепенным становлением информационного общества.

Ввиду произошедших в экономике изменений, информация, информационные технологии и появившийся рынок информационных услуг требуют к себе пристального внимания и изучения, поскольку очевидно, что вследствие владения, использования и передачи ценной и важной информации, может возникать ряд рисков, способных нанести ощутимый урон компании, государству и экономике в целом.

В статье особое внимание уделено информационным рискам как основной составляющей рисков применения различных информационных технологий в бизнесе. Информационные риски требуют незамедлительного выявления, анализа и оценки в целях последующего сокращения, утилизации или передачи. Информационные риски являются неотъемлемой частью предпринимательских рисков и могут быть проанализированы и оценены с использованием качественных и количественных методов. Рассмотренные методы позволяют оценить уровень текущего состояния информационной безопасности предприятия, снизить потенциальные потери, предложить планы защиты от выявленных угроз. Для получения точных удовлетворительных результатов оценки необходимо использовать комплексный подход к оценке рисков на основе уже существующих методик.

Annotation: 
The article considers the concept and classification of information risks, as well as various methods for assessing and analyzing information risks. The article is devoted to the actual topic of modern times — the development of information risk management, the main task of which is to manage risks. The relevance of the topic is due to the fact that over the past few years, information has played an important role in all spheres of human life, which is associated with the gradual emergence of the information society.

Due to changes in the economy, information, information technologies and the emerging information services market require close attention and scrutiny, as it is obvious that due to the possession, use and transfer of valuable and important information, a number of risks can arise that can cause significant damage to the company, the state And the economy as a whole.

In the article, special attention is paid to information risks as the main component of the risks of using various information technologies in business. Information risks require immediate detection, analysis and evaluation for subsequent reduction, disposal or transfer. Information risks are an integral part of business risks and can be analyzed and evaluated using qualitative and quantitative methods. The methods considered allow one to assess the level of the current state of information security of an enterprise, reduce potential losses, and offer protection plans against identified threats. To obtain accurate, satisfactory evaluation results, an integrated approach to risk assessment should be used based on existing methods.

Введение

В течение последних нескольких лет информация стала играть важнейшую роль во всех сферах человеческой жизни, что связано с постепенным становлением информационного общества. Для развития человечества стали необходимы не только материальные, инструментальные и другие ресурсы, но и информационные. Настоящее время отмечается быстрым ростом информационных потоков, охватывающих весь земной шар, поскольку с переходом к современному этапу развития, характеризующемуся увеличивающимся темпом технических и технологических инноваций, объем тех знаний, которые необходимы для их обоснования, разработки, реализации и распространения, должен существенно возрастать. Наибольший прирост объема информации наблюдается в таких отраслях, как промышленность, торговля, образовательная сфера и банковско-финансовая сфера. Информация превращается в ценнейший вид продукции, суммарная стоимость которой в недалеком будущем должна превзойти суммарную стоимость продуктов материального производства, так как для обеспечения успешного ресурсосберегающего создания материальных благ и услуг необходимо использовать принципиально новую технологию, обеспечивающую прирост знаний, их эффективный поиск, хранение, распространение и внедрение.

Ввиду этих произошедших в экономике изменений, информация, информационные технологии и появившийся рынок информационных услуг требуют к себе пристального внимания и изучения, поскольку очевидно, что вследствие владения, использования и передачи ценной и важной информации, может возникать ряд рисков, способных нанести ощутимый урон компании, государству и экономике в целом. У каждой корпорации есть секреты производства, данные об уникальных инновациях, интеллектуальной собственности, базы данных клиентов, партнеров, поставщиков, сотрудников, на которых базируется весь производственный процесс, и попадание этих данных в руки конкурентам или иным недоброжелателям – серьезно угрожает состоянию и функционированию компании. Из-за широкого распространения сетевых технологий и мобильных устройств, проблема защиты ценной информации стоит как никогда остро. В ряду основных задач компаний, помимо привычных, появились такие, как защита и обеспечение конфиденциальности данных, снижение информационных рисков и предупреждение хакерских атак. Никто не застрахован от таких нежелательных последствий, как кража, перехват информации, заражение компьютера вирусом, уничтожение информации и многих других. Обеспечение информационной безопасности компании является не только одной из важнейших задач высшего руководства, но и важной составной частью менеджмента организации в целом.

