МОДЕЛЬ ИНСТИТУЦИОНАЛЬНОГО УПРАВЛЕНИЯ И МЕТОД ОЦЕНКИ УРОВНЯ КУЛЬТУРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Диссертация

ВАКАНСИИ И СОТРУДНИЧЕСТВО

ПОСЛЕДНИЕ ОТЗЫВЫ

Получил заказанную диссертацию очень быстро, качество на высоте. Рекомендую пользоваться их услугами. Отправлял деньги предоплатой.

Порядочные люди. Приятно работать. Хороший сайт.

Спасибо Сергей! Файлы получил. Отличная работа!!! Все быстро как всегда. Мне нравиться с Вами работать!!! Скоро снова буду обращаться.

Отличный сервис mydisser.com. Тут работают честные люди, быстро отвечают, и в случае ошибки, как это случилось со мной, возвращают деньги. В общем все четко и предельно просто. Если еще буду заказывать работы, то только на mydisser.com.

Каталог / ТЕХНИЧЕСКИЕ НАУКИ / Системы защиты информации

Название:
МОДЕЛЬ ИНСТИТУЦИОНАЛЬНОГО УПРАВЛЕНИЯ И МЕТОД ОЦЕНКИ УРОВНЯ КУЛЬТУРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Альтернативное название:
МОДЕЛЬ інституційного УПРАВЛІННЯ ТА МЕТОД ОЦІНКИ РІВНЯ КУЛЬТУРИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Кол-во страниц:
196

ВУЗ:
Харьковский национальный университет радиоэлектроники

Год защиты:
2013

Краткое описание:
Министерство образования и науки Украины

Харьковский национальный университет радиоэлектроники

Підпис
На правах рукописи

ПИЛИПЕНКО ДМИТРИЙ ЮРЬЕВИЧ

УДК 681.3.06

МОДЕЛЬ ИНСТИТУЦИОНАЛЬНОГО УПРАВЛЕНИЯ И МЕТОД ОЦЕНКИ
УРОВНЯ КУЛЬТУРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

05.13.21 – системы защиты информации

ДИССЕРТАЦИЯ
на соискание ученой степени кандидата технических наук

Научный руководитель
Потий Александр Владимирович
доктор технических наук, профессор

Цей примірник дисертаційної роботи
ідентичний за змістом з іншими, що
подані до спеціалізованої вченої ради
К 64.052.05

Вчений секретар спецради К 64.052.05

Підпис
Гербова печатка

І.В. Лисицька

Харьков – 2013

СОДЕРЖАНИЕ

Перечень условных обозначений .......................................................................... 5
Введение ................................................................................................................... 6
Раздел 1. Анализ современного состояния проблем управления и оценки
организационных аспектов защиты информации .............................................. 14
1.1 Подходы к управлению деятельностью по защите информации .......... 15
1.2 Процессный подход .................................................................................... 18
1.2.1 Анализ международного стандарта ISO/IEC 27001:2005 ................ 18
1.2.2 Модель зрелости процессов защиты информации ISM3 ................. 22
1.2.3 Библиотека инфраструктуры информационных технологий ITIL . 25
1.3 Директивы ОЭСР ........................................................................................ 26
1.4 Стратегический подход к управлению деятельностью по ЗИ ................ 30
1.4.1 Методологические основы стратегического управления
деятельностью по ЗИ ........................................................................................ 30
1.4.2 Сущность стратегического управления деятельностью по ЗИ ....... 32
1.5 Анализ научной литературы, поднимающей проблемы управления и
оценки организационных аспектов ЗИ ........................................................... 33
1.6 Постановка задачи....................................................................................... 37
Выводы по разделу ............................................................................................ 40
Раздел 2. Модель институционального управления деятельностью по защите
информации и онтологическая модель предметной области института и
культуры информационной безопасности .......................................................... 42
2.1 Сущность культуры информационной безопасности ............................. 43
2.2 Онтологические модели предметной области института и культуры
информационной безопасности ....................................................................... 46
2.2.1 Метод контент-анализа как инструмент для выбора компонент
онтологической модели предметной области культуры информационной
безопасности .................................................................................................. 46
2.2.2 Построение онтологической модели предметной области культуры
информационной безопасности ................................................................... 53
2.3 Характеристика основных компонент онтологической модели
предметной области культуры информационной безопасности .................. 57
2.3.1 Нормы и ценности ................................................................................ 57
2.3.2 Установка агента безопасности .......................................................... 59
2.3.3 Дисциплина ........................................................................................... 62
2.3.4 Поддержка со стороны руководства .................................................. 65
2.4 Сущность институционального управления деятельностью по защите
информации ....................................................................................................... 66
2.5 Основные компоненты модели институционального управления
деятельностью по защите информации .......................................................... 67
2.5.1 Мотивационный аспект ....................................................................... 67
2.5.2 Стратегия деятельности по защите информации и модель принятия
решений центром безопасности ...................................................................... 69
2.5.3 Модель принятия решений агентом безопасности ........................... 71
2.5.4 Модель оценки уровня КИБ ................................................................ 74
2.6 Типы управления, доступные центру безопасности ............................... 76
Выводы по разделу ............................................................................................ 78
Раздел 3. Метод оценки уровня культуры информационной безопасности в
рамках институционального подхода к управлению деятельностью по ЗИ... 81
3.1 Общая характеристика метода оценки уровня КИБ ................................ 81
3.2 Методика формирования множества показателей КИБ ......................... 83
3.3 Методика построения дерева комплексной оценки ................................ 91
3.4 Шаблон показателя нижнего уровня и шкала оценки уровня КИБ ....... 98
3.5 Методика генерации матриц свертки ..................................................... 103
3.6 Билинейная интерполяция как способ повышения точности
комплексной оценки уровня КИБ ................................................................. 109
Выводы по разделу .......................................................................................... 110
Раздел 4. Анализ усовершенствованного способа получения комплексной
оценки уровня КИБ в рамках численного эксперимента ................................ 113
4.1 Условия проведения численного эксперимента .................................... 113
4.2 Расчетная часть численного эксперимента ............................................ 118
4.2.1 Вычисление уровня КИБ классическим способом на основе матриц
свертки .......................................................................................................... 118
4.2.2 Вычисление уровня КИБ усовершенствованным способом на
основе матриц свертки................................................................................ 123
4.2.3 Анализ полученных результатов ...................................................... 127
4.3 Практическая реализация системы поддержки принятия решений при
оценивании уровня КИБ ................................................................................. 130
4.3.1 Классификация интеллектуальных информационных систем ...... 131
4.3.2 Структура СППР «КИБ» ................................................................... 132
Выводы по разделу .......................................................................................... 137
Выводы ................................................................................................................. 139
Список использованных источников ................................................................ 143
Приложение А. Акты внедрения ....................................................................... 157
Приложение Б. Итоговая таблица контент-анализа ........................................ 161
Приложение В. Анкета КИБ .............................................................................. 163
Приложение Г. Таблицы ПНУ ........................................................................... 169
Приложение Д. Набор матриц свертки для классического способа .............. 177
Приложение Е. Набор матриц свертки для усовершенствованного способа 179
Приложение Ж. Расчет уровня КИБ классическим способом ....................... 182
Приложение З. Расчет уровня КИБ усовершенствованным способом ......... 184

ПЕРЕЧЕНЬ УСЛОВНЫХ ОБОЗНАЧЕНИЙ

ЗИ – защита информации;
ИИБ – институт информационной безопасности;
КИБ – культура информационной безопасности;
КСЗИ – комплексная система защиты информации;
ОБИ – обеспечение безопасности информации;
ОЭСР – организация экономического сотрудничества и развития;
ПБ – политика безопасности;
СМЗИ – система менеджмента защиты информации;
СППР – система поддержки принятия решений;
PDCA – Plan Do Check Act (модель Шухарта-Деминга).

