Экономическое обоснование управленческих решений по внедрению системы обеспечения информационной безопасности

Основной целью данной работы являлся расчет экономической эффективности в рамках принятия управленческих решений при проектировании системы информационной безопасности.
Все поставленные задачи в рамках данной работы были выполнены.
В данной работе проведен анализ технологии расчета экономической эффективности мер по защите информации на примере анализа типовой информационной системы, на основании полученных результатов даны рекомендации по совершенствованию системы защиты информации.
Рассмотрены теоретические основы проведения аудита информационной безопасности. Определен перечень угроз информационной безопасности в типовой технологии, проведена оценка модели нарушителя. Далее проведено рассмотрение теоретических аспектов и математических моделей проведения аудита системы информационной ...

Введение 6
1.Проблемы информационной безопасности современных компаний. Построение комплексной системы защиты информации. 9
1.1 Информационная безопасность компании. Основные понятия 9
1.2 Принципы, цели и задачи комплексной системы защиты информации 13
1.3 Разработка и построение комплексной системы защиты информации 15
2. Обоснование экономической эффективности построения комплексной системы защиты информации 25
2.1. Выбор методики расчёта экономической эффективности 25
2.2 Расчёт показателей экономической эффективности проекта 38
2.3 Внедрение, ввод в действие и обеспечение продуктивного функционирования в ходе эксплуатации КСЗИ 44
Заключение 55
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 59

Актуальность исследования обусловлена наличием следующих факторов: ростом угроз информационной безопасности, принятием ряда нормативных документов и стандартов защиты информации на федеральном уровне и необходимостью приведения в соответствие системы информационной безопасности на предприятиях требованиям указанных документов.
Вместе с тем, большинство предприятий зачастую сталкиваются с проблемами, связанными с затруднениями в определении требований к архитектуре информационной безопасности и определением модели угроз. В таком случае необходимо провести аудит информационной безопасности силами специалистов предприятия или сторонней организации, специализирующейся в области технологий информационной безопасности.
Для получения достоверной информации о состоянии информационной безопасност и на предприятии необходимо проводить постоянный мониторинг и анализ системы, в рамках которого производится оценивание состояния системы с использованием различных методов. Усложнение систем менеджмента информационной безопасности приводит к необходимости совершенствования научно-методического аппарата оценивания данных систем. Эффективность мероприятий, связанных со сбором и обработкой информации о системе будет определяться качеством оценок параметров защиты информации к затраченным ресурсам на проведение измерений. Организация проведения измерений, как показывает практика, оказывает существенное влияние на качество оценивания показателей состояния системы. Однако, в большинстве случаев, ресурс, выделяемый для мониторинга и анализа состояния системы информационной безопасности, распределяется на основе имеющегося опыта персонала службы защиты информации, руководств и нормативно – правовых документов ГОСТ с применением общеизвестных методов планирования. В ходе планирования зачастую не учитываются результаты проведенных измерений, полученные на предыдущих этапах проверок.
Цель работы: оценка необходимости внедрения системы информационной безопасности в деятельность предприятий.
Задачи работы:
1. Проведение анализа актуальности внедрения систем информационной безопасности;
2. Проведение анализа проблем информационной безопасности;
3. Оценка вероятности потерь вследствие нарушения требований информационной безопасности;
4. Анализ показателей, определяющих стоимость проекта информационной безопасности;
5. Проведение моделирования системы информационной безопасности методом экспертных оценок;
6. Построение модели аудита системы информационной безопасности.
7. Оценка полученных результатов.
В рамках работы над проектом был проведен анализ экономической составляющей защиты информации. Показано, что проектирование архитектуры защиты информации должно начинаться с оценки стоимости информационных активов, на основании которой проводится выбор проектных решений в области информационной безопасности.
Методы исследования анализ состояния системы информационной безопасности, включенное наблюдение, синтез стандартов в области технологий информационной безопасности, методы сравнения, эксперимента.
Результатами исследования в рамках данного проекта являются: аудит текущего состояния системы защиты информации в типовой организации согласно предложенной методике, рекомендации по совершенствованию системы информационной безопасности на предприятии.
Элементом научной новизны является разработанная методика проведения аудита информационной безопасности с определением узких мест системы и определения задач по модернизации архитектуры защиты информации.