Понятие информационного риска

В настоящий момент еще не сложилось однозначного понятия, что же из себя представляет информационный риск. Некоторые специалисты рассматривают информационный риск в качестве события, которое оказывает непосредственное влияние на информацию: ее удаление, искажение, нарушение ее конфиденциальности или доступности. [2], [3], [6, с. 5].

Другие рассматривают данное понятие в более узком аспекте, ограничивая зону информационного риска лишь компьютерными системами.

В большинстве понятий не рассматриваются некоторые важные аспекты, которым стоило бы уделить внимание. В первую очередь, это специалисты, чья работа связана непосредственно с вводом информации в систему и ее обработкой. Ведь уже на стадии получения этой информации существуют риски, так как даже на данной стадии существуют события, которые оказывают влияние на достоверность полученных данных, их полноту и актуальность.

Также в это определение часто не включаются риски, связанные с возникновением сбоев в алгоритмах обработки информации, программах, которые используются для выработки управленческих решений.

Некоторые специалисты подходят к понятию «информационные риски» с другой точки зрения – экономической. Под определением они понимают «опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи». [1, с.65].

Классификация информационных рисков 

Все информационные риски можно классифицировать на различные группы на основании нескольких критериев:

1.     По источникам информационные риски делятся на внутренние и внешние;

2.     По характеру – на преднамеренные и непреднамеренные;

3.     По виду – прямые или косвенные;

4.     По результату – нарушение достоверности информации, нарушение актуальности информации, нарушение полноты информации, нарушение конфиденциальности и др.

5.     По механизму воздействия: стихийные бедствия, аварии, ошибки специалистов и др.

Методики анализа, оценки и управления рисками информационной безопасности

Анализ информационных рисков — это процесс совокупного оценивания степени защиты информационной системы с определением количественных (в форме денежных ресурсов) и качественных (уровни риска: высокий, средний, низкий) показателей риска. Анализ осуществляется при помощи различных инструментов и методов формирования процессов защиты инфoрмации. На основе его результатов выделяются самые высокие риски, являющиеся опасной угрозой и требующих немедленного принятия дополнительных защитных мер. [4, с.75].

Единой методики, по которой можно было бы определить количественную величину риска, на сегодняшний день не существует. Во-первых, это обусловлено отсутствием необходимого объема статистической информации о возможности возникновения какой-либо конкретной угрозы. Во-вторых, играет немаловажную роль тот факт, что определить величину стоимости конкретного информационного ресурса порой очень трудно. [7, 8, 9, 23, 24]. Например, владелец информационного ресурса легко может указать стоимость оборудования и носителей, однако назвать точную стоимость данных, находящихся на этом оборудовании и носителях, он фактически не в состоянии. Поэтому самой часто используемой является качественная оценка информационных рисков, главные задачи которой – это идентифицировать факторы риска, определить возможные уязвимые области риска и оценить воздействие каждого из видов. [5, с. 32].

Наиболее известный подход к количественному рассчету информационных рисков – британский метод CRAMM. Его основными целями являются: автоматизация управления рисками, оптимизация финансовых расходов на управление, оптимизация времени на сопровождение систем безопасности компании, поддержка непрерывности бизнеса [10].

Анализ рисков проводится экспертным путем.

В проводимых расчетах информационных рисков принимаются к учету такие факторы, как:

1. Стоимость ресурса – Asset Value (AV). Данная величина отражает ценность конкретного информационного ресурса. При качественной оценке рисков, стоимости ресурса, как правило, присуждается ранг в интервале от 1 до 3, где 1 — это минимальная стоимость ресурса, 2 — это средняя стоимость ресурса и 3 — это максимальная стоимость ресурса. Например, если рассматривать информационную банковскую систему, то её автоматизированный сервер будет иметь ранг AV = 3, а отдельный информационный терминал AV = 1;