ВВЕДЕНИЕ
Актуальность темы. Сегодня с уверенностью можно утверждать, что
понимание проблем управления деятельностью по защите информации (ЗИ)
претерпевает качественные изменения. Анализ научной литературы
показывает [1-6], что ученые-исследователи и специалисты-практики в
области ЗИ утверждают, что организационные аспекты ЗИ должны
подвергаться управлению, учету и контролю наравне с техническими
аспектами ЗИ. Недавние аналитические отчеты (52) свидетельствуют о том,
организации различного типа (коммерческие, государственные,
академические и др.) страдают от инцидентов безопасности, причиной
которых является деятельность их собственных сотрудников [6-11].
Инциденты безопасности, причиной возникновения которых является
человеческий фактор, не всегда связаны с нехваткой или неадекватностью
требований и правил безопасности. Причина, как правило, заключается в их
несоблюдении посредством умышленных или неумышленных действий и
поведения сотрудников. Недостаточное понимание или игнорирование целей
и задач безопасности в рамках деятельности по ЗИ приводит к тому, что
политика безопасности (ПБ) воспринимается как ограничение и неудобство,
затрудняющее выполнение профессиональных обязанностей сотрудника. Это
в свою очередь приводит к формированию низкого уровня культуры
информационной безопасности (КИБ).
Одним из перспективных направлений в области управления
организационными аспектами деятельности по ЗИ является формирование,
поддержание и оценка уровня КИБ. Значительный вклад в развитие данного
направления внесли работы ученых С. Ковальски [1,3,15] Б. фон Солмса [14],
Ф. ван Никерка [12, 13], Дж. А. Кхаула [3, 16], Ш. Мэйнарда [4,5,6,17,18] и
других [19-29].
7

Наличие указанных выше проблем свидетельствует о том, что
существующие на сегодняшний день модели и подходы к управлению
деятельностью по ЗИ не способные эффективно решить задачу управления
организационными аспектами деятельности по ЗИ. Отметим, главным
образом выделяется проблема формирования высокого уровня КИБ. Решение
данной проблемы мы видим в использовании новых моделей и подходов, в
рамках которых управление деятельностью по ЗИ осуществляется более
эффективно, чем в классических моделях и подходах. В контексте решения
проблем данного типа наиболее перспективным подходом представляется
институциональное управление.
Институциональное управление является новым подходом в области
ЗИ и исследуется в рамках системодеятельностной методологии, сущность
которой заключается в том, что ЗИ в первую очередь интерпретируется как
деятельность. Сущность институционального управления заключается в
управлении нормами и ограничениями, которые накладываются на
деятельность членов организации. Ключевыми механизмами
институционального управления являются механизмы принуждения (ПБ) и
механизмы побуждения (КИБ). В контексте институционального управления
субъект управления деятельностью по ЗИ стремится сформировать институт
информационной безопасности (ИИБ) как двухкомпонентную структуру,
основу которой составляют ПБ и КИБ.
Анализ научной литературы не позволил выявить наличие
формализованной модели институционального управления в области ЗИ, что
можно объяснить недостаточной исследованностью данного подхода в
контексте управления деятельностью по ЗИ. Анализ научной литературы,
посвященной исследованию проблем формирования КИБ, показал, что
использование различных моделей, подходов и концепций в ходе
исследования КИБ породило слишком широкую и разрозненную предметную
область. Это свидетельствует о необходимости уточнения предметной
области КИБ и ИИБ путем онтологического моделирования, а также
8

подробном исследовании КИБ в рамках институционального управления.
Проблема формирования высокого уровня КИБ прежде всего связана с
проблемой оценки текущего уровня КИБ. Существующие на данный момент
методы оценки уровня КИБ обладают рядом недостатков: исключительно
качественная оценка аспектов КИБ, отсутствие комплексной оценки уровня
КИБ, неоднозначность толкования полученных результатов.
Таким образом, актуальной задачей исследования является
разработка онтологических моделей предметной области ИИБ и КИБ,
разработка модели институционального управления деятельностью по ЗИ и
метода оценки уровня КИБ, что позволит уменьшить вероятность
возникновения рисков безопасности, которые связаны с деятельностью
субъектов ЗИ.
Связь работы с научными программами, планами и темами.
Диссертационная работа выполнена в рамках:
1. госбюджетной НИР №262-1 от 01.01.2011 г. «Развитие,
стандартизация, унификация, усовершенствование и внедрение
инфраструктуры открытых ключей, включая национальную систему
электронной цифровой подписи (ЭЦП)» по приказу МОНУ от 30.11.2010 г.
(ДР №0111U002628);
2. госдоговорной НИР №11-06 от 01.03.2011 г. «Разработка методов,
комплексов и средств ИОК для национальных и международных
информационно-телекоммуникационных систем и информационных
технологий» (ДР № 0111U002634).
Цели и задачи исследования. Цель диссертационного исследования
заключается в разработке онтологических моделей предметной области
института и культуры информационной безопасности, модели
институционального управления деятельностью по защите информации и
метода оценки уровня культуры информационной безопасности, что
позволит уменьшить вероятность возникновения рисков безопасности,
которые связаны с деятельностью субъектов защиты информации, за счет
9

повышения эффективности управляющих воздействий управляющего
субъекта деятельности по защите информации.
Для достижения поставленной цели решаются следующие задачи:
1. Анализ современного состояния проблем управления и оценки
организационных аспектов деятельности по защите информации.
2. Онтологический анализ и моделирование предметной области
института и культуры информационной безопасности.
3. Разработка модели институционального управления деятельностью
по защите информации.
4. Разработка метода оценивания уровня культуры информационной
безопасности, который содержит способ формирования множества
показателей культуры информационной безопасности и механизм
комплексного оценивания уровня культуры информационной безопасности.
5. Разработка инструментальных средств оценивания уровня культуры
информационной безопасности.
Объект исследования – институциональное управление как явление.
Предмет исследования – модель институционального управления и
метод оценки уровня культуры информационной безопасности.
Методы исследования. В ходе диссертационных исследований
использовались следующие научные методы:
– онтологическое моделирование – для построения онтологических
моделей предметной области института и культуры информационной
безопасности в нотации UML;
– методы теории множеств и элементы теории управления
организационными системами – для построения модели институционального
управления деятельностью по защите информации;
– математический аппарат лингвистических переменных – для
формализации качественных характеристик объекта оценивания;
– методы теории графов – для построения дерева комплексной оценки.
10