Большинство работ, посвященных оценке экономической эффективности, рассматривают не оценку эффективности системы защиты информации, а оценку эффективности внедрения информационных технологий, что не позволяет применять эти методы для оценки систем защиты информации. Поскольку применение информационных технологий (далее - ИТ) влияет на эффективность производства непосредственно, они влияют на производственном процессе (повышают производительность труда, увеличивают скорость обращения, влияют на принятие управленческих решений и т.д.), а комплексные системы защиты информации участвуют в процессе производства косвенно, создавая условия работы. Многие работы в области защиты информации рассматривают экономическую эффективность комплексной системы защиты информации как эффективность от внедрения нового ИТ-проекта. Анализ существующей литературы позволил провести группировку методов и представить их в виде схемы на рисунке 8.Рисунок 8 – Методы оценки эффективности ИТ-проектовОднако, большинство идей заложенных в этих методах могут быть использованы для оценки эффективности комплексной системы защиты информации. При использовании различных вариантов, представленных на рис.8, для расчета эффективности комплексной системы защиты информации возникает ряд сложностей. Так например, финансовые методы оперируют информацией притока и оттока денежных средств на предприятии, что не является показателем эффективности системы защиты. Вероятностные и качественные методы требуют уточнения и совершенствования, поскольку существующие подходы не могут дать количественную оценку эффективности работы системы защиты. Поэтому применение подхода оценки эффективности комплексной системы защиты информации в качестве оценки эффективности самостоятельного ИТ-проекта не отражает эффект от работы комплексной системы защиты информации на предприятии.Другой подход к оценке экономической эффективности комплексных систем защиты информации состоит в вычислении соотношения эффекта и затрат, также связан с рядом вычислительных и методических сложностей. Проблема состоит в том, что нет единого подхода для расчета затрат, а такжеотсутствует единое мнение специалистов по вопросу что будет являться эффектом от функционирования комплексной системы защиты информации и как он рассчитывается. Решение проблемы расчета затрат на проектирование и функционирование комплексной системы защиты информации в телекоммуникационной сфере было предложено нами в [12].Поэтому в дальнейшем рассмотрим расчет эффекта.Проблему расчета эффекта от функционирования комплексной системы защиты информации часто предлагают решать принимая за эффект сумму предотвращенного ущерба. Такой подход рассматривают [11] и [13]. Однако варианты предложенных методов имеют значительные отличия.В [13] предлагает рассчитывать общую сумму предотвращенного ущерба как суму слагаемых: стоимость потерь от снижения производительности, стоимость восстановления работоспособности автоматизированного узла или сегмента (стоимость замены оборудования и запасных частей, переустановка системы и стоимость повторного ввода информации) и упущенную выгоду от простоя атакованного узла или сегмента. Данный подход может быть успешно применим для использования при расчете ущерба телекоммуникационного оператора от реализации атаки. Однако, поскольку телекоммуникационный оператор имеет большое количество программных и аппаратных средств, то при применении данного метода необходимо учитывать все взаимосвязи между функционирующим оборудованием и программным обеспечением, так как при осуществлении атаки даже на незначительную составляющую телекоммуникационной сети может вывести из строя всю сеть. Поэтому этот вариант расчета проще осуществить для совершенной атаки и принесенного ущерба после осуществленной атаки, так как сложно предугадать на какое количество оборудования повлияет осуществление атаки, а также не учитывается вероятность ее осуществления.В [11] показатель ожидаемых потерь рассчитывается с учетом вероятности возникновения потенциальной угрозы: где Арас - показатель ожидаемых расходов,f - частота возникновения потенциальной угрозы за рассматриваемый период времени,L - величина потерь.Основным недостатком данного подхода является расчет частоты возникновения угрозы. Это происходит в связи с тем, что статистика вероятности появления угроз и реализованных атак на комплексную систему защиты информации накапливается на предприятии с уже функционирующей системой защиты. Таким образом расчет затрудняется если его производить для проектируемой комплексной системы защиты информации.Одним из походов является оценка экономической эффективности через использование риска [14], где эффективность выражена соотношением стоимости системы защиты информации к разности риска для незащищенной сети и риска для защищенной сети:где ЭФСЗИ – эффективность системы защиты информации в денежных единицах,RHC - риск для незащищенной сети,RЗ – риск для защищенной сети,SСЗИ – стоимость системы защиты информации.