2. Степень незащищенности ресурса от угрозы – Exposure Factor (EF). Данный параметр демонстрирует, насколько какой-либо ресурс уязвим относительно рассматриваемой угрозы. К примеру, рассматривая банковскую организацию, тот же сервер автоматизированной банковской системы характеризуется наибольшей доступностью. Поэтому, атаки являются для него максимальной угрозой. При качественной оценке рисков эта величина так же расположена в интервале от 1 до 3, где 1 — это низшая степень уязвимости (незначительное воздействие), 2 — средняя (есть большая вероятность восстановить ресурс), 3 — наивысшая степень уязвимости (необходима полная замена ресурса после утилизации угрозы);

3. Оценка возможности возникновения угрозы – Annual Rate of Occurrence (ARO) показывает, какова вероятность реализации конкретной угрозы за обусловленный временной промежуток (чаще всего, в течение одного года) и так же может принимать значения в интервале от 1 до 3 (низкая, средняя, высокая).

На основе опытных данных формируется оценка ожидаемых потерь вследствие воздействия определенной угрозы за установленный временной период – Annual Loss Exposure (ALE), характеризующая размер риска и рассчитывающаяся, используя формулу:

ALE = ((AV × EF × ARO).

После осуществления начальной оценки рисков, полученные в ходе вычислений значения необходимо проранжировать согласно степеням важности для определения низких, средних и высоких уровней информационных рисков.

Методика управления рисками содержит несколько способов действий в условиях возникновения рисков.

Риск можно:

• принять — согласиться с риском и понести обусловленные им потери;

• снизить  — принять определенный перечень мер, направленный на минимизацию риска;

• передать — возложить затраты на покрытие ущерба на страховую компанию, либо же – трансформировать риск в риск с более низким уровнем опасности с помощью специальных механизмов.

После этого происходит распределение рисков по рангу, а затем – выявляются те риски, которые требуют к себе внимания в первую очередь. Основной метод управления подобными рисками – это его снижение, изредка применяется передача риска. Риски, характеризующиеся средним уровнем опасности, возможно передавать и снижать наравне с рисками высокого уровня. Риски низшего уровня опасности обычно принимаются и не участвуют в дальнейшем анализе.

Очевидно, что интервал ранжирования рисков определяется на основе осуществлённого расчета их качественной величины. Таким образом, если величины рассчитываемых рисков находятся в интервале от 1 до 18, то низкие риски лежат в диапазоне от 1 до 7, средние — от 8 до 13, высокие — от 14 до 18.

Так, управление рисками заключается в снижении величин высоких и средних рисков до значений низких информационных рисков, при которых становится возможным их принятие. Снижение уровня риска может быть достигнуто путем уменьшения одной или нескольких составляющих формулы (стоимость ресурса AV, уровень незащищенности ресурса от угроз EF, оценка вероятности возникновения угрозы ARO) с помощью определенных мер. В основном это реализуется применительно к уровню незащищенности ресурса от угроз и оценки вероятности возникновения угрозы, так как стоимость ресурса — как правило, является достаточно фиксированным параметром.

Методы оценки рисков информационной безопасности

Специалисты в области информационной безопасности для того, чтобы выявить информационные риски и предугадать возможные последствия, в основном используют различные методы экспертных опросов: заочный — анкетирование, и очные, более точные: интервьюирование, комиссионный метод, brainshtorm и Delfy. [17, 18, 19, 20, 21, 22].  

Метод CORAS

Методология CORAS была разработана в рамках европейской программы Information Society Technologies. Суть методологии состоит в приспособлении, конкретизации и сочетании некоторых методов проведения анализа рисков, например: Event-Tree-Analysis, цепи Маркова и FMECA. В данном методе используется модель UML (унифицированный язык моделирования – язык, используемый для графического описания объектов моделирования в сфере разработки ПО). Для фиксирования получаемых межэтапных результатов и для конечного предоставления полных заключений о проведенном анализе информационных рисков, используют специальные встроенные в UML диаграммы CORAS,.