Достоверность сформулированных в диссертационной работе научных
результатов обеспечивается и подтверждается корректным использованием
ключевых положений используемых методов, однозначной интерпретацией
полученных результатов и широкой апробацией основных результатов
диссертационного исследования.
Научная новизна полученных результатов:
1. Впервые разработаны онтологические модели предметной области
института и культуры информационной безопасности, которые
основываются на результатах контент-анализа, что дает возможность
сформировать терминологическое ядро предметной области и установить
взаимосвязи между компонентами культуры информационной безопасности
и субъектами деятельности по защите информации.
2. Получила дальнейшее развитие обобщенная модель деятельности по
защите информации, которая в отличие от существующих раскрывает
особенности формирования управляющих воздействий центра безопасности
с учетом гипотезы рационального поведения агента безопасности, что за счет
моделирования институционального управления деятельностью по защите
информации дает возможность формализовать процесс принятия решений
центром и агентом безопасности.
3. Впервые предложен метод оценивания уровня культуры
информационной безопасности, который основывается на использовании
матриц свертки, что позволяет получить комплексную оценку уровня
культуры информационной безопасности за счет усовершенствований
механизма оценивания на основе матриц свертки и использования способа
формирования множества показателей культуры информационной
безопасности.
Практическая значимость полученных результатов:
1. Разработанная модель институционального управления
деятельностью по ЗИ и метод оценки уровня КИБ позволяют уменьшить
вероятность возникновения рисков безопасности, связанных с деятельностью
11

персонала организации, за счет повышения качества управляющих
воздействий руководства.
2. За счет усовершенствования механизма комплексного оценивания на
основе матриц свертки повышается прозрачность процесса оценивания и
уменьшается субъективное влияние эксперта, в отличие от классического
способа.
3. Разработанные инструментальные средства в виде системы
поддержки принятия решений (СППР) позволяют ускорить принятие
решений ЛПР, уменьшить вероятность ошибки за счет частичной
автоматизации процедуры генерации матриц свертки, процедуры свертки
непосредственно и эффективной визуализации итоговых результатов.
Результаты работы используются на предприятиях ЗАО «VEMARA»
(акт от 25.09.2012 г., Вильнюс, Литва), ЗАО «ИИТ» (акт от 11.10.2012 г.,
Харьков, Украина), а также в учебном процессе Харьковского национального
университета радиоэлектроники в ходе проведения лекционных занятий (акт
от 11.10.2012 г., Харьков, Украина).
Личный вклад соискателя. Все основные результаты были получены
соискателем самостоятельно. В работах, выполненных в соавторстве,
соискателю принадлежит: [30] – сформулированы основные критерии
анализа систем показателей безопасности (таксономий); [31] – проведен
анализ таксономий показателей безопасности информации Vaughn-Henning-Siraj [32] и CISWG [33]; [34] – предложен показатель гибкости ЗИ, который
характеризует КСЗИ с точки зрения возможности ее усовершенствования,
расширения и придания новых качеств; [35] – разработана онтологическая
модель предметной области культуры информационной безопасности и
проведен анализ взаимосвязей между ее компонентами; [36] – проведено
уточнение первого контура управления системы управления защитой
информации в рамках процессного подхода; [37] – предложено использовать
систему сбалансированных показателей BSC как механизм оценивания
эффективности стратегического набора организации, который включает в себя
12

финансовый аспект, процессы ЗИ, технологический аспект ЗИ, безопасность
бизнеса и деятельность персонала (КИБ).
Апробация результатов диссертации. Основные результаты
диссертационной работы представлены и обговорены на 14 научных и
научно-технических конференциях, в частности:
– V-й Международной научно-практической конференции «Сучасні
проблеми і досягнення в галузі радіотехніки, телекомунікацій та
інформаційних технологій» (г. Запорожье, 22-24 сентября 2010 г.) [38];
– VI-й научной конференции Харьковского университета Воздушных
Сил им. И. Кожедуба «Новітні технології – для захисту повітряного
простору» (г. Харьков, 15-16 апреля 2010 г.) [39];
– Научно-технической конференции с международным участием
«Компьютерное моделирование в наукоемких технологиях (КМНТ-2010)»
(г. Харьков, 18-21 мая 2010 г.) [40];
– XI-й Международной научно-практической конференции
«Информационная безопасность» (г. Таганрог, РФ, 22-25 июня 2010 г.) [41];
– XIII-й Международной научно-практической конференции
«Безопасность информации в информационно-телекоммуникационных
системах» (г. Киев, 18-21 мая 2010 г.) [42];
– XIV-й Международном молодежном форуме «Радиоэлектроника и
молодежь в XXI веке» (г. Харьков, 18-20 марта 2010 г.) [43];
– VII-й научной конференции Харьковского университета Воздушных
Сил им. И. Кожедуба «Новітні технології – для захисту повітряного
простору» (г. Харьков, 13-14 апреля 2011 г.) [44];
– Международной научно-практической конференции «Перспективи
розвитку інформаційних та транспортно-митних технологій у митній справі,
зовнішньоекономічній діяльності та управлінні організаціями»
(г. Днепропетровск, 2 декабря 2011 г.) [45];
– IV-й Всеукраинской научно-практической конференции молодых
ученых и студентов «Інформаційні процеси і технології «Інформатика –
13

2011» (г. Севастополь, 25-29 апреля 2011 г.) [46];
– XV-й Международной научно-практической конференции
«Безопасность информации в информационно-телекоммуникационных
системах» (г. Киев, 22-25 мая 2012 г.) [47];
– IX-й Всеукраинской научно-практической конференции студентов,
аспирантов и молодых ученых «Теоретичні і прикладні проблеми фізики,
математики та інформатики» (г. Киев, 22 апреля 2011 г.) [48];
– VIII-й научной конференции Харьковского университета Воздушных
Сил им. И. Кожедуба «Новітні технології – для захисту повітряного
простору» (г. Харьков, 18-19 апреля 2012 г.) [49];
– II-й международной научно-практической конференции молодых
ученых «Інфокомунікації – сучасність та майбутнє» (г. Одесса, 11-12 октября
2012 г. ) [50];
– II-й научно-технической конференции «Безпека інформаційних
технологій (ITSEC-2012)» (г. Киев, 24-25 апреля 2012 г.) [51];
Публикации. Результаты научных исследований отражены в 20
печатных работах. К ним относятся 6 статей, опубликованных в профильных
изданиях Украины, а также 14 материалов научных конференций.

