Исследование и разработка мероприятий по организации защиты информации на предприятии
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
является методика, которая опирается на количественную оценку рисков ущерба для информационных ресурсов и оценку уменьшения этих рисков, связанного с реализацией дополнительных мероприятий по защите информации. Анализ затрат на реализацию проектов в сфере ИБ целесообразно осуществлять, опираясь на известную базовую методологию Total Cost of Ownership (ТСО). Эта методика ориентирована на обеспечение полноты анализа издержек, связанных с ИТ и ИС, в ситуациях, когда необходимо оценить экономические последствия внедрения и использования таких систем.
В общем случае суммарная величина ТСО включает в себя затраты на:
проектирование информационной системы;
приобретение аппаратных и программных средств;
разработку программного обеспечения и его документирование, а также на исправление ошибок и доработку в течение периода эксплуатации;
текущее администрирование информационных систем;
техническую поддержку и сервисное обслуживание;
расходные материалы;
телекоммуникационные услуги;
затраты на обучение;
издержки, связанные с потерей времени пользователями в случае сбоев в работе информационных систем.
Также в расчет затрат на повышение уровня ИБ необходимо включить расходы на реорганизацию бизнес-процессов и информационную работу с персоналом. Кроме того, при анализе расходов необходимо также учесть, что в большинстве случаев внедрение средств защиты информации предполагает появление дополнительных обязанностей у персонала предприятия и необходимость осуществления дополнительных операций при работе с информационными системами. Значение ТСО в каждом конкретном случае необходимо определять индивидуально с учетом особенностей проекта, который предстоит реализовать: основной востребованной функциональности, существующей инфраструктуры, количества пользователей и других факторов. В общем виде ТСО для анализа эффективности и целесообразности вложений в реализацию проектов по повышению уровня защищенности информации определяется как сумма всех элементов затрат, скорректированная с учетом фактора времени:
(3.2)
где: T - предполагаемый жизненный цикл проекта, лет; N - количество видов затрат, принимаемых в расчет; Cnt - затраты n-ого вида, понесенные в t-ом периоде, грн.
Таким образом, в целом могут быть определены затраты, связанные с реализацией мероприятий по обеспечению информационной безопасности. Однако наибольшую сложность представляет определение положительного эффекта от внедрения средств защиты информации. Как правило, эффект от внедрения ИС определяется тем, что они обеспечивают автоматизацию и ускорение различных бизнес-операций, что позволяет сократить затраты труда, приобрести конкурентные преимущества и, таким образом, повысить общую эффективность хозяйственной деятельности.
Однако внедрение средств защиты информации само по себе, не обеспечивает сокращения затрат - достижение положительного эффекта от их использования зависит от множества трудноконтролируемых факторов как внутри предприятия, так и вне его. Более того, реализация мероприятий, связанных с обеспечением ИБ, может привести к дополнительным нагрузкам на персонал предприятия и, соответственно, к снижению производительности труда.
Одним из немногих способов, определения эффекта от осуществления мероприятий в сфере защиты информации, является денежная оценка ущерба, который может быть нанесен информационным ресурсам предприятия, и который может быть предотвращен в результате реализации предлагаемых мероприятий. Таким образом, предполагаемый предотвращенный ущерб и будет составлять полученный экономический эффект или дополнительный денежный поток. При таком подходе большинство расчетов могут быть только оценочными и носить приблизительный характер. Это связано с тем, что активность злоумышленников, являющихся источниками угроз для ИБ, практически непредсказуема: невозможно достоверно предсказать стратегии нападения, квалификацию нападающих, их конкретные намерения и ресурсы, которые будут задействованы для совершения тех или иных действий, а также намерения в отношении украденной информации.
Соответственно, для осуществления всех необходимых расчетов необходимо сделать множество допущений и экспертных оценок в контексте деятельности данного конкретного предприятия, а также по возможности изучить статистическую информацию, касающуюся атак на информационные ресурсы, аналогичные защищаемым.
Таким образом, экономическая оценка эффективности мер по защите информации предполагает: оценку существующих угроз для информационных активов, которых коснется реализация защитных мер; оценку вероятности реализации каждой из выявленных угроз; экономическую оценку последствий реализации угроз.
Для осуществления такого анализа, как правило, используются следующие базовые понятия: - оценочная величина единовременных потерь (Single Loss Expectancy, SLEi) - предполагаемая средняя оценочная сумма ущерба в результате одного нарушения информационной безопасности i-го типа. Она может быть определена как произведение общей стоимости защищаемых информационного активов AV (Active Value) на коэффициент их разрушения вследствие нарушения информационной безопасности EFi (Exposure Factor); - количество нарушений информационной безопасности за год (Annualized Rate of Occurrence, AROi) - оценочная частота, с которой в течение года происходят нарушения информационной безопасности i-го типа; - оценочная величина сред?/p>