Работы по анализу информационных рисков, согласно методологии CORAS, состоят из следующих процедур:

• проведение подготовительных мероприятий – поиск и систематизация данных об объекте анализа;

• представление клиентом объекта или объектов, которые должны подвергнуться анализу;

• полное и поэтапное описание предстоящей задачи аналитиком;

 • проверка правильности и обстоятельности документов, представленных для проведения анализа;

• осуществление мероприятий по выделению рисков;

• оценивание вероятностей и последствий возникновения угроз информационной безопасности;

• выделение приемлемых рисков (которые могут быть приняты) и рисков, которые необходимо представить на оценку для дальнейшего снижения или устранения;

• ликвидация угроз.

Данный программный инструментарий не требует значительных ресурсов для установки и применения. Методика проста в использовании и не требует специальных знаний. [11, 12].   К недостаткам можно отнести то, что в методике не предусмотрена периодичность проведения оценки рисков.

Метод OCTAVE

Методология OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) разработанная в Институте программной инженерии при Университете Карнеги-Меллона, предусматривает большую степень вовлечения владельца информации в деятельность по определению критических информационных активов и возникающих в связи с ними рисков. Метод OCTAVE является методом быстрой оценки критических угроз, определения активов и выявления уязвимостей. В данной методике предусмотрено создание специализированной группы анализа, изучающей безопасность. Эта группа включает в анализ работников бизнес-подразделений компании, использующих систему, а также сотрудников IT-отдела. Оценивание рисков информационной безопасности по методологии OCTAVE состоит из трех этапов. [14. 15].  

На первоначальном этапе происходит оценка организационных аспектов. На этой стадии группа анализа должна определить критерии, по которым будет оцениваться ущерб, а впоследствии – и риски. Так же на этом этапе происходит выявление важнейших организационных ресурсов и оценивание сегодняшнего состояния практики и опыта поддержания и защиты безопасности в компании. На финальном шаге первоначальной стадии идентифицируются требования безопасности, и определяется перечень опасностей для всех критических ресурсов.

На второй стадии осуществляется комплексный анализ информационной инфраструктуры корпорации. Большое внимание уделяется тому, насколько быстро и слаженно вопросы безопасности разрешаются между отделами и сотрудниками, которые отвечают за использование данной инфраструктуры.

Для третьей стадии характерно проведение разработки тактики обеспечения безопасности и создание плана по защите информации и сокращению рисков. В ходе выявления и анализа рисков оценивается урон от возможного возникновения угроз, устанавливаются вероятностные критерии оценки угроз, а также оценивается вероятность реализации угроз.

В ходе формирования стратегии гарантирования безопасности и плана сокращения рисков осуществляют следующие действия:

• характеризуют текущую стратегию по обеспечению безопасности,

• делают выбор подходов к сокращению рисков,

• создают план по сокращению рисков,

• указывают изменения в текущей стратегии по обеспечению безопасности,

• выявляют перспективные направления работы по обеспечению безопасности.

Матричный метод анализа

Данный метод анализа связывает активы, уязвимости, угрозы и средства управления и определяет важность различных средств управления, соответствующим активам организации. Под активами организации понимаются существенные с точки зрения объекты, которые могут быть как материальными и нематериальными.

Матричная методология включает в себя три отдельных матрицы: матрицу угроз, матрицу уязвимостей и матрицу контроля. С помощью этих матриц собираются данные для анализа рисков. [13, 16].  

Все матрицы связаны между собой. Матрица уязвимостей содержит связь между активами и уязвимостями, матрица угроз содержит в себе отношения между уязвимостями и угрозами, а матрица контроля содержит связи между угрозами и средствами управления. Значение в каждой ячейке матрицы показывает ценность отношения между элементом строки и столбца. Используется следующая система оценок: низкая, средняя и высокая.

В процессе первоначального анализа формируются списки активов, уязвимостей, угроз и средств управления. Матрицы заполняются путем добавления данных о связи элемента столбца матрицы с элементом строки. Затем данные из матрицы уязвимостей переносятся в матрицу угроз. Дальше по такому же принципу данные из матрицы угроз заносятся в матрицу контроля.