Список литературы:
ВЫВОДЫ

Анализ текущего состояния проблем управления и оценки
организационных аспектов защиты информации позволяет утверждать о том,
что вопросы управления, оценки, учета и контроля организационных
аспектов ЗИ стоят довольно остро. Проблема учета человеческого фактора,
формирования КИБ, согласования организационных и технических аспектов
ЗИ в рамках деятельности по ЗИ на сегодняшний день не является до конца
решенной. В то же время наблюдается большой интерес ученых из
различных стран к данной проблемной области, что позволяет судить об
актуальности данного направления исследований [1-16, 19-29]. Особенно
остро стоит проблемы поиска новых подходов и разработка новых моделей
управления деятельностью по ЗИ. Было установлено, что перспективным
подходом к решению проблем управления и оценки организационных
аспектов ЗИ является институциональное управление, которое исследуется в
рамках системодеятельностной методологии.
Институциональное управление опирается на явные и неявные формы
норм и ограничений. К явной форме норм и ограничений относится политика
безопасности как инструмент (механизм) принуждения, а к неявной форме
норм и ограничений относится культура информационной безопасности как
инструмент (механизм) побуждения. Данные механизмы являются
взаимодополняющими и при совместном использовании позволяют
сформировать институт информационной безопасности как разновидность
социального института. Главной функцией института информационной
безопасности является регламентация деятельности сотрудников
организации, а также согласование повседневных задач сотрудников
организации с целями и задачами безопасности, которые устанавливает
руководство.
Основные научно-практические результаты диссертационной работы
заключаются в следующем.
140

1. Разработаны онтологические модели института и культуры
информационной безопасности, что позволило уточнить разрозненную
предметную область за счет формирования терминологического ядра
предметной области, обоснования выбора компонент онтологической модели
КИБ посредством проведения контент-анализа научной литературы по
данному направлению, описания связей между субъектами деятельности по
ЗИ (носителями КИБ) и основными компонентами КИБ. Было установлено,
что наибольший вклад в формирование КИБ оказывают следующие
компоненты: установка сотрудника, дисциплина, нормы и ценности,
поддержка руководства.
2. Разработанная онтологическая модель ИИБ создала предусловия для
разработки модели институционального управления деятельностью по ЗИ.
Получила дальнейшее развитие обобщенная модель деятельности по ЗИ за
счет разработки на ее основе модели институционального управления
деятельностью по ЗИ. Разработанная модель, в отличие от известных,
учитывает мотивационный аспект деятельности по ЗИ, содержит модель
принятия решений центра безопасности (руководство) и агента безопасности
(сотрудник), модель оценки уровня КИБ. Установлено, что агент
безопасности в рамках процесса принятия решений использует правило
рационального выбора для формирования множества наиболее
предпочтительных альтернатив. Это позволило сформулировать гипотезу
рациональности агента безопасности, которая заключается в том, что агент
безопасности как рациональный субъект стремится максимизировать свою
целевую функцию и принимать решения в условиях максимальной
информированности. Сделан вывод, что центр безопасности должен
учитывать данную гипотезу при выработке и реализации управляющих
воздействий. Оценивать эффективность управляющих воздействий центра
безопасности предлагается на основе метода оценки уровня КИБ.
3. Разработан метод оценки уровня КИБ, который включает в себя:
способ формирования множества показателей КИБ, разработку шаблона
141

показателя нижнего уровня, методику построения дерева комплексной
оценки уровня КИБ, описание множества показателей нижнего уровня в
соответствии со структурой полученного дерева на основе предложенного
шаблона показателя нижнего уровня, разработку шкалы оценки уровня КИБ,
методику генерации матриц свертки, описание процедуры свертки. Было
установлено, что цельной системы (набора) показателей для оценки уровня
КИБ не существует ни в одной из известных на данный момент таксономий
показателей безопасности, что обусловило необходимость разработки
методики формирования множества показателей оценки КИБ.
В рамках методики построения дерева комплексной оценки была
проведена формализация примитивов дерева комплексной оценки,
сформулированы ограничения, накладываемые на структуру дерева в связи с
использованием механизма комплексной оценки на основе матриц свертки.
Построенное дерево комплексной оценки позволило упорядочить множество
показателей оценки уровня КИБ и выделить подмножество показателей
нижнего уровня, которые были описаны согласно предложенному шаблону.
В рамках методики генерации матриц свертки был предложен ряд
усовершенствований, а именно: использование весовых коэффициентов,
минимальных пороговых значений и билинейной интерполяции. Это
позволило сделать процедуру генерации матриц свертки более прозрачной и
воспроизводимой, учесть ситуацию, когда низкое значение одного
показателя из сворачиваемой пары нивелирует высокое значение другого
показателя, повысить точность итоговой комплексной оценки, исключить
необходимость округления значений показателей нижнего уровня и
промежуточных оценок, отслеживать динамику изменений уровня КИБ.
4. Был проведен численный эксперимент с целью проверки Гипотезы
4.1 и Гипотезы 4.2. Суть первой гипотезы заключается в том, что
усовершенствованный способ получения комплексной оценки на основе
матриц свертки позволяет получить более точную оценку и менее подвержен
влиянию субъективных предпочтений эксперта, в отличие от классического
142

способа. Суть второй гипотезы заключается в том, что усовершенствованный
способ позволяет лучше отслеживать динамику изменений уровня КИБ в
сравнении с классическим способом. Результаты численного эксперимента
подтвердили сформулированные гипотезы.
5. Была разработана информационная технология системы поддержки
принятия решений в контексте культуры информационной безопасности,
которая позволяет увеличить скорость принятия решений ЛПР, снизить
вероятность ошибки за счет частичной автоматизации процедуры генерации
матриц свертки и эффективной визуализации конечных результатов. На
основе предложенной информационной технологии была разработана СППР
«КИБ» с использованием архитектуры MVC и технологии Microsoft .NET
Framework.
Диссертационная работа выполнена в рамках госбюджетной НИР
№262-1 от 01.01.2011 г. «Развитие, стандартизация, унификация,
усовершенствование и внедрение инфраструктуры открытых ключей,
включая национальную систему электронной цифровой подписи (ЭЦП)» по
приказу МОНУ от 30.11.2010 г. (ДР №0111U002628); госдоговорной НИР
№11-06 от 01.03.2011 г. «Разработка методов, комплексов и средств ИОК для
национальных и международных информационно-телекоммуникационных
систем и информационных технологий» (ДР № 0111U002634).
Перспективой дальнейших исследований в рамках управления и оценки
организационных аспектов деятельности по ЗИ является расширение
множества показателей оценки уровня КИБ и углубление методики расчета
численных значений показателей нижнего уровня. Также необходима
разработка механизма согласования организационных и технических
аспектов деятельности по ЗИ, в основу которой может быть положен подход
на основе системы сбалансированных показателей (BSC).

