Документ рассматривает проблему формирования бюджета для системы менеджмента информационной безопасности (СМИБ), акцентируя внимание на сложности оценки затрат и отсутствии общепринятых метрик. Предлагается методология расчета бюджета на основании оценки последствий инцидентов безопасности. Результаты могут быть полезны для оптимизации бюджетирования в организациях с целью достижения требуемого уровня информационной безопасности.

1. 1
УДК 004.94
Определение бюджета для реализации проекта системы менеджмента информационной
безопасности на основании оценки последствий инцидентов
Лившиц Илья Иосифович –кандидат техн. наук; ведущий аналитик ООО «Газинформсервис»,
198096, г. С-Петербург, ул. Кронштадтская, д.10 лит.А, e-mail: livshitz.il@yandex.ru; тел.:
+7 (812) 934-48-46;
Лонцих Павел Абрамович, доктор техн. наук, профессор, зав. кафедрой управления
качеством и механики, Иркутский национальный исследовательский технический университет,
Руководитель Иркутского филиала Ассоциации по сертификации «Русский Регистр», 664074,
Иркутск, ИРНИТУ, тел.: +7 (395) 240-51-79, e-mail: palon@list.ru
Никифорова Ксения Александровна, кафедра «Безопасность информационных технологий»,
Санкт-Петербургский национальный исследовательский университет информационных
технологий, механики и оптики, 197101, г. Санкт-Петербург, Кронверкский проспект, д.49; тел.
+7 (921) 927-85-87; e-mail nikiforova.k.a@yandex.ru
Ключевые слова
Информационная безопасность (ИБ); система менеджмента информационной безопасности
(СМИБ); результативность; метрики ИБ; инциденты ИБ; меры (средства) информационной
безопасности; менеджмент рисков.
Keywords
Information Security (IT-Security); Information Security Management System (ISMS); effectiveness; IT-
Security metrics; IT-Security incident; controls; risk management.
Аннотация
В представленной публикации кратко рассмотрена проблема при формировании
экономических оценок процессов обеспечения ИБ. Данная проблема имеет важное значение,
т.к. в настоящее время применяются разноплановые подходы при обосновании бюджета для
нормального функционирования СМИБ. Основное внимание обращено на сложности
формирования оценок затрат для обеспечения требуемого бизнесом уровня ИБ, в условиях
отсутствия приемлемых (признанных) отраслевых метрик ИБ и проблем при достоверной
оценке результативности СМИБ. С учетом поставленной проблемы предложены формулы
расчета бюджета для реализации проекта СМИБ на основании оценки последствий инцидентов
ИБ и результативности различных применяемых мер (средств) обеспечения ИБ, дополнительно
рассмотрен практический кейс, поясняющий расчет для конкретной моделируемой ситуации.
Предложенная численная оценка затрат на обеспечение ИБ основывается на
использовании метрик ИБ (оценки результативности мер и средство обеспечения ИБ),
использует оценки последствий инцидентов ИБ (подтвержденные объективными данными
аудитов) и позволяет формировать общую оценку бюджета для реализации проекта СМИБ с
целью обеспечить заданный высшим руководством уровень обеспечения ИБ. Данные
результаты могут найти применение при формировании, экспертизе, оптимизации и
документированном обосновании бюджетов СМИБ, формируемых с целью достижения
требуемого уровня обеспечения ИБ в различных организациях.
Abstract
In the present publication summarizes the problem of the IT-Security processes economic
evaluations formation. This problem is important because currently in use diverse approaches to budget
justification for the normal ISMS functioning. The main focus covers on the complexity of cost

2. 2
assesses formation for the IT-Security level in accordance with business requirements, due in the
absence of acceptable industry metrics for accurate ISMS efficiency evaluation. In view of the problem
proposed formula for calculating the budget for the project ISMS based on an assessment of IT-
Security incidents and the impact of different measures used (means) of information security, further
address practical case, explaining the calculation for a particular simulated situation.
The proposed numerical estimation for cost of IT-Security providing based on the IT-Security
metrics usage (assessing the effectiveness of measures and IT-Security means), impact assessment uses
IT-Security incidents (confirmed by objective audits data) and allows to create an overall budget
assessment for the ISMS project to ensure a given level of senior management IT-Security ensuring.
These results can be applied in the formation, expertise, optimize and document the rationale budgets
ISMS formed in order to achieve the required level of IT-Security in organizations.
1. Введение
На данном этапе развития технологии обеспечения информационной безопасности (ИБ)
одним из важных по-прежнему является вопрос эффективного управления данным процессом.