Примеры трех матриц:

Рисунок 1. Матрица уязвимостей

Пусть есть n активов, относительная стоимость актива aj (j=1, n). Также пусть сij – это воздействие уязвимости vi на актив aj. Тогда совокупное воздействие уязвимости vi на активы организации вычисляется по формуле:

Рисунок 2. Матрица угроз

Пусть имеется p угроз, которые воздействуют на V уязвимостей, а dki – это потенциал воздействия угрозы tk уязвимости vi. Тогда относительное совокупное воздействие угрозы Tk определяется по формуле: 

Рисунок 3. Матрица контроля

Пусть есть q средств управления, которые могут смягчить p угроз, а elk – воздействие средства контроля Z0 на угрозу tk. Тогда относительное совокупное воздействие средств контроля Z0 определяется по формуле: 

Одним из главных преимуществ данного метода является то, что его можно применить практически к любой организации. Методология содержит довольно удобные матричные шаблоны, которые можно улучшать с появлением новой информации для анализа. Этим методом можно воспользоваться самостоятельно, не обращаясь к специалистам.

Тем не менее, перед принятием решения по внедрению какого-либо метода управления рисками необходимо удостовериться, что он в полной мере учитывает все потребности корпорации, её параметры, а также отвечает опыту лучших мировых практик и отличается подробным описанием процессов и предпринимаемых в ходе оценки действий.

Заключение

С переходом к рыночной экономике и ростом значения прогнозирования экономического развития существенно возросла роль информации. Информация стала залогом успешного функционирования фирмы, поддержанием ее конкурентоспособности и нормального развития. Однако широкое использование информации породило новый вид рисков – информационные риски, которые могут составлять серьезную угрозу развитию и функционированию компаний. Поэтому информационные риски требуют незамедлительного выявления, анализа и оценки в целях последующего сокращения, утилизации или передачи. Необходимо помнить, что формулирование и осуществление политики безопасности по устранению подобных рисков не будет эффективной, если существующие шаблоны и правила используются не так, как должны, что происходит из-за необученности сотрудников или их неосведомленности о важности проблемы. Именно поэтому работы по обеспечению информационной безопасности должны быть комплексными. Управление информационными рисками – субъективный, сложный и очень важный процесс в деятельности отечественных и зарубежных компаний, особенно тех их них, кто работает с конфиденциальной информацией, с сокрытой информацией или просто с большими объемами информации,  когда вероятность ее непредвиденной утечки очень велика.

Однако уже разработано множество систем и методик по расчету и анализу возможных информационных рисков, которые позволяют оперативно информировать о них бизнес и впоследствии соблюдать главные требования рынка – непрерывность и безопасность экономической деятельности компании.