ПЕРЕЧЕНЬ ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. Tarimo C.N. A Social-Technical View of ICT Security Issues, Trends,
and Challenges: Towards A Culture of ICT Security – The Case of Tanzania /
C.N. Tarimo, J.K. Bakari, C.L. Yngström, S. Kowalski // Proceedings of
Information Security South Africa (ISSA), – Johannesburg, 2006. – P. 1 – 12.
2. Helokunnas T., Iivonen I. Information Security Culture in Small and
Medium Size Enterprises / T. Helokunnas, I. Iivonen // Seminar Presentation,
Institute of Business Information Management, Tampere University of
Technology. – Finland, 2003. – 2 p.
3. Chaula, J.A. A Framework for Evaluation of Information Systems
Security / J.A. Chaula, L. Yngström, S. Kowalski // Proceedings of the ISSA 2005.
New Knowledge Today Conference – Sandton, 2005. – P. 1 – 11.
4. Chia P. Understanding Organizational Security Culture in Information
Systems: The Challenges of Theory and Practice / P. Chia, S. Maynard,
A.B. Ruighaver // Hunter, M. G. and Dhanda, K. K.: Information Institute – USA,
2003. – P. 335 – 365.
5. Ruighaver A.B., Maynard S. Organizational Security Culture: More Than
Just an End-User Phenomenon / A.B. Ruighaver, S. Maynard // Proceedings of the
21st IFIP TC-11 International Information Security Conference – Sweden, 2006. –
P. 425 – 430.
6. Lim J.S. Embedding Information Security Culture Emerging Concerns
and Challenges / J.S. Lim, A. Ahmad, S. Chang, S. Maynard // PACIS 2010
Proceedings – Taiwan, 2010 – P. 463 – 474.
7. Kolkowska E. Security subcultures in an organization - exploring value
conflicts / E. Kolkwska // 19th European Conference on Information Systems. –
Helsinki, 2010. – 12 p.
8. Alfawaz S. Information Security Culture: A Behaviour Compliance
Conceptual Framework / S. Alfawaz // Australasian Information Security
Conference (AISC) – Brisbane, 2010. – P. 47 – 55.
144

9. Alfawaz S. Information security management: a case study of an
information security culture / S. Alfawaz // PhD thesis – Queensland University of
Technology, 2011. – 301 p.
10. Kajava J. Senior Executives Commitment to Information Security - from
Motivation to Responsibility / J. Kajava, J. Anttila, R. Varonen, R. Savola,
J. Röning // Computational Intelligence and Security, International Conference –
Guangzhou, 2006. – Vol. 4456. – P 833 – 838.
11. Chan M. Perceptions of Information Security in the Workplace: Linking
Information Security Climate to Compliant Behavior / M. Chan, I. Woon,
A. Kankanhalli // Journal of Information Privacy & Security. – 2005. – Vol. 1,
Issue 3. – P. 18 – 41.
12. Niekerk J.F. Fostering Information Security Culture through Integrating
Theory and Technology / J.F. Niekerk // Ph. D. thesis – Nelson Mandela
Metropolitan University. – 2010. – 302 p.
13. Niekerk J.F., Solms R. Information Security Culture: A Management
Perspective / J.F. Niekerk, R. Solms // Computers & Security, 2010 – Vol. 29. –
P. 476 – 486.
14. Solms R., Solms B. From Policies to Culture / R. Solms, B. Solms //
Computers & Security. – 2004 – Vol. 23. – P. 275 – 279.
15. Mwakalinga J. Methodology for considering environments and culture in
developing information security systems / J. Mwakalinga, L. Yngström,
S. Kowalski // Proceedings of the Information Security South Africa
(ISSA) – Johannesburg, 2009. – P. 419 – 437.
16. Job A.C. A Socio-technical Analysis of Information Systems Security
Assurance: A Case Study for Effective Assurance / A.C. Job // Department of
Computer and Systems Sciences – Stockholm University: KTH DSV,
2006 – 312 p.
17. Maynard S., Ruighaver A.B. Development and Evaluation of
Information System Security Policies / S. Maynard, A.B. Ruighaver // Information
145

Systems: The Challenges of Theory and Practice – Hunter M.G. and Dhanda K.K.:
Information Institute. – USA, 2003. – P. 366 – 393.
18. Maynard S., Ruighaver A.B. What Makes a Good Information Security
Policy: A Preliminary Framework for Evaluating Security Policy Quality /
S. Maynard, A.B. Ruighaver // 5th Annual Security Conference – Nevada,
2006. – P. 1 – 15.
19. Schlienger T., Teufel S. Information Security Culture - From Analysis to
Change / T. Schlienger, S. Teufel // Proceedings of ISSA – Johannesburg,
2003. – 13 p.
20. Kuusisto T., Ilvonen I. Information Security Culture in Small and
Medium Size Enterprises / T. Kuusisto, I. Ilvonen // Proceedings of Business
Research Forum – Tampere, 2004. – P. 431 – 439.
21. Lim J.S. Exploring the Relationship between Organizational Culture and
Information Security Culture / J.S. Lim, S. Chang, S. Maynard, A. Ahmad // 7th
Australian Information Security Management Conference – Australia: Edith
Cowan University, 2009. – P. 88 – 97.
22. Alnatheer M., Nelson K.J. A Proposed Framework for Understanding
Information Security Culture and Practices in the Saudi Context / M. Alnatheer,
K.J. Nelson // 7th Australian Information Security Management Conference
Australia: Edith Cowan University, 2009. – P. 6 – 17.
23. Williams P.A. What Does Security Culture Look Like For Small
Organizations? / P.A. Williams // 7th Australian Information Security Management
Conference Australia: Edith Cowan University, 2009. – P. 48 – 54.
24. Parsons K. Human Factors and Information Security: Individual, Culture
and Security Environment / K. Parsons // Defence Science and Technology
Organisation (DSTO) – Vol. 2010 – P. 1 – 45.
25. Ruighaver A.B. Organizational Security Culture: Extending the End-User Perspective / A.B. Ruighaver // Computers & Security, 2007 –
Vol. 26. – P. 56 – 62.
146

26. Rastogi R., Solms R. Information Security Service Culture - Information
Security for End-users / R. Rastogi, R. Solms // Journal of Universal Computer
Science, 2012 – Vol. 18. – P. 1628 – 1664.
27. Da Veiga. A., Martins N., Eloff, J. H. P. Information security culture –
validation of an assessment instrument / A. Da Veiga, N. Martins, J.H.P. Eloff //
Southern African Business Review, 2007 – № 11(1) – P. 147 – 166.
28. Alnatheer M., Chan T., Nelson K. Understanding And Measuring
Information Security Culture / M. Alnatheer, T. Chan, K. Nelson // PACIS
Proceedings, 2012 – P. 144.
29. Kraemer S., Carayon P. Computer and Information Security Culture:
Findings from two studies / S. Kraemer, P. Carayon // Proceedings of the Human
Factors and Ergonomics Society 49th annual meeting, Orlando, Sept. 26-30,
HFES, Santa Monica, 2005 – P. 1483 – 1487.
30. Потий А.В. Классификация показателей безопасности информации /
А.В. Потий, Д.Ю. Пилипенко // Інформаційна та економічна безпека. – 2010.
– Випуск 3(84). – С. 53.
31. Потій О. В. Аналіз систем показників безпеки інформації /
О.В. Потій, Д.Ю. Пилипенко // Прикладная радиоэлектроника. Тематический
выпуск, посвященный проблемам обеспечения информационной безопасности.
– Харьков, ХНУРЭ, 2010. – Том 9. – №3. – С. 435–443.
32. Vaughn R., Henning R., Siraj A. Information Assurance Measures and
Metrics – State of Practice and Proposed Taxonomy / R. Vaughn, R. Henning,
A. Siraj // 30th Hawaii International Conference on System Sciences, Big Island,
Hawaii, 2002 – P. 33.
33. Corporate Information Security Working Group (CISWG). Report of the
Best Practices and Metrics Teams, Subcommittee on Technology, Information
Policy, Intergovernmental Relations and the Census. Government Reform
Committee, United States House of Representatives, – 2004 (Revised January 10,
2005). – 43 p.
147