Минимально, необходимо учитывать два аспекта указанного процесса: технический –
собственно управление средствами (мерами) обеспечения ИБ (задача результативности) и
экономический – обоснование ресурсов, выделяемых на нормальное функционирование
указанного процесса (задача эффективности). Технический аспект в настоящее время
достаточно отработан – комплекс средств (мер), направленных на обеспечение ИБ, принято
объединять в единую систему менеджмента информационной безопасности (СМИБ),
создаваемую в рамках всей организации, подчиненную высшему руководству и периодически
оцениваемую по определенным метрикам. Для СМИБ выполняется требование по оценке
результативности – как оценки степени достижения всех установленных целей и мероприятий,
направленных на обеспечение определенного уровня ИБ.
Экономический аспект процессов обеспечения ИБ разработан недостаточно, т.к.
наблюдается широкий диапазон разноплановых подходов и методов к задаче обоснования
достаточного бюджета для нормального функционирования СМИБ. Поскольку напрямую
невозможно установить однозначную зависимость между бюджетом и достижимым уровнем
результативности (т.е. уровень обеспечения ИБ не зависит явно только от размера выделения
финансовых средств), представляется необходимым предложить некоторые численные метрики.
Наиболее оптимальным и удобным для практического применения представляется подход
анализа зависимости бюджета СМИБ посредством оценки последствий инцидентов ИБ
2. Постановка задачи
Проблема получения оценок бюджета СМИБ достаточно хорошо известна [1,2,15]. И эта
проблема длительное время «консервировалась» высшим руководством предприятий с позиции
«необходимости разрабатывать, закупать и внедрять». Организационные вопросы
доминировали над «техническими» задачами и, в том числе, вопросы обеспечения ИБ также
были отнесены к остаточному распределению бюджета. Мотивация высшего руководства в
части финансирования систем менеджмента (в т.ч. СМИБ) должна опираться как на внутренние
аспекты (обеспечение комплексной безопасности для достижения плановых показателей), так и
на внешние требования регуляторов, которые накладывают известные ограничения именно на
технические системы организации. Кроме того, должны быть приняты во внимания и новые
вызовы («таргетированные» атаки на объекты критичной инфраструктуры, недобросовестные
подрядчики и ограничения вендоров в силу санкционных требований и пр.), способные стать
причинами техногенных катастроф и привести к значительным убыткам. Например, авария
15.06.2014 г. на Ачинском НПЗ привела к гибели 8 человек, 6 месяцам простоя по выпуску
товарного бензина и убыткам более чем в 1 млрд. рублей (по данным издания «Коммерсант»).

3. 3
Для получения общих оценок бюджета на обеспечение безопасности наиболее известен
подход применения простого коэффициента к бюджету, выделяемому на обеспечение
функционирования ИТ-инфраструктуры. Однако не всегда можно однозначно установить, что
выделенных финансовых ресурсов будет достаточно для обеспечения требуемого уровня
обеспечения ИБ. Отчасти это может быть связано с отсутствием точных заданных оценок
необходимого уровня обеспечения ИБ от высшего руководства компаний, или наличием только
отдельных метрик «технического» функционирования мер (средств) обеспечения ИБ (например,
минимальная доступность базовых сервисов, размер санкций со стороны регуляторов).
Например, по данным [3], около 25% организаций применяют автоматизированные
системы для поиска и устранения «чувствительных» данных. Однако, поскольку
конфиденциальные данные распределены по всему предприятию, лица, принимающие решения
(ЛПР) не обладают полной информацией о том, где эти данных хранятся и кто имеет к ним
доступ. Соответственно, эти оценки не дают «полной картины» возможных нарушений и
размера потенциального ущерба для всей организации при негативном сценарии реализации
инцидентов ИБ, в частности:
 Риски репутации. По данным [4], реализуются риски, порождаемые социальными сетями:
сотрудники могут «выносить сор из избы» и легко организовать репутационную атаку,
особенно при согласованной поддержке «заинтересованных» СМИ;
 Риски нарушения ИБ со стороны третьих лиц. По данным [5], крупные организации
часто не разглашают данные о нарушениях ИБ своих поставщиков и субподрядчиков,
пример Эварда Сноудена, сотрудника компании – подрядчика АНБ.
Предлагается следующая постановка задачи: определение комбинированной метрики,
расчет которой позволит, опираясь на оценки последствий инцидентов ИБ, сформировать
общую оценку бюджета для реализации проекта СМИБ с целью обеспечить заданный уровень
обеспечения ИБ.
