Файл: Лекция 4 Система ресурсообеспечения защиты информации и эффективность е использования Информация как экономический ресурс.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 27.03.2024
Просмотров: 45
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
8) Плановая основа деятельности.
Деятельность по обеспечению безопасности должна строиться на основе комплексной программы обеспечения безопасности предприятия, подпрограмм обеспечения безопасности по основным его видам (экономическая, научно- техническая, экологическая, технологическая и т.д.) и разрабатываемых для их исполнения планов работы подразделений предприятия и отдельных сотрудников
Принципы построения системы ИБ
организации
9) Системность.
Этот принцип предполагает учет всех факторов,
оказывающих влияние на безопасность предприятия, включение в деятельность по его обеспечению всех сотрудников подразделений,
использование в этой деятельности всех сил и средств.
Принципы построения системы ИБ
организации
Надежность и эффективность системы безопасности предприятия
оценивается на основе одного критерия - степени отсутствия или наличия нанесенного ему материального ущерба и морального вреда. Содержание этого критерия раскрывается через ряд показателей:
Параметры оценки эффективности системы
ИБ организации
1)
недопущение сведений фактов утечки
(разглашения)
конфиденциальных
2)
предупреждение или пресечение противоправных действий со стороны персонала предприятия, его посетителей, клиентов
3)
сохранность имущества и интеллектуальной собственности предприятия
Параметры оценки эффективности системы
ИБ организации
4)
предупреждение чрезвычайных ситуаций
5)
пресечение насильственных преступлений в отношении отдельных
(специально предприятия выделенных)
сотрудников и
групп сотрудников
6)
своевременное выявление и
несанкционированного проникновения предприятия на пресечение охраняемые попыток объекты
Параметры оценки эффективности системы
ИБ организации
1. Технические средства.
К ним относятся охранно-пожарные системы, видео- радиоаппаратура,
средства обнаружения взрывных устройств,
бронежилеты, заграждения и т.д.
2. Организационные оргструктурных предприятия.
специализированных средства.
Создание формирований,
обеспечивающих безопасность
3. Информационные печатная и
видеопродукция по вопросам средства.
Прежде всего,
это сохранения конфиденциальной информации. Кроме этого, важнейшая информация безопасности сохраняется в для принятия решений по вопросам компьютерах.
Средства и методы обеспечения
безопасности
4) Финансовые средства.
Совершенно очевидно, что без достаточных функционирование системы том, чтобы использовать их финансовых средств невозможно безопасности, вопрос лишь в целенаправленно и с высокой отдачей.
5) Правовые средства.
Здесь имеется ввиду использование не только изданных вышестоящими органами власти законов и подзаконных актов,
но также разработка собственных, так называемых локальных правовых актов по вопросам обеспечения безопасности.
Средства и методы обеспечения
безопасности
6) Кадровые средства.
Имеется ввиду, прежде всего достаточность кадров,
занимающихся вопросами обеспечения безопасности. Одновременно с этим решают задачи повышения их профессионального мастерства в этой сфере деятельности.
7) Интеллектуальные средства.
Привлечение к работе высококлассных специалистов, научных работников (иногда целесообразно привлекать их со стороны) позволяет внедрять новые системы безопасности.
Средства и методы обеспечения
безопасности
I.этап. Выделение финансовых средств.
II.этап. Формирование кадровых и организационных средств.
III.этап. Разработка системы правовых средств.
IV.этап. Привлечение технических, информационных и интеллектуальных средств.
Этапы внедрения системы ИБ
Уровень экономической безопасности организации
— это оценка состояния использования корпоративных ресурсов по критериям уровня экономической безопасности организации (предприятия)
Основы экономической безопасности
организации
Общая структура функциональных компонент экономической
безопасности организации:
▪
финансовая
▪
интеллектуально-инновационная
▪
кадровая
▪
производственно-технологическая
▪
регулятивно-правовая
▪
экологическая
▪
информационная
▪
силовая и т.д.
Основы экономической безопасности
организации
Основные
функциональные
безопасности предприятия
цели
экономической
▪
обеспечение высокой финансовой эффективности работы предприятия, его финансовой устойчивости и независимости
▪
обеспечение технологической независимости предприятия и достижение высокой конкурентоспособности его технологического потенциала
▪
высокая эффективность менеджмента предприятия, оптимальность и эффективность его организационной структуры
Основы экономической безопасности
организации
Основные
функциональные
безопасности предприятия
▪
высокий уровень квалификации
цели
экономической
персонала предприятия и его интеллектуального потенциала, эффективность его корпоративных НИОКР
▪
высокий уровень экологичности работы предприятия, минимизация разрушительного влияния результатов производственной деятельности на состояние окружающей среды
▪
качественная правовая защищѐнность всех аспектов деятельности предприятия
Основы экономической безопасности
организации
Основные функциональные цели экономической безопасности
предприятия
▪
обеспечение защиты информационной среды предприятия, коммерческой тайны и достижение высокого уровня информационного обеспечения работы всех его служб
▪
обеспечение безопасности персонала предприятия
,
его капитала,
имущества и коммерческих интересов
Основы экономической безопасности
организации
Меры по обеспечению эффективной экономической безопасности
организации
▪
снижающие затраты на управление экономической безопасностью при неизменном объѐме работ и качестве их выполнения
▪
обеспечивающие увеличение объѐма работ и повышение качества их выполнения при стабильных затратах на управление экономической безопасностью
Основы экономической безопасности
организации
Меры по обеспечению эффективной экономической безопасности
организации
▪
обеспечивающие повышение качества выполнения работ при увеличении их объѐма и одновременном увеличении затрат на управление экономической безопасностью
▪
направленные на повышение социальной эффективности,
требующие затрат на управление экономической безопасностью
Основы экономической безопасности
организации
Планирование затрат
– это определение целей предприятия и его подразделений в форме постановки производственных задач и выбора средств для их выполнения.