34. Потій О.В. Властивості діяльності із забезпечення захисту
інформації як системної категорії / О.В. Потій, Д.Ю. Пилипенко // Прикладная
радиоэлектроника. Тематический выпуск, посвященный проблемам
обеспечения информационной безопасности. – Харьков, ХНУРЭ, 2012. –
Том 11. – №2. – С. 299 – 303.
35. Potiy A.V. The prerequisites of information security culture development
and an approach to complex evaluation of its level / A.V. Potiy, D.Y. Pilipenko,
I.N. Rebriy // Радіоелектронні і комп’ютерні системи. – № 5(57). – Харків
“ХАІ”. – 2012 р. – C. 72 – 77.
36. Потій О.В. Структура та модель системи захисту інформації в
рамках процесного підходу / О.В. Потій, А.В. Лєншин, Д.Ю. Пилипенко //
Правове, нормативне та метрологічне забезпечення системи захисту
інформації в Україні. – 2010. – Вип. 1(20). – C. 22 – 29.
37. Потий А.В. Концепция стратегического управления
информационной безопасностью / А.В. Потий, Д.Ю. Пилипенко //
Радіоелектронні та комп’ютерні системи. – Харків «ХАІ», 2010, № 6 (47). –
С. 53 – 58.
38. Потий А.В. Стратегическое управление информационной
безопасностью на предприятии на основе системы сбалансированных
показателей / А.В. Потий, Д.Ю. Пилипенко // Сучасні проблеми і досягнення в
галузі радіотехніки, телекомунікацій та інформаційних технологій:
V Міжнародна науково-практична конференція, Запоріжжя, 22-24 вересня
2010 р. – Тези доповідей. – З. : ЗНТУ, 2010 – С. 123 – 124.
39. Потий А.В. Система сбалансированных показателей как метод
управления информационной безопасностью / А.В. Потий, Д.Ю. Пилипенко
// Новітні технології – для захисту повітряного простору: VI Наукова
конференція ХУ ПС. Харків, 15-16 квітня 2010 р. – Тези доповідей. – Х.:
ХУПС, 2010. – С. 129.
40. Потий А.В. Проблемные вопросы разработки показателей
безопасности информации / А.В. Потий, Д.Ю. Пилипенко // Компьютерное
148

моделирование в наукоемких технологиях (КМНТ-2010). Научно-техническая конференция с международным участием. Харьков, 18-21 мая
2010 г. – Труды конференции. – Х.: ХНУ, 2010 – С.202 – 205.
41. Потий А.В. Классификация метрических показателей безопасности
информации / А.В. Потий, Д.Ю. Пилипенко // Материалы XI Международной
научно-практической конференции «Информационная безопасность». Ч. 3. –
Таганрог: ТТИ ЮФУ, 2010. – С. 227 – 231.
42. Потий А.В. Разработка метрических показателей безопасности на
основе системы сбалансированных показателей / А.В. Потий,
Д.Ю. Пилипенко // Безопасность информации в информационно-телекоммуникационных системах. ХIII Международная научно-практическая
конференция. Киев, 18-21 мая 2010 г. – Тезисы докладов. – К.: ГСССЗЩ, 2010
– С. 58.
43. Потий А.В. Системы метрических показателей безопасности
информации / А.В. Потий, Д.Ю. Пилипенко // 14-й Международный
молодежный форум «Радиоэлектроника и молодежь в XXI веке». Сб.
материалов форума. Ч.2. – Харьков: ХНУРЭ, 2010. – С. 53.
44. Потий А.В. Преимущества использования ССП в управлении
информационной безопасностью интернет-магазина / А.В. Потий, Д.Ю.
Пилипенко // Новітні технології – для захисту повітряного простору. VIІ
Наукова конференція ХУПС. Харків, 13-14 квітня 2011 р. – Тези доповідей. –
Х.: ХУПС, 2011. – С. 153.
45. Потий А.В. Предпосылки формирования культуры
информационной безопасности / А.В. Потий, Д.Ю. Пилипенко //
Перспективи розвитку інформаційних та транспортно-митних технологій у
митній справі, зовнішньоекономічній діяльності та управлінні організаціями:
матеріали міжнародної науково-практичної конференції. 2 грудня 2011,
м. Дніпропетровськ. – Дніпропетровськ: Академія митної служби України,
2011. – С. 225 – 227.
149

46. Пилипенко Д.Ю. Разработка типового набора показателей
безопасности информации на основе похода BSC / Д.Ю. Пилипенко //
Інформаційні процеси і технології «Інформатика – 2011»: матеріали IV
Всеукраїн. наук.-практ. конф. молодих вчених та студентів, Севастополь, 25-29 квіт. 2011 р. / М-во освіти, молоді та спорту України, Севастоп. нац. тех.
ун-т; наук. ред. С.В. Доценко – Севастополь : СевНТУ, 2011. – С. 192.
47. Потий А.В. Институциональное управление информационной
безопасностью / А.В. Потий, Д.Ю. Пилипенко // Безопасность информации в
информационно-телекоммуникационных системах. ХV Международная
научно-практическая конференция. Киев, 22-25 мая 2012 г. – Тезисы докладов.
– К.: ГСССЗЩ, 2012 – С. 94 – 95.
48. Пилипенко Д.Ю. Формування набору показників безпеки
інформації на основі підходу BSC та каталогу показників безпеки CISWG /
Д.Ю. Пилипенко // Теоретичні і прикладні проблеми фізики, математики та
інформатики. ІХ Всеукраїнська науково-практична конференція студентів,
аспірантів та молодих вчених. Київ, 22 квітня 2011 р. – Збірка тез доповідей
учасників. Частина 2. – К.: 2011. – С. 45 – 46.
49. Потий А.В. Особенности институциональной модели управления
информационной безопасностью / А.В. Потий, Д.Ю. Пилипенко // Новітні
технології – для захисту повітряного простору. VIІI Наукова конференція
ХУ ПС. Харків, 18-19 квітня 2012 р. – Тези доповідей. – Х.: ХУПС, 2012. –
С. 155 – 156.
50. Потий А.В., Пилипенко Д.Ю. Культура информационной
безопасности как системная категория / А.В. Потий, Д.Ю. Пилипенко //
Інфокомунікації – сучасність та майбутнє: матеріали другої міжнар. наук.-пр.
конф. молодих вчених м. Одеса 11-12 жовт. 2012 р. – Ч.1. – Одеса, ОНАЗ,
2012. – C. 6 – 8.
51. Потий А.В. Институциональная модель управления
информационной безопасностью / А.В. Потий, Д.Ю. Пилипенко // II науково-
150