В качестве нормативной базы рассматриваются национальные стандарты ГОСТ Р
ИСО/МЭК серии 18044, 20000, 22301 и 27001 [6 – 9]. Для определения метрик ИБ применяется
методика оценки результативности СМИБ, представленная в работе [10]. Дополнительно
предлагается использовать ранги «лидеров» отраслей, представленные в работе [11].
3. Анализ существующих подходов к оценке бюджета
Бюджет на обеспечение ИБ, по разным оценкам, составляет до 10 % от бюджета ИТ (в
частности, в отчете [12] приводятся оценки бюджета на обеспечения ИБ в диапазоне от 3,6% до
3,8 % от бюджета ИТ в течение периода измерений 2010 – 2014 гг.). Характерно, что
максимальное значение бюджета ИБ составляет 6,9 % в промышленной отрасли (Industrial
product) по данным за 2014 г. В тоже время, необходимо отметить, что эти оценки не
коррелируют с оценкой динамики роста количества инцидентов: например, среднее количество
детектированных инцидентов ИБ в отрасли энергетики возросло с 1.179 (2013 г.) до 7.391 (2014
г.), т.е. на 526 % [12].
Дополнительно обратим внимание на статистику сертификации СМИБ по стандарту ISO
27001, с учетом расчетов по рангам «лидерам» [11]. Исследование показало, что рост
количества выданных сертификатов на СМИБ составил, для «лидеров» 1-го ранга от 17 до 22 %,
для «лидеров» 2-го ранга – свыше 35% и для «лидеров» 3-го ранга – от 19 до 27 %. Необходимо
принять во внимание, что не все компании в процессе обеспечения ИБ создают именно
«официальную» СМИБ и, также верно, что не все организации проводят для СМИБ внешнюю
независимую оценку (сертификацию) в аккредитованных органах по сертификации. Эти оценки
являются значимыми для решения поставленной задачи – иначе говоря, сколько бизнес готов

4. 4
выделять на обеспечение ИБ. Для уточнения поставленной ранее задачи предлагается в качестве
комбинированной метрики применять оценки инцидентов ИБ для выявления оценок
выделяемого бюджета на ИБ с учетом ряда ключевых требований бизнеса, рассмотренных
далее.
4. Требования бизнеса к обеспечению уровня ИБ
Далее предлагается кратко рассмотреть основные требования бизнеса, способные оказать
значительное влияние на решение поставленной задачи.
1. Требование обеспечения 100 % защиты
При данной постановке организация требует, что для всех активов были внедрены
соответствующие меры (средства) обеспечения ИБ. Это требование, очевидно, представляется
логичным (в терминах «разумного поведения ЛПР» [13]) для организаций, которых можно
отнести к объектам критичной инфраструктуры. В иных случаях вполне достаточно получить
пороговые значения стоимости активов и/или бюджета на реализацию мер (средств)
обеспечения ИБ от ЛПР. В качестве примера можно привести подходы службы ИБ компании
«Эльдорадо» (http://www.cnews.ru/news/line/index.shtml?2015/03/04/593449) и компании МГТС
(http://safe.cnews.ru/reviews/index.shtml?2015/03/13/593760).
2. Требования контроля привлекаемых подрядчиков
Современные стандарты [6 – 9] в явном виде содержат требования к процессам аутсоринга
(иногда говорят «внешнее обеспечение»), которые позволяют организациям более эффективно
выполнять специфические процессы через уполномоченных посредников. Однако не все
процессы и не всегда можно передавать «на сторону», в том числе и по соображениям
экономического порядка. В качестве примера приведем данные исследования EMC
(http://www.cnews.ru/news/line/index.shtml?2014/12/09/590643), посвященного системам защиты
данных. Аутсорсинг процессов, связанных с чувствительными данными, может привести к
значительным издержкам – при выборе двух и более посредников затраты превышали 20% чем
при схеме с одним подрядчиком, а при выборе трех подрядчиков затраты на инфраструктуру
защиты данных превышали в среднем 1 млн. долларов США. Эти же опасения подтверждаются
в отчете [12] – крупные компании часто уделяют минимальное внимание мониторингу
безопасности своих партнеров, поставщиков и цепочек поставок.
3. Применение организационных мер ИБ
ЛПР логично полагают уместным не тратить значительные средства на реализацию
технических систем обеспечения ИБ, когда можно реализовать организационные меры,
например, в рамках реализации СМИБ – именно как системы менеджмента. По данным [3], в
организациях, как правило, реализованы следующие процедуры для обеспечения процесса
управления инцидентами ИБ с соответствующей долей применения (см. Табл. 1):
Таблица 1
№
п.п.
