КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
III Обоснование экономической эффективности проекта
|
|
|
|
Структура третьей главы
Внутренний аудит системы информационной безопасности и защиты информации.
Программно-аппаратный комплекс информационной безопасности и защиты информации предприятия.
Внедрение и оценка комплекса программно-аппаратных средств обеспечения информационной безопасности.
Данный пункт должен содержать:
а) перечень структурных подразделений предприятия, в которых внедряются выбранные ПиАСИБ (разработанные нормативные документы)
б) схемы:
· технической архитектуры;
· программной архитектуры;
За основу рекомендуется взять схемы из п 1.1.3. и дополнить/изменить их в соответствии с принятыми решениями;
в) детальное описание действий операторов при эксплуатации ПиАСИБ в различных режимах, например:
· доступ пользователей к ресурсам системы;
· настройка межсетевого экрана;
· формирование и распределение ключей;
· выдача, проверка и аннулирование идентификаторов;
· реагирование на инциденты;
· проведение текущего аудита;
· настройка и эксплуатация средств противодействия ИТР конкурентов;
· проверка аппаратных средств на наличие закладок;
· проверка помещений на наличие средств промышленного шпионажа;
· настройка антивирусного программного обеспечения;
· настройка систем обнаружения и предотвращения вторжений;
· настройка систем резервного копирования;
· настройка VPN и др.
г) экранные формы для ввода и отображения информации
д) формы документов
Вся, представленная в данном пункте информация должна быть связана с данными, изложенными в п.2.1.2, другими словами, внедрение программно-аппаратных средств должно осуществляться в соответствии со сформированной политикой безопасности.
|
|
|
В данном разделе описывается процедура проведения внутреннего аудита разработанной системы. Для этого определяются:
· нормативные документы и стандарты ИБ, которые будут использоваться для проведения внутреннего аудита
· программа проведения аудита, а также подлежащие проверке элементы системы ИБиЗИ
· программные средства, используемые для проведения аудита и проверки системы на предмет соответствия требованиям ИБиЗИ.
По итогам проведенного аудита составляется соответствующее заключение.
2.4.3 Анализ результатов внутреннего аудита.
Данный раздел посвящен анализам результатов, полученных в разделе 2.4.2 и содержит информацию о том, насколько согласно результатам внутреннего аудита достигнуты поставленные цели, а сама система удовлетворяет требованиям ИБиЗИ.
3.1 Выбор и обоснование методики расчёта экономической эффективности
3.2 Расчёт показателей экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической эффективности
Исходной посылкой при экономической эффективности является почти очевидное предположение: с одной стороны, при нарушении защищенности информации наносится некоторый ущерб, с другой - обеспечение защиты информации сопряжено с расходованием средств. Полная ожидаемая стоимость защиты может быть выражена суммой расходов на защиту и потерь от ее нарушения.
Очевидно, что оптимальным решением было бы выделение на защиту информации средств, минимизирующих общую стоимость работ по защите информации.
Также очевидно, что экономическая эффективность мероприятий по защите информации может быть определена, через объем предотвращенного ущерба или величину снижения риска для информационных активов организации.
Для того чтобы воспользоваться данным подходом к решению проблемы, необходимо знать (или уметь определять),
|
|
|
· во-первых, ожидаемые потери при нарушении защищенности информации;
· во-вторых, зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации.
Для определения уровня затрат Ri„ обеспечивающих требуемый уровень защищенности информации, необходимо по крайней мере знать:
· во-первых, полный перечень угроз информации;
· во-вторых, потенциальную опасность для информации для каждой из угроз;
· в-третьих, размеры затрат, необходимых для нейтрализации каждой из угроз.
