2020-06-08
472
Исходной посылкой при экономической эффективности является почти очевидное предположение: с одной стороны, при нарушении защищенности информации наносится некоторый ущерб, с другой - обеспечение защиты информации сопряжено с расходованием средств. Полная ожидаемая стоимость защиты может быть выражена суммой расходов на защиту и потерь от ее нарушения [4, стр. 50].
Очевидно, что оптимальным решением было бы выделение на защиту информации средств, минимизирующих общую стоимость работ по защите информации.
Также очевидно, что экономическая эффективность мероприятий по защите информации может быть определена, через объем предотвращенного ущерба или величину снижения риска для информационных активов организации.
Для того чтобы воспользоваться данным подходом к решению проблемы, необходимо знать (или уметь определять) [3, стр. 21]:
- во-первых, ожидаемые потери при нарушении защищенности информации;
- во-вторых, зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации.
Для определения уровня затрат Ri, обеспечивающих требуемый уровень защищенности информации, необходимо по крайней мере знать:
- во-первых, полный перечень угроз информации;
- во-вторых, потенциальную опасность для информации для каждой из угроз;
- в-третьих, размеры затрат, необходимых для нейтрализации каждой из угроз.
Поскольку оптимальное решение вопроса о целесообразном уровне затрат на защиту состоит в том, что этот уровень должен быть равен уровню ожидаемых потерь при нарушении защищенности, достаточно определить только уровень потерь. Уровень потерь по каждому объекту защиты был оценен в пункте 1.3.
Рассчитаем затраты на внедрение системы защиты. Не все мероприятия по защите требуют вложений, так как часть их входит в обязанности работников предприятия. Служба безопасности, отдел автоматизации и технического обеспечения выполнят такие работы как:
- подключение к системе камер видеонаблюдения;
- разграничение прав пользователей;
- разработка политику доступа в интернет;
- разработка правила работы с конфиденциальной информацией.
Риск владельца информации зависит от уровня инженерно-технической защиты информации, который, в свою очередь, определяется ресурсами системы.
Ресурс может быть определен в виде количества людей, привлекаемых к защите информации, в виде инженерных конструкций и технических средств, применяемых для защиты, денежных сумм для оплаты труда людей, строительства, разработки и покупки технических средств, их эксплуатации и других расходов.
Наиболее общей формой представления ресурса является денежная мера.
Ресурс, выделяемый на защиту информации, может иметь разовый и постоянный характер.
Разовый ресурс расходуется на закупку, установку и наладку дорогостоящей техники.
Постоянный ресурс — на заработную плату сотрудникам службы безопасности и поддержание определенного уровня безопасности, прежде всего, путем эксплуатации технических средств и контроля эффективности защиты.
Таким образом, для определения экономической эффективности системы защиты информации предприятия необходимы следующие данные (показатели):
- расходы (выделенные ресурсы) на создание/модернизацию данной системы и поддержание её в работоспособном состоянии;
- величины потерь (рисков), обусловленных угрозами информационным активам после внедрения/модернизации системы защиты информации;
Постоянный ресурс на внедрение новых средств защиты информации не требуется, т.к. в компании уже имеются сотрудники, обеспечивающие информационную безопасность, поэтому выделения дополнительных средств не требуется.
Суммарное значение ресурса выделяемого на защиту информации составляет 96418 руб.
Внедряемая система защита экономически эффективна, т.к. затраты на ее внедрение существенно ниже, чем потери от угроз информационной безопасности.
После принятия обязательных допущений о неизменности частоты появления угроз, а также о неизменном уровне надежности созданной системы защиты информации возможно определить срок окупаемости системы (Ток). Это выполняется аналитическим способом, с использованием формулы:
Ток = R∑ / (Rср – Rпрогн) (5)
Это также выполняется графическим способом, как это представлено на рисунке 2.
Рисунок 3 – Динамика потерь
Срок окупаемости проекта составит менее полугода (около 5 месяцев). Таким образом, предложенные средства защиты очень эффективны.
Заключение
На предприятии предлагается внедрить программный комплекс Solar inRights. Использование системы Solar inRights позволяет комплексно решить все задачи, связанные с управлением доступом и учетными данными пользователей.
По результатам анализа объекта защиты и обзора технических средств разработаны проект модернизации существующей системы безопасности. Модернизированная система обеспечивает надежную защиту объекта от внутренних внешних угроз информационной безопасности. При выборе технических средств особое внимание уделялось их функциональным характеристикам и технической совместимости устройств друг с другом. Разработанная система полностью отвечает требованиям технического задания и готова к внедрению на данном объекте.
Таким образом, в курсовой работе были предложены меры по защите информации, которые позволят избежать рисков и потерь. Разработанная система принятия мер по обеспечению информационной безопасности оправдает себя через 5 месяцев.