При этом каждая из этих компонент предполагает выявление потерь, связанных с возникновением этой угрозы и их уменьшение.Этот подход является общеметодическим и не имеет механизма расчета, что говорит о невозможности его применения в таком виде в любой сфере деятельности предприятия.Выполненный анализ показывает что эти подходы не в полной мере отражают сущность эффекта от функционирования комплексной системы защиты информации и не учитывают особенностей организации технологического процесса и продукции телекоммуникационного оператора, которые состоят в неотделимости процесса потребления от процесса производства, что требует разветвленной единой телекоммуникационной сети, которая позволяет установить связь в масштабах всей страны или определенной территории и в нематериальной форме производимого продукта.Поэтому эти методы только частично пригодны для использования в телекоммуникационной сфере. Анализ показывает, что из метода в [13] можно взять вероятность наступления события, при этом частота возникновения потенциальной угрозы может быть взята из статистических данных на предприятии, для которого производится расчет, или же на подобных предприятиях либо подобных технологических системах. , метод представленный в [13] не учитывает всех возможных убытков при удачной реализации атаки, такие как потеря собственно имиджа, убытки владельца информации, убытки пользователей сети и требует доработки с учетом технологических особенностей телекоммуникационного предприятия.При этом каждый из перечисленных методов подразумевает расчет потерь при удачной реализации атаки, но ни в одном из них он не приведен. Именно эта проблема возникает при применении существующих подходов оценки экономической эффективности комплексных систем защиты информации. Поэтому при расчете эффективности функционирования комплексных систем защиты информации мы предлагаем учитывать особенности организации производственного процесса на телекоммуникационном предприятии, что позволит частично использовать перечисленные выше методы с их дальнейшей доработкой и приведет к возможности адекватной оценки эффективности систем комплексной защиты информации.Рынок информационных технологий в настоящее время переживает период динамичного развития, согласно оценкам экспертов рост рынка информационных технологий превышает 10% ежегодно. При этом сегмент информационной безопасности (ИБ) переживает еще больший рост, оцениваемый в 20-25% ежегодно. Причины такого роста определяются в основном следующими причинами: ростом вниманием менеджмента предприятий к решению задач реализации защиты информации и недостаточностью уровня ИБ в существующих автоматизированных системах предприятий. Руководители служб автоматизации, системные администраторы, руководители подразделений по информационной безопасности должны предъявлять понятные для руководства доводы для обоснования вложений в систему ИБ, т.е., по сути, представлять необходимые обоснования стоимости системы по защите информации.В рамках данной дипломной работы будет рассмотрена одна из наиболее известных методик оценки экономической эффективности вложений в систему ИБ, к которой относится технология совокупной стоимости владения (ССВ), разработанная компанией «Gartner Group» применительно к системе ИБ с учетом особенностей применения данной методологии в условиях Российской Федерации. Данная методика используется в случаях, когда можно применять первый подход к обоснованию финансирования технологий ИБ.Обоснование финансирования ИБ предполагает использование двух основных подходов.Первый подход, предполагает освоение, а затем и практическое применение необходимого инструментария для измерения уровня защищенности системы. Для этого, как правило, привлекаются руководители компаний (или ее собственники) для проведения оценки стоимости информационных ресурсов, определения оценки возможного ущерба от нарушений технологий защиты информации. Результаты данных оценок определяют дальнейшую деятельность руководства в области ИБ. Если стоимость обрабатываемой информации минимальна, отсутствуют существенные угрозы для информационных активов предприятия, а возможный ущерб ничтожен, то проблема обеспечения ИБ для предприятия неактуальна. Если информация имеет определенную стоимость, определены виды угроз и степень возможного ущерба, тогда актуальность приобретают вопросы внесения в бюджет статьи расходов на обеспечение ИБ. В данном случае необходимо иметь поддержку руководства предприятия для осознания проблем ИБ и построения системы защиты информации.Другой подход предполагает необходимость поиска варианта проектирования системы ИБ по разумной. Обоснованием вложений служит вероятностная оценка потери информации. Стоимость бюджета на обеспечении е ИБ в данном случае равна произведению данной вероятности и значения стоимости информационного ресурса.