Безопасность деловой информации фирмы

Содержание

1. Безопасность деловой информации фирмы.                                               2
2. Определение  окупаемости инвестиций.                                                    8
3. Практическое задание.                                                                                13  
4. Список использованной литературы                                                         16

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. Безопасность деловой информации фирмы.

 

 Проблема безопасности деловой информации фирмы очень актуальна в современном мире.

Как защитить корпоративные данные от несанкционированного доступа? Вопрос, который задается в последние годы очень часто.

Практически каждый день появляются публикации, так или иначе затрагивающие такие аспекты обеспечения безопасности деловой информации, как аутентификация пользователей, шифрование передаваемых данных и речи, построение защищенных бизнес-процессов и совершенствование корпоративной культуры для устранения лазеек, которыми могут воспользоваться недоброжелатели и конкуренты.

Не приходится сомневаться, что компании, работающие в развитых странах, также время от времени сталкиваются с проблемами, возникшими из-за недобросовестности или некомпетентности государственных учреждений, имеющих доступ к части корпоративных данных. Однако едва ли где-то еще такие вещи могут принимать формы «собственного свечного заводика» конкретных чиновников или целых ведомств, выступающих как платная справочная служба для всех желающих или «патронирующих» аффилированные при них компании, зачастую возглавляемые «своими людьми». Какое это имеет отношение к информационной безопасности вообще и защите данных от несанкционированного доступа в частности? Самое прямое.

В сущности, принципы, на которых строятся все подобные системы, довольно понятны.

Во-первых,  можно вложить большие объемы средств, ресурсов и времени в самую изощренную «линию фортификаций», оборудованную по последнему слову техники. Но в этом случае  все равно нельзя устранить самое «узкое место» — человеческий фактор — ибо защитить от некомпетентного, нелояльного или корыстного сотрудника пока не в состоянии ни одна инновационная технология. Кроме того, чем более масштабным окажется внедрение такой системы, тем труднее будет потом перестраивать, если потребуется, многие бизнес-процессы, вести сопровождение системы и, понятно, тем дороже будет приобретение и эксплуатация. Наконец, очень часто мощные системы защиты данных не только крайне требовательны к квалификации персонала и эксплуатируемой ИТ-инфраструктуре, но и могут, например, «отъедать» большую часть пропускной способности каналов связи. Эту проблему еще можно как-то решить, вложив большие деньги в модернизацию собственной сетевой инфраструктуры, но возможность удаленной работы сотрудников будет практически сведена на нет.

Во-вторых, надо всегда отдавать себе отчет в том, что ни одно решение не способно защитить от всех угроз информационной безопасности. Более того, спланированная профессионалами акция, направленная на кражу ваших корпоративных данных или даже уничтожение части из них, практически наверняка увенчается успехом. Однако следует помнить о том, что сегодня такого рода «операции» грозят только военным предприятиям, связанным со стратегической информацией и государственной тайной, спецслужбам, ведущим исследовательским центрам, создающим прорывные технологии, крупным банковским сетям. Во всех остальных случаях большую часть необходимых данных можно, даже в отсутствие коррупции, «выловить» вполне легальным путем, в частности на основе открытой информации. Ну а смысла «форматировать» конкурентам жесткий диск и вовсе нет никакого, поскольку очевидно, что в любой серьезной компании утерянные данные будут быстро восстановлены.

В-третьих, системы защиты данных от несанкционированного доступа не имеют никакого смысла в случае «лоскутного» внедрения. Они должны быть частью целого комплекса мер, направленных на сохранность корпоративной информации. Однако очень часто руководство компаний полагает обязательным введение смарткарт, удостоверяющих право сотрудника войти в офис, системы сложных процедур аутентификации при запуске рабочей станции, но при этом не предпринимает практически ничего для того, чтобы защитить свою офисную инфраструктуру, например, от вторжения через глобальную сеть.

Конечно, в большинстве современных компаний, работающих в России, подход к этим вопросам можно назвать достаточно зрелым и квалифицированными. Понятно, что в развитых странах накоплена богатая экспертиза и опыт в том, что касается создания системы защиты корпоративных данных, которые с той или иной степенью успеха переносятся и на отечественные представительства и офисы партнеров. Также иногда удается провести «конверсию» собственных разработок, ранее использовавшихся лишь в силовых ведомствах. Однако эффективность (в том числе экономическая) этих систем, как правило, не столь высока. Причем она ниже не только желаемой, но даже возможной. И связано это не только с той «национальной спецификой», о которой шла речь выше.

Как уже было сказано, средства защиты информации от несанкционированного доступа могут быть лишь одной из подсистем общей инфраструктуры безопасности компании.

К данной подсистеме относятся задачи общей идентификации и аутентификации пользователя, а также задачи разграничения доступа к различным участкам инфраструктуры в зависимости от прав (или потребностей) пользователя.

Идентификация пользователя сводится к проверке его права на доступ к вашей информации (или вашей сети) в целом. Для решения данной задачи, как правило, используются средства операционной системы, которая функционирует на предприятии. Пользователь имеет имя, пароль или другие признаки, которым соответствует право доступа к каким-либо сетевым ресурсам. Эти признаки проверяются средствами операционной системы при первой попытке подключения пользователя к вашей сети.

Под аутентификацией подразумевается идентификация пользователя по дополнительным (косвенным) признакам, например по IP-адресу подсети пользователя или по электронной подписи. Также могут использоваться смарткарты, биометрические данные или электронные «жетоны». Данные признаки, как правило, отслеживаются специальными программами и средствами, такими, например, как брандмауэры или специальные компоненты веб-серверов.

Разграничение доступа к информации, в большинстве случаев, обеспечивается непосредственно веб-серверами, которые имеют независимые от ОС или интегрированные с ОС системы идентификации пользователей и внутренние системы каталогизации информации, напоминающие структуры размещения информации самих ОС или незначительно отличающиеся от них.