Применяемая процедура Доля, %
1. Корпоративная политика управления инцидентами 63%
2.
Назначение менеджера по инцидентам ИБ и формирование команды
реагирования на инциденты ИБ
54%
3.
Ведение протокола для идентифицированных активов, в отношении которые
было выявлено нарушение ИБ
46%
4. Ведение протокола информирования о нарушениях ИБ деловых партнеров, 45%

5. 5
клиентов и иных заинтересованных сторон
5.
Идентификация заинтересованных сторон, которые могут помочь в процессе
расследования инцидентов ИБ
38%
4. Влияние на активы организации
В отчете [12] предложено наблюдение, что количество и качество обнаружения
инцидентов ИБ является зависимостью от размера компании, соответственно, применение
специальных мер (средств) обеспечения ИБ может влиять, в определенной мере, на количество
детектируемых инцидентов. Согласно представленным оценкам, общее число обнаруженных
инцидентов ИБ по сравнению с 2013 г. превышает 42,8 млн. в год, что составляется порядка 117
тысяч инцидентов каждый день. Отметим, что речь идет только об обнаруженных и
категорированных инцидентах, но есть серьезные опасения, что не все компании, особенно
крупные, готовы публично подтвердить факты нарушения ИБ в своих ИТ-системах.
Принято разделять финансовые и нефинансовые издержки в результате событий
инцидентов ИБ. К финансовым издержкам относят, традиционно, потери доходов, прерывания
доступности бизнес-систем, санкции со стороны регуляторов и снижение доверия со стороны
клиентов. К нефинансовым издержкам относят снижение репутации, утечки данных о
продуктах (услугах), потери ценной исследовательской информации (инновациях), а также
неуместное разглашение чувствительной информации о бизнес-планах, стратегии развития,
процессах производства и пр. Соответственно, вопрос «доказательства» для ЛПР размера
запрашиваемого бюджета ИБ должен быть увязан с уровнем финансовой ответственности за
обеспечение непрерывности бизнес-процессов и принятой финансовой дисциплиной в каждой
организации – расчет уровня возврата инвестиций (IRR), стоимости полного цикла поддержки
мер (средств) обеспечения ИБ (ТСО) и пр.
5. Оценка бюджета для СМИБ
В соответствии с постановкой задачи предлагается формировать оценку бюджета,
выделяемого на СМИБ, на основе формирования перечня защищаемых активов, включенных в
область распространения (“scope”), определения перечня средств (мер) обеспечения ИБ и
оценке их результативности, выполняемых в рамках аудитов всех видов. Преимущество
предложенного метода заключается в получении объективных оценок из нескольких
независимых источников, для которых которые могут быть подтверждены и повторяемость и
воспроизводимость.
В наилучшем варианте представители службы ИБ могут располагать достоверными
оценками на имеющийся и/или планируемый комплекс мер (средств) обеспечения ИБ исходя из
выполненной оценки рисков (как это требуется [7 – 9]), в наихудшей ситуации вниманию ЛПР
представляется оценки прошлого года с прогнозом относительно перспектив
совершенствования технологий ИБ и примерных трендов развития атакующих
(противоборствующих) техник и неясных угроз на перспективу планирования. В отчете [3]
представлены следующие оценки (см. Табл. 2):
Таблица 2
№
п.п.
Оценки бюджета ИБ со стороны ЛПР Динамика,%
1. Бюджет на 2015 будет значительно больше, чем бюджет 2014 13 %
2. Бюджет на 2015 будет немного больше, чем бюджет 2014 38 %
3. Бюджет на 2015 будет таким же, как бюджет 2014 48 %
4. Бюджет на 2015 будет немного меньше, чем бюджет 2014 1 %
5. Бюджет на 2015 будет значительно меньше, чем бюджет 2014 0 %

6. 6
Очевидно, что любой владелец актива обладает всей полнотой информации (в т.ч. и в
части защищенности) и, следовательно, может обосновать как минимальные, так и
максимальные риски, которые напрямую определяют размер потенциального ущерба в случае
негативного сценария реализации инцидента ИБ. Именно по данной причине в предлагаемом
методе получения оценок бюджета СМИБ реализованы все возможные аудиты, т.к. проверка
умысла владельца актива можно лишь посредством равной по уровню компетенции экспертизы.