Поскольку оптимальное решение вопроса о целесообразном уровне затрат на защиту состоит в том, что этот уровень должен быть равен уровню ожидаемых потерь при нарушении защищенности, достаточно определить только уровень потерь. В качестве одной из методик определения уровня затрат возможно использование следующей эмпирической зависимости ожидаемых потерь (рисков) от i-й угрозы информации:
Ri = 10(Si + Vi – 4),
где:
Si – коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;
Vi – коэффициент, характеризующий значение возможного ущерба при ее возникновении. При выполнении дипломного проекта рекомендуется использовать следующие значения коэффициентов Si и Vi, приведенные в таблице 12
Таблица 12
Значения коэффициентов Si и Vi
| Ожидаемая (возможная) частота появления угрозы | Предполагаемое значение Si |
| Почти никогда | |
| 1 раз в 1 000 лет | |
| 1 раз в 100 лет | |
| 1 раз в 10 лет | |
| 1 раз в год | |
| 1 раз в месяц (примерно, 10 раз в год) | |
| 1-2 раза в неделю (примерно 100 раз в год) | |
| 3 раза в день (1000 раз в год) | |
| Значение возможного ущерба при проявлении угрозы, руб. | Предполагаемое значение Vi |
| 3 000 | |
| 30 000 | |
| 300 000 | |
| 3 000 000 | |
| 30 000 000 | |
| 300 000 000 |
Суммарная стоимость потерь определяется формулой
R=
где N – количество угроз информационным активам, определенных в п.1.2.3.
Данный пункт должен содержать:
а) обоснование выбора методики оценки экономической эффективности;
б) описание методики;
в) результаты расчетов, представленные в таблице 13 и содержащие:
· величины потерь (рисков) для критичных информационных ресурсов;
· суммарную величину потерь
|
|
|
При расчете суммарного показателя рекомендуется принять, что угрозы конфиденциальности, целостности и доступности реализуются нарушителем независимо. То есть, если в результате действий нарушителя была нарушена целостность информации, предполагается, что её содержание по-прежнему остается ему неизвестным (конфиденциальность не нарушена), а авторизованные пользователи по-прежнему имеют доступ к активам, пусть и искаженным.
Таблица 13
Величины потерь (рисков) для критичных информационных ресурсов
до внедрения/модернизации системы защиты информации
| Актив | Угроза | Величина потерь (тыс.руб.) |
| Суммарная величина потерь |
3.2 Расчёт показателей экономической эффективности проекта
Риск владельца информации зависит от уровня инженерно-технической защиты информации, который, в свою очередь, определяется ресурсами системы.
Ресурс может быть определен в виде количества людей, привлекаемых к защите информации, в виде инженерных конструкций и технических средств, применяемых для защиты, денежных сумм для оплаты труда людей, строительства, разработки и покупки технических средств, их эксплуатации и других расходов.
Наиболее общей формой представления ресурса является денежная мера.
Ресурс, выделяемый на защиту информации, может иметь разовый и постоянный характер.
Разовый ресурс расходуется на закупку, установку и наладку дорогостоящей техники.
Постоянный ресурс — на заработную плату сотрудникам службы безопасности и поддержание определенного уровня безопасности, прежде всего, путем эксплуатации технических средств и контроля эффективности защиты.