Прогнозирование и планирование затрат
Основные задачи, решаемые при планировании:
▪
Расчет стоимости ресурсов, необходимых для производства продукции
▪
Определение общего объема затрат на производство
▪
Исчисление себестоимости производства для каждого вида продукции
Прогнозирование и планирование затрат
Расчет допустимых затрат
Анализ затрат на ИБ
– инструмент управления, предназначенный для определения достигнутой степени защищенности информационной среды и обнаружения проблем при постановке задач поддержания требуемого уровня безопасности
Анализ затрат на информационную
безопасность
Отчет по затратам на безопасность
Руководству
▪
следует предоставить отчет в виде общих форм
▪
должна быть представлена общая картина состояния системы безопасности предприятия, изложенная обычно в финансовых терминах
Руководителям подразделений информатизации и ЗИ
▪
более детальные сведения о достигнутом уровне защищенности тех ресурсов информационной среды предприятия, за которые оно отвечает
▪
должен быть очень подробным и включать данные о типах ресурсов, видах угроз и т.д.
Анализ затрат на информационную
безопасность
Читающий
позволит:
отчет должен получить
информацию,
которая
▪
сравнить текущий уровень защищенности с уровнем прошлого периода, то есть определить тенденции в этом направлении
▪
сравнить текущий уровень с поставленными целями
▪
выявить наиболее значительные области затрат
▪
выбрать области для улучшения
▪
оценить эффективность программ по улучшению
Анализ затрат на информационную
безопасность
Руководитель ожидает получить отчет по затратам на ИБ который:
▪
проинформирует его лишь о вещах, относящихся к сфере его компетенции,
и ни о чем более
▪
написан легким для понимания языком и не напичкан специальными терминами
▪
изложен четко и кратко и содержит всю необходимую информацию
▪
позволит определить первоочередные задачи и направления деятельности
Анализ затрат на информационную
безопасность
▪
недостаточные возможности по архивированию данных
▪
бессистемность в части архивирования данных
▪
непригодность механизма учета и контроля носителей резервных копий
▪
слабость нормативной базы
▪
пренебрежение практикой проведения тестовых испытаний системы защиты ресурса
▪
недостаточность технических систем охлаждения и питания серверных комнат
▪
отсутствие регламента программно-технических средств
«типовой рабочей станции» и т.д.
Возможные причины нанесения ущерба
(уязвимости технологии защиты ресурса)
▪
затраты на безопасность могут быть сокращены в значительной степени, если удастся выявить специфические причины потерь и предложить программы уменьшения рисков
▪
во все рекомендации по улучшениям следует включать данные о стоимости реализации предложенных программ
▪
основной целью реализации мер по снижению уровня риска является стремление с наименьшими затратами получить наилучшие результаты
Рекомендации по снижению затрат на ИБ
1.
Возьмитесь за простое, не пытайтесь сразу же охватить все ресурсы,
требующие защиты; выберите один вид ресурса - по собственному желанию и стройте систему, которую сможете наполнить фактическими экономическими данными.
2.
Начните с тех затрат на безопасность, для которых данные уже известны;
при необходимости определите иные необходимые затраты
«экспертным» способом.
3.
Преодолевайте неожиданные препятствия; не бойтесь этого и не откладывайте решаемую задачу - решив ее один раз, вы облегчите себе жизнь в будущем.
Внедрение системы учета затрат на ИБ
4.
Упростите систему так, чтобы она соответствовала вашим потребностям.
5.
Если затраты определены с точностью ± 5 %, то работа сделана хорошо.
Директор предприятия теперь будет иметь более точную картину затрат на безопасность, а следовательно, и оценку уровня риска.
6.
Начинайте с малого и наращивайте постепенно.
7.
Создайте образец, чтобы показать, как это может быть сделано.
8.
Подтвердите документами ценность анализа затрат на ИБ.
Внедрение системы учета затрат на ИБ
Фундаментальные утверждения необходимости в расходах на ИБ:
▪
Расходы на безопасность являются составляющей стоимости ведения бизнеса
▪
Расходы на безопасность родственны расходам на страхование
▪
Компания не может заниматься электронной коммерцией без обеспечения определенного уровня защиты электронных денежных потоков
Возврат инвестиций в ИБ
Return on Investment for Security (ROSI)
Фундаментальные у
)
тверждения необходимости в расходах на ИБ:
▪
Безопасность является одним из аспектов управления рисками
▪
Заказчик имеет право подать на компанию в суд, если она отказывается соблюдать минимальные стандарты безопасности (например, защищать конфиденциальную информацию о клиенте)
▪
Нежелание вкладывать денежные средства в безопасность - означает,
нежелание следовать общим тенденциям развития информационных технологий
Возврат инвестиций в ИБ
Return on Investment for Security (ROSI
1. Метод ожидаемых потерь
▪
Объединяет выгоду от каждой контрмеры в единый количественный показатель эффективности
▪
С точки зрения системы безопасности, этот показатель интерпретируется, как показатель пригодности всей системы защиты, обычно указан в договоре с поставщиком системы защиты
2. Метод оценки свойств системы безопасности
3. Анализ дерева ошибок
▪
Не дают количественной оценки стоимости и выгод от контрмер безопасности
Существующие методы обоснования
инвестиций в ИБ