технічна конференція «Безпека інформаційних технологій» (ITSEC-2012).
Київ, 24-25 квітня 2012р. – Збірник тез доповідей. – Київ: НАУ, 2012. – С. 10.
52. InfoWatch Global Data Leakage Report 2012 [электронный ресурс],
Режим доступу: http://infowatch.com/.
53. Biri K., Trenta G. M. Corporate Information Security governance in
Swiss Private Banking / K. Biri, G.M. Trenta // Master’s Thesis. – Executive MBA
Program of the University of Zurich, July 2004. – 79 p.
54. ISO/IEC 27001:2005 – Information technology – Security techniques –
Information security management systems – Requirements.
55. Open Information Security Maturity Model (ISM3) [електронний
ресурс], Режим доступу: http://www.isecom.org/projects/ism3.shtml.
56. The Stationery Office, ITIL® Service Operation: 2011 Edition.
Information Technology Infrastructure Library 2011, Norwich, U.K.: The
Stationery Office.
57. The Stationery Office, ITIL® Service Transition: 2011 Edition.
Information Technology Infrastructure Library 2011, Norwich, U.K.: The
Stationery Office.
58. The Stationery Office, ITIL® Continual Service Improvement: 2011
Edition. Information Technology Infrastructure Library 2011, Norwich, U.K.: The
Stationery Office.
59. The Stationery Office, ITIL® Service Strategy: 2011 Edition.
Information Technology Infrastructure Library 2011, Norwich, U.K: The
Stationery Office.
60. The Stationery Office, ITIL® Service Design: 2011 Edition. Information
Technology Infrastructure Library 2011, Norwich, U.K.: The Stationery Office.
61. IT Governance Institute, COBIT® 4.1 2007, Rolling Meadows, IL: IT
Governance Institute, Режим доступу: https://www.isaca.org.
62. Dhillon G. Managing Information System Security / G. Dhillon //
Macmillan Publishers Limited, 1997. – 210 p.
151

63. OECD Guidelines for the Security of Information Systems and Networks
– Towards a Culture of Security. OECD Publications, 2002 – 29 p.
64. Deming W.E. Out of the Crisis / W.E. Deming // The MIT Press , 2000 –
507 p.
65. ISO/IEC 17799:2005, Information technology – Security techniques –
Code of practice for information security management.
66. ISO 9001:2000 Quality management system – Requirements.
67. ISO 14001:2004, Environmental management systems — Requirements
with guidance for use.
68. Малюк А.А. Информационная безопасность: концептуальные и
методологические основы защиты информации. – М.: Горячая линия –
Телеком, 2004. – 280 с.
69. Герасименко, Малюк А.А.. Основы защиты информации. – М.:
МИФИ, 1997. – 537 c.
70. ДСТУ ISO/IEC TR 13335:2003. Інформаційні технології. Настанови з
керування безпекою інформаційних технологій. Частини 1: Концепції та
моделі безпеки інформаційних технологій. Частина 2: Керування та
планування безпеки інформаційних технологій. Частина 3: Методи керування
безпекою інформаційних технологій.
71. Анисимов О.С. Стратегии и стратегическое мышление
(акмеологическая версия). – М.: Агоро-Вестник, 1999. – 606 с.
72. Керцер Г. Стратегическое планирование для управления проектами с
использованием модели зрелости. – М.: Компания АйТи, ДМКПресс, 2003. –
320 с.
73. Seppo P., Siponen M., Mahmood A. Which Factors Explain Employees’
Adherence to Information Security Policies? An Empirical Study / P. Seppo, M.
Siponen, A. Mahmood // PACIS 2007 Proceedings, – P. 73.
74. Kowalski S. IT Insecurity: A Multi-Disciplinary Inquiry / S. Kowalski //
PhD thesis. Department of Computer and Systems Sciences, University of
Stockholm and Royal Institute of Technology, Stockholm, 1994. – 314 p.
152

75. Helokunnas T., Kuusisto R. Information Security Culture in a Value Net.
In Engineering Management Conference / T. Helokunnas, R. Kuusisto // IEMC'03
Managing Technologically Driven Organizations: The Human Side of Innovation
and Change, 2003. – P. 190 – 194.
76. Niekerk J., Solms R. Understanding Information Security Culture: A
Conceptual Framework Information Security South Africa (ISSA) / J. Niekerk,
R.Solms // Johannesburg, 2006. – P. 1 – 10.
77. Vroom C., Solms R. Towards information security behavioral
compliance / C. Vroom, R. Solms // Computers & Security – № 23(3), 2004. –
P. 191 –198.
78. Solms B. The 5 Waves of Information Security – From Kristian
Beckman to the Present / B. Solms // Security and Privacy – Silver Linings in the
Cloud IFIP Advances in Information and Communication Technology – Vol. 33,
2010. – P. 1 – 8.
79. Solms B. Information Security – the Third Wave? / B. Solms //
Computers & Security – № 19(7), 2000. – P. 615 – 620.
80. Thomson K., Solms R., Louw L. Cultivating an Organizational
Information Security Culture / K. Thomson, R. Solms, L. Louw // Computer Fraud
& Security – № 10, 2006. – P. 7 – 11.
81. Schein E. H. Organizational Culture and Leadership – Jossey Bass, 3rd
Edition, 2004. – 464 p.
82. NIST IR7358 “Program Review for Information Security Management
Assistance” – PRISMA, 2007, [електронний документ], Режим доступу:
http://csrc.nist.gov/publications/nistir/ir7358/NISTIR-7358.pdf
83. ISO/IEC 21827:2002, Information technology - Systems Security
Engineering - Capability Maturity Model.
84. ISO/IEC 15408-1:2009 Information technology – Security techniques –
Evaluation criteria for IT security – Part 1: Introduction and general model.
85. ISO/IEC 15408-2:2008 Information technology – Security techniques –
Evaluation criteria for IT security – Part 2: Security functional components
153

86. ISO/IEC 15408-3:2008 Information technology – Security techniques –
Evaluation criteria for IT security – Part 3: Security assurance components
87. Brocke J., Strauch G., Buddendick C. Return on Security Investments -
Design Principles of Measurement Systems Based on Capital Budgeting /
J. Brocke, G. Strauch, C. Buddendick // Proceeding of Information Systems
Technology and its Applications, 6th International Conference ISTA, 2007. –
Vol. 107. – P. 21 – 32.
88. Detert J.R., Schroeder R.S., Mauriel J.J. A framework for linking culture
and improvement initiatives in organizations / J. R. Detert, R.S. Schroeder,
J.J. Mauriel // Academy of Management Review – № 25(4), 2000 – P. 850 – 863.
89. Zakaria O., Gani A. A Conceptual Checklist of Information Security
Culture / O. Zakaria, A. Gani // 2nd European Conference on Information Warfare
and Security, Reading, UK, 2003. – P. 365 – 371.
90. Martins A., Eloff J. Information Security Culture / A. Martins, J. Eloff //
Proceedings of IFIP TC11 17th International Conference on Information Security
(SEC2002) – Egypt 2003. – P. 203 – 214.
91. Schlienger T., Teufel S. Information Security Culture: The Socio-Cultural Dimension in Information Security Management / T. Schlienger, S. Teufel
// Proc. of IFIP TC11 17th International Conference on Information Security
(SEC2002) – Egypt, 2003. – P. 191 – 202.
92. Leach J. Improving User Security Behavior / J. Leach // Computer &
Security, 2003 – № 22(8), – P. 685 – 692.
93. Stanton J.M., Stama K.R., Mastrangelob P., Jolton J. Analysis of End
User Security Behaviors / J.M. Stanton, K.R. Stama, P. Mastrangelob, J. Jolton //
Computer and Security – № 24(2), 2005. – P. 124 – 133.
94. Tejay G., Dhillon G. Developing Measures of Information Security /
G. Tejay, G. Dhillon // The 4
th
Workshop on e-Business (WeB 2005), – Las Vegas,
2005.
95. Ramachandran S., Srinivasan V. R., Tim G. Information Security
Cultures of Four Professions: A Comparative Study / Ramachandran S., Srinivasan
154