Таким образом, для определения экономической эффективности системы защиты информации предприятия необходимы следующие данные (показатели):
· расходы (выделенные ресурсы) на создание/модернизацию данной системы и поддержание её в работоспособном состоянии;
· величины потерь (рисков), обусловленных угрозами информационным активам после внедрения/модернизации системы защиты информации;
|
|
|
Данный пункт должен содержать
а) данные о содержании и объеме разового ресурса, выделяемого на защиту информации (таблица 14);
б) данные о содержании и объеме постоянного ресурса, выделяемого на защиту информации (таблица 15);
Таблица 14
Содержание и объем разового ресурса, выделяемого на защиту информации
| Организационные мероприятия | ||||
| № п\п | Выполняемые действия | Среднечасовая зарплата специалиста (руб.) | Трудоемкость операции (чел.час) | Стоимость, всего (тыс.руб.) |
| Стоимость проведения организационных мероприятий, всего | ||||
| Мероприятия инженерно-технической защиты | ||||
| № п/п | Номенклатура ПиАСИБ, расходных материалов | Стоимость, единицы (тыс.руб) | Кол-во (ед.измерения) | Стоимость, всего (тыс.руб.) |
| Стоимость проведения мероприятий инженерно-технической защиты | ||||
| Объем разового ресурса, выделяемого на защиту информации |
Таблица 15
Содержание и объем постоянного ресурса, выделяемого на защиту информации
| Организационные мероприятия | ||||
| № п\п | Выполняемые действия | Среднечасовая зарплата специалиста (руб.) | Трудоемкость операции (чел.час) | Стоимость, всего (тыс.руб.) |
| Стоимость проведения организационных мероприятий, всего | ||||
| Мероприятия инженерно-технической защиты | ||||
| № п/п | Номенклатура ПиАСИБ, расходных материалов | Стоимость, единицы (тыс.руб) | Кол-во (ед.измерения) | Стоимость, всего (тыс.руб.) |
| Стоимость проведения мероприятий инженерно-технической защиты | ||||
| Объем постоянного ресурса, выделяемого на защиту информации |
в) суммарное значение ресурса выделяемого на защиту информации
г) выводы о степени экономической эффективности системы защиты информации, сделанные после сравнения объема выделенного ресурса и рассчитанной величины ущерба. Поскольку совпадение данных величин маловероятно, пояснить, в каком случае имеет место «приемлемый риск», а в каком «избыточная защита» с обязательной детализацией активов, угроз и уязвимостей.
д) расчет времени окупаемости внедряемой/модернизируемой системы защиты информации, выполненный аналитическим и графическим способом.
Для проведения расчета необходимо получить прогнозируемые данные о величине потерь (рисков) для критичных информационных ресурсов после внедрения/модернизации системы защиты информации. Результаты формируются по результатам экспертного опроса и вносятся в таблицу 16.
Таблица 16
Величины потерь (рисков) для критичных информационных ресурсов
после внедрения/модернизации системы защиты информации
| Актив | Угроза | Величина потерь (тыс.руб.) |
| Суммарная величина потерь |
Также необходимо оценить динамику величин потерь за период не менее 1 года и внести данные в таблицу 17
Таблица 17
Оценка динамики величин потерь
| 1 кв. | 2 кв. | 3 кв. | 1 год | 1 кв. | 2 кв. | 3 кв. | 2 год | |
| До внедрения СЗИ | ||||||||
| После внедрения СЗИ | ||||||||
| Снижение потерь |
Пример
Пусть
а) суммарное значение ресурса, (R∑)выделенного на защиту информации, составило 500 тысяч рублей;
б) объем среднегодовых потерь компании (Rср)из-за инцидентов информационной безопасности составлял 400 тыс. рублей;
в) прогнозируемый ежегодный объем потерь (Rпрогн)составит 100 тыс. рублей
г) динамика потерь представлена в таблице.
Оценка динамики величин потерь
| 1 кв. | 2 кв. | 3 кв. | 1 год | 1 кв. | 2 кв. | 3 кв. | 2 год | |
| До внедрения СЗИ | ||||||||
| После внедрения СЗИ | ||||||||
| Снижение потерь |
После принятия обязательных допущений о неизменности частоты появления угроз, а также о неизменном уровне надежности созданной системы защиты информации возможно определить срок окупаемости системы (Ток). Это выполняется аналитическим способом, с использованием приведенной ниже формулы:
Ток = R∑ / (Rср – Rпрогн)
и графическим, как это представлено на рис. 10.
Рис. 10.Динамика потерь
|
|
|
|
|
Дата добавления: 2014-11-18; Просмотров: 3386; Нарушение авторских прав?; Мы поможем в написании вашей работы!