По данным [14], существуют определенные сложности с оценкой объективности
представленных обоснований «операторами» в отношении как рисков, так и размеров
потенциального ущерба. Дополнительные сложности вносят и регуляторы, проверки которые не
всегда затрагивают «правильность расчетов критичности информации».
На первом этапе оценки определяется «базовый коэффициент», который содержит общую
оценку защищаемых активов и применяемых мер (средств) обеспечения ИБ:
КЭфф.базовая =
∑ 𝑀 ИБ 𝑖
𝑚
𝑖=1
∑ А 𝑗𝑛
𝑗=1
(1)
где
М иб i – стоимость меры (средства) обеспечения ИБ;
Аj – стоимость защищаемых активов
Данная обобщенная оценка дает удобный инструмент для анализа двух крайних
концептуальных оценок:
КЭфф.  0, называем ситуацией «Тришкин кафтан», которая характеризуется низким
уровнем применяемых технических средств защиты, высокой долей ручного труда, и, как
следствие, наблюдается запаздывание реакции, что может привести в результате к потере
контроля активов в случае негативного сценария инцидента ИБ.
КЭфф.  1, называем ситуацией «Золотая безопасность», которая характеризуется
применением, часто весьма избыточного, количества дорогостоящих мер (средств) обеспечения
ИБ, приближающихся по стоимости к защищаемым активам. Однако необходимо принять во
внимание, что при защите ключевых систем информационной инфраструктуры или критически
важных объектов государственной инфраструктуры высокий уровень затрат на обеспечение
безопасности установлен регуляторами и не подлежит произвольному сокращению.
С учетом требований практического применения, выполним декомпозицию формулы (1)
по требованиям стандартов [6 – 9] в разумных и достаточных пределах:
КЭфф.расш. =
И тек.
И баз.
∙ ∑ ∑ 𝑀3
𝑘 = 1 ИБ 𝑖𝑘 ∙ 𝛼 𝑖𝑘
𝑚
𝑖 = 1
∑ А 𝑗𝑛
𝑗=1 ∙ 𝑉 𝑗
(2)
Где:
Итек – кол-во выявленных инцидентов ИБ за текущий период
Ибаз – кол-во инцидентов ИБ за предыдущий период
i (1, m) – перечень мер (средств) обеспечения ИБ
k (1, 3) – виды аудитов (соответственно, первой, второй и третьей стороной)
М иб ik – стоимость меры (средства) обеспечения ИБ;

7. 7
α i – оценка результативности меры (средства) обеспечения ИБ по итогам аудитов
j (1, n) – перечень видов активов
А j – стоимость защищаемого актива;
V j – оценка значимости для бизнеса защищаемого актива.
В общем порядке замечаний отметим, что по требованиям [9] различают различные виды
активов: (сервисы, помещения, критичные данные, ПО и иные нематериальные активы,
персонал, информационные системы).
6. Практический кейс
Рассмотрим практический кейс для демонстрации работы предложенного метода
определения бюджета для реализации проекта СМИБ на основании оценки последствий
инцидентов ИБ.
Предположим, что:
 Стоимость мер (средств) обеспечения ИБ – М (СЗИ), i = (1, 5); стоимость составляет
23.000 у.е.
 Стоимость мер (средств) обеспечения ИБ – М (Аудиты), k = (1, 3); стоимость составляет
11.000 у.е.
 Считается, что α i = 0,9 для всех видов аудитов
 Стоимость мер (средств) обеспечения – М (Организационные меры), i = (1, 5); стоимость
составляет 5.000 у.е.
 Считается, что α i = 0,9 для всех предложенных организационных мер.
 Стоимость мер (средств) обеспечения – М (Тесты на проникновения, исследования
уязвимостей), i = (1, 2); стоимость составляет 7.000 у.е.
 Считается, что α i = 0,9 для всех видов тестов и исследований
 Всего: Стоимость мер (средств) обеспечения ИБ составляет 46.000 у.е.
 Соотношение количества инцидентов ИБ (текущее) и количества инцидентов ИБ (базовое)
является переменной при моделировании.
 Оценка результативности технических систем и средств обеспечения ИБ (кроме аудитов,
организационных мер, тестов на проникновение и исследование уязвимостей) является
переменной при моделировании.
Следующие расчеты выполнены для 4-х значений соотношения И тек/ И баз (от 0,7 до
0,99) и для 5 значений результативности технических систем и средств обеспечения ИБ (от 0,5
до 0,99). Стоимость защищаемых активов принята равной 1.000.000 у.е. Результаты
представлены на рис.1.

