4.2 Описание эффекта от внедрения системы защиты информации
Оценить с достаточной степенью точности прямой экономический эффект от реализации проекта по обеспечению информационной безопасности сложно, так как его внедрение оказывает косвенное влияние на получение прибыли от приобретения / замены УЭК, транзакций, комиссий. Главным образом, рекомендуемая система рассматривалась как средство снижения рисков.
Ниже выполнена оценка рисков до внедрения системы защиты информации и после него.
Определение ущерба и вероятности реализации угрозы определяем соответственно по таблице 15, таблице 16.
Таблица 15. Показатели ущерба от реализации угрозы
Показатель |
Описание ущерба от реализации угрозы |
0 |
Раскрытие приведет к ничтожному ущербу |
1 |
Основная деятельность не будет затронута. Финансовых потерь не будет, возможные последствия учтены в бюджете или предприняты меры по переносу риска |
Продолжение таблицы 15
Показатель |
Описание ущерба от реализации угрозы |
2 |
Деятельность организации прервется на некоторое время. Будут затронуты внутренние функции организации, превышен бюджет, потеряны возможности получить прибыль |
3 |
Будут затронуты внешние функции организации, нанесен большой финансовый ущерб. Возможна утрата части партнерских связей |
4 |
На восстановление требуются крупные финансовые вложения, деятельность прерывается на длительный срок, возможна смена руководства |
5 |
Деятельность прекращается, невосполнимый ущерб |
Таблица 16. Оценка реальности появления злоумышленника
Вероятность |
Вероятность появления |
1 |
Возможность возникновения угроз тяжело оценить |
2 |
Маловероятное событие |
3 |
Средняя вероятность события |
4 |
Большая вероятность события |
5 |
Событие точно произойдет |
Рассчитаем риски после внедрения средств защиты безопасности.
Таблица 17. Анализ рисков
№№ п/п |
Угрозы |
Возможный ущерб |
Оценка вероятности угрозы |
Величина угрозы |
11 |
Микрофонное устройство в стене, передающее информацию наружу; |
1 |
1 |
1 |
22 |
Съем побочных сигналов излучаемых в эфир по цепям питания; |
2 |
3 |
6 |
33 |
Датчик, дистанционно считывающий информацию; |
2 |
1 |
2 |
44 |
Регистрация электромагнитного излучения от дисплея работающих ПЭВМ; |
2 |
3 |
6 |
55 |
Подслушивание через телефонный аппарат и телефонную сеть; |
1 |
3 |
3 |
66 |
Съем побочных сигналов по цепям заземления и инженерным коммуникациям; |
2 |
3 |
6 |
77 |
Датчик, улавливающий электромагнитное излучение ПЭВМ; |
2 |
3 |
6 |
88 |
Лазерное подслушивание; |
1 |
1 |
1 |
99 |
Подслушивание направленным микрофоном; |
1 |
1 |
1 |
110 |
Подслушивающие устройства в предметах и вентиляции |
1 |
2 |
2 |
Продолжение таблицы 17
№п/п |
Угрозы |
Возможный ущерб |
Оценка вероятности угрозы |
Величина угрозы |
111 |
Разглашение информации сотрудниками организаций |
4 |
1 |
4 |
112 |
Недекларированные возможности системного ПО и ПО для обработки персональных данных |
2 |
2 |
4 |
113 |
Вредоносные программы |
3 |
2 |
6 |
114 |
Несанкционированный или случайного доступа |
2 |
2 |
4 |
115 |
Кража ПЭВМ и другой техники |
22 |
2 |
4 |
116 |
угроз безопасности персональных данных, реализуемых с использованием протоколов межсетевого взаимодействия |
4 |
1 |
4 |
117 |
Физическое внедрение программно-технического оборудования в систему обслуживания клиентов |
3 |
1 |
3 |
Включим настоящие показатели к уже существующему графику и приведем простой сравнительный анализ показателей (рисунок 22).
Рисунок 22.График анализа рисков
Средний коэффициент ущерба составит 3,70 по сравнению с предыдущим показателем 8,29,при этом снизив коэффициент на 4,59.
Таким образом, мы видим, что после внедрения системы обеспечения информационной безопасности риски значительно сократились, следовательно, полученный эффект весьма в значительной степени влияет на увеличение прибыли предприятий.