Инвестирование в информационную безопасность

Второй этап. На втором этапе осуществляется ввод в систему всех видов информации, представляющей ценность для компании. Введенные группы ценной информации должны быть размещены пользователем на ранее указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т.д.). Заключительная фаза - указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз.

Третий этап. На третьем этапе вначале проходит определение всех видов пользовательских групп. Затем определяется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и/или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащих ценную информацию.

Четвертый этап. На четвертом этапе требуется указать, какими средствами защиты информации защищена ценная информация на ресурсах и рабочие места групп пользователей. Также вводится информация о разовых затраты на приобретение всех применяющихся средств защиты информации и ежегодные затраты на их техническую поддержку, а также - ежегодные затраты на сопровождение системы информационной безопасности компании, куда включаются затраты на годовую зарплата персонала, занимающегося вопросами обеспечения ИБ; обучение персонала по информационной безопасности; услуги в области ИБ сторонних компаний; сертификация в области ИБ, и т.д.

Пятый этап. На завершающем этапе пользователь должен ответить на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков. Этот этап необходим для получения достоверных оценок существующих в системе рисков. Применение средств информационной защиты не делает систему защищенной в случае их не адекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса и т.д.

По окончанию ответов  на вопросы раздела "Политика безопасности" сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального  выполнения требований комплексной  политики безопасности. [10]

Отчет представляет собой  подробный, дающий полную картину возможного ущерба от инцидентов документ, готовый  для представления руководству  компании:

Отчет по системе состоит из 3 частей.

Первая часть отчета - "Информационные риски ресурсов":

• Информационные риски ресурсов по информации и классу угроз
• Информационные риски ресурсов по классу угроз
• Информационные риски ресурсов суммарные риски по ресурсам
• Информационные риски системы по классу угроз

Вторая часть отчета - "Соотношение ущерба и риска":

• Ущерб по ресурсам по информации и классу угроз
• Ущерб по ресурсам суммарный ущерб по ресурсам
• Ущерб и Риск системы по классу угроз
• Ущерб и Риск системы
• Риск системы и затраты на обеспечение ИБ системы

Третья часть отчета - "Общий вывод о существующих рисках информационной системы":

• Максимальные значения риска и ущерба 
• Недостатки существующей политики безопасности

 Итоговая оценка "ГРИФ" основывается на целом наборе параметров, которые определяются защищенностью анализируемого объекта: анализируются как технологические аспекты защищенности согласно стандартам Good Practice, ISO 15408 и прочим, так и вопросы комплексной безопасности согласно стандарту ISO 17799.

Система "ГРИФ" содержит модуль управления рисками, который  позволяет проанализировать все  причины того значения риска, который  получается после обработки алгоритмом занесенных данных. Таким образом, зная причины, пользователь будет обладать всеми данными, необходимыми для  реализации контрмер и, соответственно, снижения уровня риска. Благодаря расчету  эффективности каждой возможной  контрмеры, а также определению  значения остаточного риска можно  выбрать наиболее оптимальные мероприятия, которые позволят снизить риск до необходимого уровня с наименьшими  затратами.

Благодаря расширенному алгоритму "ГРИФ" может проанализировать не только информационные потоки, но и  конкретные угрозы и уязвимости системы. При этом можно использовать встроенные в систему базы угроз и уязвимостей, для внедрения которых Digital Security, создатель системы "ГРИФ 2005", специально разработала классификацию угроз. Более того, последние версии системы имеют максимально гибкие настройки, позволяющие настроить проект так, что он полностью соответствовал особенностям конкретной компании. [3, с.125]

 

 

 

 

Заключение

 

Инвестирование в информационную безопасность представляет собой один из наиболее важных аспектов деятельности любой динамично развивающейся  коммерческой организации, поскольку  адекватная защита информационных ресурсов компании является сегодня обязательным требованием бизнеса.

Для планирования и осуществления  инвестиционной деятельности особую важность имеет оценка эффективности инвестиционного  проекта. При этом значительную роль играет правильный выбор методики такой  оценки.

В этой связи в работе поставлены и  решены следующие задачи:

-рассмотрены существующие  угрозы информационной безопасности;

-дано понятие информационной  безопасности и раскрыто ее  содержание;

-описаны методы и средства  защиты информации;

-рассмотрены теоретические  основы инвестирования, а именно: понятие инвестиций, виды инвестиций, понятие инвестиционного проекта  и его эффективности;

-определено понятие инвестиций  в информационную безопасность;

-рассмотрена автоматизированная  система "ГРИФ", позволяющая  оценить уровень рисков в информационной  системе, оценить эффективность  существующей практики по обеспечению  безопасности компании и обосновать  необходимость инвестиций в сферу  информационной безопасности компании.

 

 

 

 

 

 

Список использованной литературы:

 

1. Бирман Г., Шмидт С.  Экономический анализ инвестиционных проектов. - М.: Банки и биржи, ЮНИТИ, 2002.
2. Бромвич М. Ю. Анализ экономической эффективности капиталовложений. - М.: ИНФРА-М, 2001.
3. Идрисов А. Б., Картышев С.В., Постников А.В.  Стратегическое планирование и анализ эффективности инвестиций. - М.: Информационно-издательский дом “Филинъ”, 2003.
4. Любушин Н.П. Экономический анализ: учеб. Пособие для студентов. 2-е изд., перераб. И доп. – М.: ЮНИТИ-ДАНА, 2007.
5. Мелкумов Я. С.  Экономическая оценка эффективности инвестиций. - М.: ИКЦ “ДИС”, 2005.
6. Норткотт Д.   Принятие инвестиционных решений. - М.: Банки и биржи, ЮНИТИ, 2006.
7. Ясенев В.Н. Автоматизированные информационные системы в экономике: Учебно-методическое пособие. – Н.Новгород: ННГУ им. Н.И.Лобачевского, 2007.
8. Ясенев В.Н. Информационная безопасность экономических систем: Учебно-методическое пособие. – Н.Новгород: ННГУ им. Н.И.Лобачевского, 2006.
9. Http://www.elitarium.ru/2007/11/02/metody_ocenki_jeffektivnosti_investicijj.html  Власова В.М. Методы оценки эффективности инвестиций.
10. Http://www.aup.ru/books/m79/5_2.htm - Непомнящий Е.Г. Инвестиционное проектирование
11. Http://know--how.narod.ru/ras.htm#2_1 Методика определения экономической эффективности.
12. Http://www.inside-zi.ru/pages/1_2005/26.html Оценка эффективности инвестиций в информационную безопасность С. В. Арзуманов.