8. 8
Рис. 1. Зависимость стоимости средств (мер) обеспечения ИБ от результативности отработки инцидентов
В данном кейсе принята модель построения СМИБ, предусматривающая комплексный
подход, т.е. помимо реализации технических и организационных средств (мер) обеспечения ИБ
предусмотрены дополнительно все возможные виды аудитов, а также тесты на проникновения и
исследования уязвимостей в течение года. Этот поход позволяет при формировании оценки
бюджета динамично пересчитывать новые (уточненные) весовые коэффициенты, прежде всего –
по оценке результативности «отработки» инцидентов ИБ (см. рис. 2).
Рис. 2. Сопоставление стоимости активов и бюджета на обеспечения ИБ
7. Вывод

9. 9
Предложенная численная оценка затрат на обеспечение ИБ основывается на
использовании метрик ИБ (оценки результативности мер и средств обеспечения ИБ), использует
оценки последствий инцидентов ИБ (подтвержденные объективными данными аудитов) и
позволяет формировать общую оценку бюджета для реализации проекта СМИБ с целью
обеспечить заданный высшим руководством уровень обеспечения ИБ.
8. Литература
[1] Лившиц И.И., Танатарова А.Т., Внутренний аудит в интегрированных системах
менеджмента // Стандарты и качество. 2014. № 8 (926). С. 86 – 88.
[2] Лившиц И.И. Применение моделей СМИБ для оценки защищенности интегрированных
систем менеджмента // Труды СПИИРАН. 2013. № 8. С. 147 – 162.
[3] «Dealing with Data Breaches and Data Loss Prevention», An Osterman Research White Paper,
Published March 2015, Osterman Research, Inc.
[4] Рустэм Хайретдинов, Банки в социальных сетях: управление рисками, опубликовано
http://ural.ib-bank.ru/files/files/11%20Khairetdinov.pdf, дата обращения 23.03.2015
[5] Wall Street Journal, 9/18/14 “Chinese Hacked U.S. Military Contractors, Senate Panel Say”,
опубликовано http://www.slideshare.net/SelectedPresentations/08-smorodinsky, дата
обращения 23.03.2015
[6] ГОСТ Р ИСО/МЭК 18044-2007 «Информационная технология. Методы и средства
обеспечения безопасности. Менеджмент инцидентов информационной безопасности»
[7] Информационная технология. Управление услугами. Часть 1. Требования к системе
управления услугами: ГОСТ Р ИСО/МЭК 20000-1-2013. – Введ. 01.01.15.– Москва:
Федеральное агентство по стандартизации и метрологии, 2013. – 28 с.
[8] Societal security – Business continuity management systems – Requirements: ISO 22301:2012,
International Organization for Standardization, 2012-05-15. – 24 pages.
[9] Information technology – Security techniques – Information security management systems –
Requirements: ISO/IEC 27001:2013, International Organization for Standardization, 2013-09-25.
– 23 pages.
[10] Лившиц И.И., Полещук А.В. Практическая оценка результативности СМИБ в соответствии
с требованиями различных систем стандартизации – ИСО 27001 и СТО Газпром // Труды
СПИИРАН. 2015 № 1.
[11] Лившиц И.И., Молдовян А.А., Танатарова А.Т. Исследование зависимости сертификации
по международным стандартам ISO от типов организации для ведущих отраслей
промышленности // Труды СПИИРАН. 2014. Вып. 3(34), С. 160 – 177.
[12] «The Global State of Information Security Survey 2015», опубликовано
http://www.pwc.com/gx/en/consulting-services/information-security-survey/index.jhtml, дата
обращения 24.03.2015
[13] Ногин В.Д. Принятие решений при многих критериях // Государственный Университет –
Высшая школа экономики, Санкт-Петербург, 2007, 103 стр.
[14] Душа И. Приоткрытый рынок ИБ АСУ ТП // Безопасность Деловой Информации, 2015,
Вып. 9. С. 17 – 19.
[15] Лившиц И.И., Лонцих П.А., Полещук А.В. Оценка результативности внедрения системы
менеджмента информационной безопасности в соответствии с требованиями ГОСТ Р ИСО/МЭК
27001-2006 и СТО Газпром серии 4.2.//Материалы Всероссийской конференции
«Информационные технологии, менеджмент качества, информационная безопасность»
(IT&MQ&IS-2015), Кабардино-Балкарский государственный университет им. Х.М. Бербекова,
май 2015г. С. 71-79.