Библиографический список

1. Мишель М. Управление информационными рисками// Финансовый директор. −2007. − № 9, С.64-68.
2. Баранова Е.К. Методики анализа и оценки рисков информационной безопасности // Вестник Московского университета им. С.Ю. Витте. Серия 3: Образовательные ресурсы и технологии. 2015 № 1 (9). С. 73–79
3. Замула А.А., Одарченко А.С., Дейнеко А.А. Методы оценивания и управления информационными рисками / Прикладная радиоэлектроника, 2009, том 8, № 3. С.382-387.
4. Киселева И.А., Симонович Н.Е. Проблемы безопасности и риска с позиции психолога и экономиста – М., Новая реальность, 2016. 148 с.
5.Киселева И.А., Симонович Н.Е. Экономическая и социально-психологическая безопасность предприятия // Национальные интересы: приоритеты и безопасность. 2014. № 5. С. 30-34.
6. Киселева И.А., Искаджян С.О. Управление информационными рисками в бизнесе // Иннов: электронный научный журнал, 2017. №1 (30). С. 5.
7. Власов А. Риск-менеджмент: система управления потенциальными потерями // Бизнес. 2013. № 5. С.25-32.
8. Митченко И.А. Методические основы оценки информационных рисков в предпринимательстве / Вестник АГТУ, 2007. № 3(38). С.204-210.
9. Петренко С.А, Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. М. : Академия АйТи : ДМК Пресс, 2008. – 384 с.
10. Медведовский И. Современные методы и средства анализа и контроля рисков информационных систем компаний CRAMM, RiskWatch и ГРИФ. [Электронный ресурс]. URL: http://www.ixbt.com/cm/informationsystem-risks012004.shtml/ 19.02.17
11. Швалев И.С., Чусавитина Г.Н., Давлеткиреева Л.З. Сравнительная характеристика автоматизированных инструментальных средств управления информационными рисками // Современные научные исследования и инновации. – Ноябрь 2012. – № 11 [Электронный ресурс]. URL: http://web.snauka.ru/issues/2012/11/18524 19.02.17
12. Поликарпов А.К. Обзор существующих методов оценки рисков и управления информационной безопасностью – Режим доступа: 19.02.17
13. Юнкерова Ю.И. Экономико-математические методы управления информационными рисками // Петербургский экономический журнал. 2014. № 1. С. 59-64.
14. Астахов А. Искусство управления информационными рисками. — М.: ДМК Пресс, 2010. -312 с.
15.Лебедева Т.В. Риски. Оценка и управление информационными рисками // Вестник Российского нового университета. Серия: Сложные системы: модели, анализ и управление. 2010. № 3. С. 64-66.
16. Калашников А.О. Модели и методы организационного управления информационными рисками корпораций. М., Институт проблем управления им. В.А. Трапезникова РАН . 2011. 312 с.
17. Соколова И.А. Информационное обеспечение процесса управления рисками // Инновационное развитие экономики. 2016. № 1 (31). С. 88-94.
18.Калашников А.О. Управление информационными рисками организационных систем: общая постановка задачи // Информация и безопасность. 2016. Т. 19. № 1. С. 36-45.
19.Егорова Г.В., Федосеева О.Ю. Управление информационными рисками предприятия // Вестник Волжского университета им. В.Н. Татищева. 2015. № 2 (24). С. 32-36.
20. Славина М.С., Аллаярова А.М. Сельская бедность: причины, проявления, последствия (на примере Республики Башкортостан) // Аэкономика: экономика и сельское хозяйство, 2016. №4 (12). URL: http://aeconomy.ru/science/economy/selskaya-bednost-prichiny-proyavlen/
21. Федоров О.В. Аспекты инновационной деятельности. Монография. Москва. 2010.
22. Новиков Д.А., Калашников А.О. Управление информационными рисками в инновационной России // Информация и безопасность. 2013. Т. 16. № 3. С. 319-322.
23. Иванов С. Л., Шамин А. А. Расширение возможностей защиты информации в MS Excel посредством применения макросов // Вестник НГИЭИ. 2016. № 4 (59). С. 93-98.
24. Генералов И. Г., Суслов С. А. Методические подходы к оценке конкурентоспособности организаций // Вестник НГИЭИ. 2016. № 9 (64). С. 31-38.

