Исследование и разработка мероприятий по организации защиты информации на предприятии
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
?ки экономической эффективности использования системы
В условиях повышения значимости информационных технологий необходимо по-новому взглянуть на эффективность систем информационной безопасности, связанные с нею риски, определить обязательные действия по защите информации, и необходимые приоритеты дальнейшего развития. Перед руководителями подразделений по ИБ стоят задачи оптимального построения службы информационной безопасности, ее взаимосвязи с другими подразделениями и распределения полномочий, для обеспечения соответствия современным требованиям бизнеса.
Об экономических аспектах информационной безопасности вспоминают обычно раз в год, при формировании сметы расходов на ее обеспечение, и в случаях, когда очередной инцидент в системе ИБ приведет к заметному ущербу для предприятия. Между тем, эти аспекты необходимо учитывать при планировании всех инициатив в области ИБ. Современные методы и решения дают возможность обеспечить очень высокий уровень безопасности, однако и затраты на эти мероприятия могут оказаться весьма значительными - в крупных организациях затраты на защиту информационных систем иногда достигают 20 - 30 % ИТ-бюджета. В связи с этим, задача создания эффективной методики определения и оптимизации общей стоимости владения системой ИБ представляется весьма актуальной.
Экономику информационной безопасности следует рассматривать как относительно самостоятельную диiиплину, которая базируется на некоторых общих экономических законах и методах анализа, и нуждается в индивидуальном понимании, развитии специфических подходов к анализу, накоплении специфических статистических данных, формировании устойчивых представлений о факторах, под влиянием которых функционируют информационные системы и средства защиты информации.
Сложность задач экономического анализа практически во всех областях деятельности, обуславливается тем, что многие ключевые параметры экономических моделей невозможно достоверно оценить, т.к. они носят вероятностный характер. Необходимо также учитывать то обстоятельство, что сам по себе такой анализ может оказаться достаточно ресурсоемкой процедурой и потребовать привлечения дополнительных специалистов и сторонних консультантов, а также усилий со стороны различных специалистов, работающих на самом предприятии, - все эти затраты, в конечном счете, должны быть оправданы. Особая сложность экономического анализа в сфере ИБ обуславливается: быстрым развитием ИТ, методов и методик, используемых как для защиты, так и для атак; невозможностью достоверно предугадать все возможные iенарии атак на информационные системы (ИС) и модели поведения атакующих; невозможностью дать достоверную, достаточно точную оценку стоимости информационных ресурсов, а также оценить последствия различных нарушений в денежном выражении.
В процессе текущей деятельности предприятиям постоянно приходится сталкиваться с теми или иными изменениями: уточняются бизнес- процессы, меняется конъюнктура рынков сбыта и рынков потребляемых материальных ресурсов и услуг, появляются новые технологии и т.д. В этих условиях управленцам приходится постоянно анализировать происходящие изменения и адаптировать свою работу к постоянно меняющейся ситуации. Однако при всем разнообразии возможных моделей поведения в меняющейся среде, почти все их объединяет один важный общий методологический элемент: в большинстве случаев реакция бизнеса на новые угрозы и новые возможности предполагает осуществление новых инвестиций в определенные организационные и/или технические мероприятия. Таким образом, в ситуации, когда необходимо осуществить некоторые новые организационные или технические мероприятия, основной задачей лиц, отвечающих за эффективную организацию ИБ, является четкое соотнесение затрат, которые придется понести в связи с реализацией этого мероприятия, и дополнительных денежных потоков, которые будут получены. В данном случае под денежным потоком может подониматься экономия затрат, предотвращение убытков, а также дополнительный доход предприятия. В качестве основного показателя, отражающего это соотношение, в экономической практике принято использовать функцию возврата инвестиций - ROI (Return on Investment):
сеть система защищенность предприятие
ROI = N PV(R,d) + N PV(C,d) (3.1)
где: R - дополнительный денежный поток, создаваемый в результате реализации проекта; C - затраты, связанные с реализацией проекта; ставка дисконтирования; PV - функция дисконтирования.
Функция дисконтирования используется при анализе инвестиционных вложений для учета влияния фактора времени и приведения разновременных затрат к единому моменту. Ставка дисконтирования в этом случае позволяет учесть изменение стоимости денег с течением времени.
Модель отдачи от инвестиций наглядно демонстрирует, какие две основные задачи необходимо решить при анализе любого инвестиционного проекта и, в частности, проекта по реализации мероприятий в сфере ИБ: расчет затрат, связанных с проектом, и расчет дополнительного денежного потока. Если методология расчета совокупных затрат (C) за последние 10-15 лет в целом достаточно полно сформировалась и активно используется на практике, применительно к различным видам ИС, то расчет дополнительного денежного потока (R), получаемого в результате инвестиций в средства защиты информации, вызывает серьезные затруднения.
Одним из наиболее перспективных подходов к расчету этого показателя