Указанная методология может быть применяться для обоснования вложений в существующие системы защиты информации. Данная система позволяет руководству служб по обеспечению информационной безопасности проводить обоснование финансовых вложений на ИБ, а также проводить доказательства эффективности работы сотрудников подразделение по ИБ. В силу того, что оценка экономической эффективности корпоративных систем ИСБ в данном случае становится "измеряемой", появляются возможности для оперативного решения задач по обеспечению контроля и корректировки параметров экономической эффективности и, в частности, параметра ССВ. Таким образом, параметр ССВ можно применять в качестве инструмента для повышения эффективности расходования средств на получение требуемой степени защищенности ИС и обоснование затрат на ИБ. При этом в организациях данные работы могут выполняться своими силами, либо с привлечением специализированных фирм в области защиты информации или совместно представителями предприятия и интегратораДля оценивания эффективности системы мониторинга информационной безопасности (СМИБ) необходимо проводить измерение показателей качества. Цель проводимых измерений заключается в получении оценки эффективности реализованных мер и средств контроля и управления и получения оценки эффективности реализованной системы.Рисунок 9 - Модель измерений проводимых в структуре СМИБПри формировании программы измерений проводится учёт масштабов и сложности СМИБ, а также то, что сами измерения, в дальнейшем, могут быть встроены в типовые процессы работы информационной системы или будут работать через постоянные промежутки времени, определенные администраторами СМИБ.Для исполнения программы проводится реализации модели измерений, для которой проводится разработка и ввод конструктивных элементов измерений для получения значений, которые могут быть воспроизводимыми, объективными и пригодными (рисунок 10). Модель измерений включает структуры, связывающие информационные потребности с соответствующими измеряемыми и их атрибутами. К объектам измерений также относится перечень планируемых и реализованных процессов, процедур, проектов и ресурсов СМИБ. С помощью модели измерений возможно проведение описания количественных оценок параметров атрибутов и порядка их преобразования в параметры, являющиеся основой при принятии решений.Рисунок 10 - Виды деятельности СМИБ, связанные с измерениями ("входы- выходы"), в цикле «Планирование – Внедрение - Проверка-Действие». Методология измерений также может применять объекты измерений и атрибуты, полученные из разнообразных источников, например по результатам анализа рисков и оценки рисков, данных тестирований, полученных, например, в результате проведения тестирований на возможность проникновения, использования социальной инженерии, инструментальных средств обеспечения соответствия, а также инструментальных средств аудита безопасности. Далее, на основании полученного перечня измерений можно получить производную меру измерений, иногда являющуюся нескольких основных показателей измерений (рисунок 11).Рисунок 11 - Получение производной меры измерений от основной меры через функцию измеренийВ других случаях основная мера измерения представляется в виде входной информации для нескольких производных мер измерений. Шкалы и единицы измерения производных мер измерения определяются шкалами и единицами измерения, основными мерами измерения, на основе которых было проведено их получение, а также порядка их комбинирования с помощью функции измерения. С помощью функции измерения (F) с использованием вычисления (F.2), комбинируются основные меры измерения в целях получения производных мер измерения (D.2). Функции измерения могут использовать перечень разнообразных методов, таких как вычисление средних значений основных мер измерений, использование весовых коэффициентов применительно к основным мерам измерений или присвоение основным мерам измерений качественных значений. Функция измерения может объединять основные меры измерений, используя разные значения шкалы, например, процентные соотношения и результаты качественных оценок. Таким образом, с помощью измерений возможно получение качественных показателей , которые является мерами, дающими качественные или количественные оценки определенных атрибутов, полученных на основе используемых аналитических моделей в отношении определенных информационных потребностей (рисунок 12).Формирование результатов измерений СМИБ производится через интерпретацию испоьзуемых показателей (I) на основе определенных критериев принятия решений (DC) и рассматриваются в контексте общих целей измерения эффективности СМИБ. На основании DC определяется необходимость завершения измерений либо продолжения дальнейшего исследования для повышения достоверности результатов измерения. Критерии принятия решений применяются, например, для проведения анализа трендов на основе показателей, полученных в разные моменты времени, для пороговой обработки полученных результатов. Целевые значения критериев задают детализированные требования результативности, применимые к организации или ее частям, выведенные из целей информационной безопасности.