- •Глава 1. Экономические проблемы защиты информационных ресурсов предприятия 6
- •Глава 2. Порядок построения и экономическое обоснование создания системы защиты информации 16
- •Глава 3. Характеристика производственных ресурсов
- •Глава 4. Оценка эффективности создания
- •Введение
- •Глава 1. Экономические проблемы защиты информационных ресурсов предприятия
- •1.1. Уровень экономической безопасности предприятия
- •1.2. Информация как важный ресурс экономики
- •1.3. Задачи экономики защиты информации
- •Глава 2. Порядок построения и экономическое обоснование создания системы защиты информации
- •2.1. Этапы построения системы информационной безопасности предприятия
- •2.2. Анализ угроз и оценка рисков информационной безопасности
- •Контрольные вопросы
- •Глава 3. Характеристика производственных ресурсов предприятия и служб защиты информации
- •3.1. Задачи оценки и планирования производственных затрат
- •3.2. Оценка затрат по основным средствам
- •3.3. Затраты на нематериальные активы
- •3.5. Затраты на оборотные средства
- •3.6. Затраты на трудовые ресурсы
- •3.7. Результаты деятельности предприятия и прибыль
- •Контрольные вопросы
- •Глава 4. Оценка эффективности создания и функционирования системы защиты информации
- •4.1. Подходы к оценке эффективности создания средств зи
- •4.2. Оценка эффективности комплексной системы зи
- •4.3. Оценка эффективности инвестиций в систему зи
- •Заключение
- •Список литературы
- •Оценки угрозы и уязвимостей для классов рисков «Использование чужого идентификатора сотрудниками организации («маскарад»)»
Глава 2. Порядок построения и экономическое обоснование создания системы защиты информации
2.1. Этапы построения системы информационной безопасности предприятия
В коммерческих предприятиях право выбора мероприятий по обеспечению информационной безопасности принадлежит ее собственнику. При этом действующая в стране система правовых норм защиты информации должна оказывать методологическую помощь и правовую поддержку организации защитных мероприятий.
Безопасность информации — это защита информации от случайного или преднамеренного доступа лиц, не имеющих на это права, ее получения, раскрытия, модификации или разрушения. Реализация требований и правил по защите информации, поддержанию информационных систем в защищенном состоянии, эксплуатация специальных технических и программно-математических средств защиты и обеспечение организационных и научно-технических мер защиты информации, обрабатывающих информацию с ограниченным доступом в непосредственных структурах, осуществляются службами безопасности информации.
Построение комплексной системы защиты информации на предприятии предполагает реализацию следующих этапов:
I. Проведение предварительного обследования состояния объекта и уровня организации защиты информации.
На этом этапе проводится анализ объекта защиты с выделением следующих направлений: установление состава информации, нуждающейся в защите; определение наиболее важных (критических) элементов защищаемой информации; срок жизни критической информации (время, необходимое конкуренту для реализации добытой информации); определение ключевых элементов информации (индикаторов), отражающих характер охраняемых сведений; проведение классификации индикаторов по функциональным зонам (производственно-технологические процессы, система материально-технического обеспечения, подразделения
управления и т.д.), осуществление выбора и обоснование требований ПО ищите информации на заданном объекте.
2. Ни тором папе выявляются потенциально возможные уг-р01Ы информации и вероятности их появления, определяется, кого Может чаинтересовать защищаемая информация; оцениваются Методы, используемые конкурентами для получения этой информации; определяются вероятные каналы утечки информации; раз-рйбятмппется система мероприятий по пресечению действий конкурента.
На этом этапе определяется политика безопасности, допустимый степень риска, набор процедур и методов исключения несанкционированного доступа к информационным ресурсам.
Разрабатываются специальные шкалы оценок допустимых потерь в натуральном и денежном эквивалентах. Это обусловлено тем, что на каждом предприятии существует своя граница «допустимости» потерь, определяемая ценностью информации, масштабами разработок, бюджетом и множеством других экономических, организационных, политических и этических факторов. Если потери меньше, чем затраты, требуемые на разработку, внедрение и 'женлуатацию средств защиты, и если с точки зрения интересов 'жономической информационной системы возможный несанкционированный доступ не приведет к существенным изменениям в работе, то такой риск считается допустимым. Однако необходимо учитывать, что в большинстве случаев исключается даже незначительная утечка информации, например, когда идет речь о содержании конфиденциальной информации, связанной с анализом конъюнктуры рынка, новых технологий или оригинальных технических решений.
Одним из основных и весьма сложных вопросов создания СЗИ является разработка и принятие политики безопасности. Под политикой безопасности понимают комплекс законов, правил и практических рекомендаций, на основе которых строится управление, защита и распределение критической информации. Политика безопасности должна охватывать все особенности процесса обработки информации, определять поведение системы в различных ситуациях. Важным моментом является разработка механизмов обнаружения попыток несанкционированного доступа к защищаемым ресурсам, которые могут базироваться на экспертных системах и
16
17
включать регистрацию, распознавание и обработку событий, связанных с доступом к информации, а также проверку в реальном масштабе времени соответствия всех условий доступа, принятых в концепции СЗИ и защиты данных.
В рамках третьего этапа анализируется состояние постоянно действующих подсистем обеспечения безопасности, в том числе таких, как физическая безопасность документации, надежность персонала, безопасность используемых для передачи конфиденциальной информации линий связи и т.д.
На основании проведенных аналитических исследований предыдущих трех этапов обосновываются задачи защиты информации, их классификации и определяются необходимые меры защиты, что составляет содержание работ четвертого этапа.
На пятом этапе рассматриваются представленные предложения по всем необходимым мерам защиты, сравниваются полученные результаты с требуемыми и анализируются стоимостные затраты на обеспечение безопасности объекта.
Обосновывается структура и технология функционирования комплексной системы защиты информации. Определяется состав технического, математического, программного, информационного и лингвистического обеспечения, нормативно-методических документов и организационно-технических мероприятий по защите информации.
Определяются технико-экономические оценки разработанного проекта комплекса. На этом этапе оцениваются: надежность всех компонентов комплексной системы защиты информации и надежность выполнения функций защиты; живучесть системы защиты, экономическая оценка эффективности комплексной системы защиты информации.
Осуществляется отработка организационно-правовых и нормативно-методических вопросов защиты информации, разработка правил выполнения процедур и мероприятий по защите информации, определение прав и обязанностей подразделений и лиц, участвующих в работе комплексной системы защиты информации. Установление правил и порядка контроля работы системы защиты.
9. Внедрение системы защиты информации и доведение до персонала реализуемых мер безопасности.
18
Отпи включает непосредственно работы по внедрению и вводу СПИ в жсплуатацию, обучение и аттестацию персонала, дальнейшее развитие и поддержку составных частей системы информационной безопасности, а также регулярное тестирование. Тести-роиание должно проводиться регулярно на протяжении всего жизненного цикла СИЕ для выявления новых видов угроз, которые не были предусмотрены при разработке. На основе информации о новых угрозах и каналах утечки информации, модификации информационных и коммуникационных технологий должна проводиться саоевремсниая модификация и развитие отдельных компонентов или всей СЗИ.