References

1. Mishel’ M. Upravlenie informatsionnymi riskami// Finansovyi direktor. −2007. − № 9,S.64-68.
2. Baranova E.K. Metodiki analiza i otsenki riskov informatsionnoi bezopasnosti // Vestnik Moskovskogo universiteta im. S.Yu. Vitte. Seriya 3: Obrazovatel’nye resursy i tekhnologii. 2015 № 1 (9). S. 73–79
3. Zamula A.A., Odarchenko A.S., Deineko A.A. Metody otsenivaniya i upravleniya informatsionnymi riskami / Prikladnaya radioelektronika, 2009, tom 8, № 3. S.382-387.
4. Kiseleva I.A., Simonovich N.E. Problemy bezopasnosti i riska s pozitsii psikhologa i ekonomista – M., Novaya real’nost’, 2016. 148 s.
5.Kiseleva I.A., Simonovich N.E. Ekonomicheskaya i sotsial’no-psikhologicheskaya bezopasnost’ predpriyatiya // Natsional’nye interesy: prioritety i bezopasnost’. 2014. № 5. S. 30-34.
6. Kiseleva I.A., Iskadzhyan S.O. Upravlenie informatsionnymi riskami v biznese // Innov: elektronnyi nauchnyi zhurnal, 2017. №1 (30). S. 5.
7. Vlasov A. Risk-menedzhment: sistema upravleniya potentsial’nymi poteryami // Biznes. 2013. № 5. S.25-32.
8. Mitchenko I.A. Metodicheskie osnovy otsenki informatsionnykh riskov v predprinimatel’stve / Vestnik AGTU, 2007. № 3(38). S.204-210.
9. Petrenko S.A, Simonov S.V. Upravlenie informatsionnymi riskami. Ekonomicheski opravdannaya bezopasnost’. M. : Akademiya AiTi : DMK Press, 2008. – 384 s.
10. Medvedovskii I. Sovremennye metody i sredstva analiza i kontrolya riskov informatsionnykh sistem kompanii CRAMM, RiskWatch i GRIF. [Elektronnyi resurs]. URL: http://www.ixbt.com/cm/informationsystem-risks012004.shtml/ 19.02.17
11. Shvalev I.S., Chusavitina G.N., Davletkireeva L.Z. Sravnitel’naya kharakteristika avtomatizirovannykh instrumental’nykh sredstv upravleniya informatsionnymi riskami // Sovremennye nauchnye issledovaniya i innovatsii. – Noyabr’ 2012. – № 11 [Elektronnyi resurs]. URL: http://web.snauka.ru/issues/2012/11/18524 19.02.17
12. Polikarpov A.K. Obzor sushchestvuyushchikh metodov otsenki riskov i upravleniya informatsionnoi bezopasnost’yu – Rezhim dostupa: 19.02.17
13. Yunkerova Yu.I. Ekonomiko-matematicheskie metody upravleniya informatsionnymi riskami // Peterburgskii ekonomicheskii zhurnal. 2014. № 1. S. 59-64.
14. Astakhov A. Iskusstvo upravleniya informatsionnymi riskami. — M.: DMK Press, 2010. -312 s.
15.Lebedeva T.V. Riski. Otsenka i upravlenie informatsionnymi riskami // Vestnik Rossiiskogo novogo universiteta. Seriya: Slozhnye sistemy: modeli, analiz i upravlenie. 2010. № 3. S. 64-66.
16. Kalashnikov A.O. Modeli i metody organizatsionnogo upravleniya informatsionnymi riskami korporatsii. M., Institut problem upravleniya im. V.A. Trapeznikova RAN . 2011. 312 s.
17. Sokolova I.A. Informatsionnoe obespechenie protsessa upravleniya riskami // Innovatsionnoe razvitie ekonomiki. 2016. № 1 (31). S. 88-94.
18.Kalashnikov A.O. Upravlenie informatsionnymi riskami organizatsionnykh sistem: obshchaya postanovka zadachi // Informatsiya i bezopasnost’. 2016. T. 19. № 1. S. 36-45.
19.Egorova G.V., Fedoseeva O.Yu. Upravlenie informatsionnymi riskami predpriyatiya // Vestnik Volzhskogo universiteta im. V.N. Tatishcheva. 2015. № 2 (24). S. 32-36.
20. Slavina M.S., Allajarova A.M. Sel’skaja bednost’: prichiny, projavlenija, posledstvija (na primere Respubliki Bashkortostan) // Ajekonomika: jekonomika i sel’skoe hozjajstvo, 2016. №4 (12). URL: http://aeconomy.ru/science/economy/selskaya-bednost-prichiny-proyavlen/
21. Fedorov O.V. Aspekty innovacionnoj dejatel’nosti. Monografija. Moskva. 2010.
22.Novikov D.A., Kalashnikov A.O. Upravlenie informatsionnymi riskami v innovatsionnoi Rossii // Informatsiya i bezopasnost’. 2013. T. 16. № 3. S. 319-322.
23. Ivanov S. L., Shamin A. A. Rasshirenie vozmozhnostej zashhity informacii v MS Excel posredstvom primenenija makrosov. Vestnik NGIJeI. 2016. No 4 (59). P. 93-98.
24. Generalov I. G., Suslov S. A. Metodicheskie podhody k ocenke konkurentosposobnosti organizacij. Vestnik NGIJeI. 2016.No 9 (64). P. 31-38.