Регулярные измерения показателей качества СМИБ, дают временной срез состояния системы, который будет оцениваться относительно предыдущих результатов измерений. Однако, эта информация жестко привязана к времени измерения и по совокупности полученных показателей невозможно определить насколько изменилась эффективность СМИБ между периодами проверок.Рисунок 12 - Использование аналитической модели для получения показателей качестваПроблема существующих технологий расчета показателей заключается в том, что при оценке значений атрибутов объектов измерения все атрибуты, кроме одного, остаются постоянными, производится их «заморозка», измерение производится последовательно в рассматриваемых пределах лишь по одному атрибуту, без учета наличия стохастических неопределенностей.При построении функции отклика, описывающей показатели эффективности СМИБ, разработан научно-методический аппарат теории планирования экспериментов. В литературе, посвященной теории планирования экспериментов, встречаются описания А-, Е-, G- и D-оптимальных планов, которые удовлетворяют различным критериям. При достаточно большом числе учитываемых факторов (атрибутов) с целью уменьшения числа измерений прибегают к построению планов второго порядка, близких к D-оптимальным планам.D-оптимальный план обеспечивает одинаковую точность оценок параметров на равных удалениях во всех направлениях от центральной точки измерения. Если ковариационная матрица оценок параметров имеет вид сI, где с— постоянная, а I — единичная матрица, то утверждается, что критерии оптимальности в смысле D, E, А совпадают. План, удовлетворяющий этим критериям ортогональный и ротатабельный.В ортогональных факторных планах каждый фактор варьируют симметрично относительно начала координат на двух уровнях. В выбранной области проведения измерений устанавливается основной уровень хi0 и определяется интервал варьирования. Основной уровень может соответствовать номинальным значениям параметров, либо выбираться в центре области их изменения, подлежащей проверке. Интервал варьирования устанавливается симметрично относительно основного уровня и устанавливается по формуле где – верхнее и нижние натуральные значения фактора. Свойство ортогональности обеспечивает значительные упрощения последующих вычислений. Подобные ортогональные факторные планы обладают рядом отличительных свойств. При выполнении условий и свойств составления плана коэффициенты уравнения регрессии b получаются с минимальными и равными ошибками. Допустим, что в ходе измерений необходимо получить показатель эффективности СМИБ, учитывая взаимодействие двух (k=2) мер и средств управления и контроля – «Контроль доступа в запрещенную зону» и «Управление съемными носителями информации» (п.А.10.7.1 приложения А ГОСТ ИСО/МЭК 27001). Для случая двух факторов могут применяться следующие полиномы для функции отклика. Они будут различаться по максимальным степеням входящих в них переменных.В настоящее время в ряде программных систем реализованы возможности расчета параметров защищенности системы и автоматизации аудита информационной безопасности. В рамках данной работы проведено рассмотрение функционала одного из программных продуктов, в котором реализованы возможности аудита системы.2.2 Расчёт показателей экономической эффективности проектаВ данной части работы проведена оценка экономического эффекта от внедрения мер по защите информации на примере типовой информационной системы.В рамках проведения расчетов был выбран подход оценки экономической эффективности через использование риска, где эффективность выражена соотношением стоимости системы защиты информации к разности риска для незащищенной сети и риска для защищенной сети.В расчете параметров защищенности проведен учет как организационных, так и технических мер по защите информации.В рамках данной работы для оценки параметров защищенности системы использовались параметры расчетных коэффициентов, представленные в таблице 6.Таблица 6 -Значения параметров Si и ViОжидаемая (возможная)частота появления угрозыВероятное значение SiУгроза исключена0Однократно в 1000 лет1Однократно в 100 лет2Однократно в 10 лет3Однократно в год4Однократно в месяц (примерно, 10 раз в год)5Еженедельно6Чаще 1 раза в день7Оценка вероятного ущербапри возникновении угрозы, руб.Вероятное значение Vi60060016 000260 0003600 00046 000 000560 000 0006600 000 0007Далее проведем расчет оценки вероятного ущерба.Таблица 7 – Оценка возможных потерь (рисков) при нарушении функциональности информационных ресурсов организацииАктивУгрозаВеличина потерь(руб.