При использовании веб-сервера для предоставления статической информации (заранее подготовленных и хранящихся в файлах документов) решение всех задач по обеспечению разграничения доступа и идентификации пользователей ложится на средства операционной системы и веб-сервера. Если же основной объем предоставляемой информации основывается на технологии динамической генерации HTML-страниц и использовании веб-приложений, проблема разграничения доступа к информации ложится непосредственно на эти решения. В последнем случае умелое комбинирование средств операционной системы, веб-серверов и веб-приложений приводит к минимизации затрат на обеспечение работы подсистемы защиты и открывает широкое поле деятельности для ее самостоятельного совершенствования и доработки.

В некоторых компаниях, вместо того чтобы начать работу по внедрению новых решений защиты с проектирования, анализа рисков и других нетехнических вопросов, эту стадию пропускают и переходят сразу к приобретению и установке готовых продуктов, которые представляются руководству приоритетными.

Аналитики также указывают на то, что предлагаемые инструменты защиты просто не поспевают за новыми технологиями, используемыми для несанкционированного доступа.

По данным статистики, почти 80%компаний сталкиваются с различными злоупотреблениями со стороны собственных сотрудников при использовании Интернета, а 40% руководителей признались, что сталкивались с атаками изнутри собственной компании.

По мере роста бизнеса головной болью департамента IТ становится задача обеспечения доступа сотен пользователей из разных сегментов сети к сотням ресурсов, подчас разбросанных по огромной территории. По мнению специалистов, важным этапом эволюции инфраструктуры информационной безопасности является внедрение системы единой аутентификации, которая может быть реализована по-разному, например, на базе инфраструктуры открытых ключей (PKI). Однако, дойдя до этой стадии модернизации своей инфраструктуры, компания сталкивается с проблемой, которая только недавно стала актуальной. Это лавина сообщений от разнородных средств защиты, установленных на самых уязвимых участках сети. Также может сложиться ситуация, когда у каждой системы будет свой отдельный интерфейс и консоли, так что администратору просто физически не удастся сколько-нибудь эффективно управлять всем этим «зоопарком». Поэтому при анализе структуры возможных инноваций следует перейти от технической к организационной составляющей. Подходить к решению этой проблемы надо не спонтанно, по случаю закупая в разное время различные средства защиты, а комплексно.

    Комплексность подразумевает выполнение работ с самых основ,      т. е., начиная с анализа бизнеса компании и влияния на него информационных технологий, изучения потоков движения информации и каналов (способов) ее несанкционированного получения и т. д. Только расставив приоритеты и смоделировав различные сценарии развития событий, в случае факта несанкционированного доступа к тому или иному элементу инфокоммуникационной инфраструктуры можно рассчитывать на то, что вы вложите деньги в действительно эффективные решения, оправдывающие потраченные инвестиции. Заканчивается процесс анализа рисков составлением подробного плана действий по созданию инфраструктуры безопасности, включающей в себя не только технические средства защиты информации, описанные выше, но и различные организационные, юридические и иные меры, направленные на повышение уровня защищенности корпоративных ресурсов.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Определение  окупаемости инвестиций.

 

Срок окупаемости инвестиций – период, начиная с которого первоначальные вложения и другие затраты, связанные с инвестиционным проектом, покрываются суммарными результатами от его осуществления. Для оценки эффективности инвестиций применяются показатели, основанные на принципе неравномерности современных и будущих благ, внешней и внутренней рентабельности инвестиций, оценке безубыточности, анализе чувствительности основных критериев оценки проекта.

Наиболее распространены следующие показатели эффективности капитальных вложений:

• чистое современное значение инвестиционного проекта (NPV);
• внутренняя норма прибыльности (доходности, рентабельности) (IRR);
• дисконтированный срок окупаемости (DPB);
• индекс прибыльности.

Данные показатели, как и соответствующие им методы, используются в двух вариантах:

1. Для определения эффективности предполагаемых независимых инвестиционных проектов, когда делается вывод: принять или отклонить проект;

2. Для определения эффективности взаимоисключающих проектов, когда делается вывод с тем, какой проект принять из нескольких альтернативных.

1. Методы оценки эффективности инвестиций:

1.1. Метод чистого  современного значения (NPV — метод)

Данный метод основан на использовании понятия чистого современного значения стоимости (Net Present Value):

NPV = CF0 +

+ +…+ = ,

где CF1 — чистый денежный поток, r — стоимость капитала, привлеченного для инвестиционного проекта.

В соответствии с сущностью метода современное значение всех входных денежных потоков сравнивается с современным значением выходных потоков, обусловленных капитальными вложениями для реализации проекта. Разница между первым и вторым есть чистое современное значение стоимости, которое определяет правило принятия решения.

Процедура метода имеет следующие шаги:

Шаг 1. Определяется современное значение каждого денежного потока, входного и выходного.

Шаг 2. Суммируются все дисконтированные значения элементов денежных потоков, и определяется критерий (NPV).

Шаг 3. Принимается решение:

- для отдельного проекта: если NPV ³0 , то проект принимается;

- для нескольких альтернативных проектов: принимается тот проект, который имеет большее значение NPV, если оно положительное.

Типичные входные денежные потоки:

- дополнительный объем продаж и увеличение цены товара;

- уменьшение валовых издержек (снижение себестоимости товара);

- остаточное значение стоимости оборудования в конце последнего года инвестиционного проекта (так как оборудование может быть продано или использовано для другого проекта);

- высвобождение оборотных средств в конце последнего года инвестиционного проекта (закрытие счетов дебиторов, продажа остатков товарно-материальных запасов, продажа акций и облигаций других предприятий).