V. R., Tim G. // Proceedings of the 41st Hawaii International Conference on
System Sciences –Hawaii, 2008.
96. Fisher C., Lovell A. Business Ethics and Values / C. Fisher, A. Lovell //
Prentice Hall, 2003. – 332 p.
97. Content Analysis: A Methodology for Structuring and Analyzing
Written Material, [електронний документ], Режим доступу:
http://www.gao.gov/assets/80/76281.pdf
98. Шестернева Н.Н Анализ оценки образовательного процесса
учащимися с применением методики контент-анализа / Шестернева Н.Н.,
Крутова К.Э. // Современные исследования социальных проблем
(электронный научный журнал) – Том 7, № 3, 2011. – С. 16 –34.
99. Spagnoletti P., Resca A. A Framework for Managing Predictable and
Unpredictable Threats: The Duality of Information Security Management /
Spagnoletti P., Resca A. // ECIS 2007 Proceedings, 2007. – P. 1539 – 1550.
100. Carey-Smith M., Nelson K., Lauren M. Improving Information
Security Management in Nonprofit Organizations with Action Research /
M. Carey-Smith, K. Nelson, M. Lauren // 5th Australian Information Security
Management Conference, 4 December 2007, – Valli, Craig & Woodward, Andrew
(Eds.), Perth, Western Australia. – P. 38 – 46.
101. Carey-Smith M. Improving information security management in
nonprofit organizations / M. Carey-Smith // PhD thesis, Queensland University of
Technology.
102. Stanton J.M., Mastrangelo P.R., Stam K.R., Jolton J. Behavioral
Information Security: Two End User Survey Studies of Motivation and Security
Practices / J.M. Stanton, P.R. Mastrangelo, K.R. Stam and J. Jolton // Proceedings
of the Tenth America’s Conference on Information Systems, New York, 2004.
103. Lessing M.M. A model for best practice driven information security
governance / M.M. Lessing // PhD thesis, University of Johannensburg, 2006.
155

104. Drevin L., Kruger H.A., Steyn T. Value-focused assessment of ICT
security awareness in an academic environment / L. Drevin, H.A. Kruger, T. Steyn
// Computers & security, №26, 2007. – Elsevier Advanced Technology – P. 36–43.
105. Nohria N., Groysberg B., Lee L.E. Employee Motivation: A Powerful
New Model / N. Nohria, B. Groysberg, L.E. Lee // HBS Centennial Issue, № 86,
2008. – P. 78 – 84.
106. Mohd A., Hayaati N. E-learning stakeholders information security
vulnerability model / A. Mohd, N. Hayaati // PhD Thesis, Cranfield, 2012.
107. Workman M., William H., Detmar W. Security lapses and the omission
of information security measures: A threat control model and empirical test.
Computers in Human Behavior. – Vol. 24, №6, 2008. – P. 2799 – 2816.
108. Sami A. Z. Success Factors of Information Security Management: A
Comparative Analysis between Jordanian and Finnish Companies. MSc Thesis,
The Swedish School of Economics and Business Administration, Hanken, 2006.
109. Martins A., Eloff J.H.P. Measuring Information Security. Proceedings
of Workshop on Information Security (SRR), Virginia, 2001.
110. Новиков Д.А. Институциональное управление организационными
системами. – М.: ИПУ РАН, 2004. – 68 с.
111. Стеклова О. Е. Организационная культура: учебное пособие / О. Е.
Стеклова. – Ульяновск: УлГТУ, 2007. – 127 с.
112. Тихомирова О.Г. Организационная культура: формирование,
развитие и оценка: Учебное пособие. - СПб.: СПбГУ ИТМО, 2008. – 156 с.
113. Майерс Д. Социальная психология. – СПб.: Питер, 1997. – 688 с.
114. Паронджанов В. Д. Как улучшить работу ума. Алгоритмы без
программистов — это очень просто! — М.: Дело, 2001. — 360 с.
115. Alberts C., Dorofee A. Managing Information Security Risks: The
OCTAVE Approach / C. Alberts, A. Dorofee // Addison-Wesley Publishing, 2003.
116. Kahraman E. Evaluating it security performance with quantiﬁable
metrics / E. Kahraman // Master’s thesis, DSV SU/KTH, 2005.
156

117. NIST SP 800-55, Security Metrics Guide for Information Technology
Systems, July 2008.
118. Чумичёва В.В. О применении метода комплексной оценки
состояния объектов защиты от чрезвычайных ситуаций, Интернет-журнал
"Технологии техносферной безопасности". 2009. № 1 [електронний
документ], Режим доступу: http://ipb.mos.ru/ttb.
119. Katzke S. Security Metrics. Information Assurance Solutions Group,
National Security / S. Katzke. – Agency, USA, 2001. – 320 p.
120.Workshop on Information, Security System Scoring and Ranking
(WISSSR, 2001) Information System Security Attribute Quantification or
Ordering (Commonly but improperly known as Security Metrics) – Workshop
Proceedings – May 21-23, 2001, Williamsburg, VA.
121. Недосекин А.П. Методологические основы моделирования
финансовой деятельности с использованием нечетко-множественых
описаний. Дис. на соискание уч. ст. д.э.н.- Санкт-Петербург, 2003.
122. Порядина В.Л. Метод обобщенных аддитивных сверток в задачах
принятия решений // Материалы конференции «Управление в технических,
эргатических, организационных и сетевых системах» (УТЭОСС-2012) –
СПб.: ГНЦ РФ ОАО «Концерн «Электроприбор», 2012. – с. 1089-1092.
123. Калиткин, Н. Н. Численные методы / Н. Н. Калиткин. – 2-е,
исправленное изд. – М.: BHV, 2011. – 592 с.
124. Андрейчиков А.В. Интеллектуальные информационные системы:
Учебник / А.В. Андрейчиков, О.Н. Андрейчикова. – М. : Финансы и
статистика, 2004. – 424 с.
125. Гаскаров Д.В. Интеллектуальные информационные системы.
Учебник для вузов. – М.: Высшая школа, 2003. – с. 431.