Анализ существующих методов оценки эффективности мер по защите информации
Исследование проблемы необходимости защиты информации от внешнего воздействия и действий инсайдеров. Анализ защищенности передаваемых данных по телекоммуникационным сетям. Результативность информационного предохранения, используемого в разных сферах.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 28.03.2017 |
Размер файла | 59,0 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
АНАЛИЗ СУЩЕСТВУЮЩИХ МЕТОДОВ ОЦЕНКИ ЭФФЕКТИВНОСТИ МЕР ПО ЗАЩИТЕ ИНФОРМАЦИИ
Михайлова Любовь
Постановка задачи. На современном этапе развития общества, информация является одним из ценных ресурсов в предпринимательской деятельности, а в большинстве случаев является и производственным ресурсом, от безопасности и целостности которого зависят важные технологические, экономические, организационные и другие процессы, сопутствующие функционированию предприятия. С развитием информационных технологий и ростом значимости технических средств связи информация подвергается все большему количеству угроз, которые при условии их реализации приводят к материальному ущербу, потере репутации, и как следствие к снижению уровня конкурентоспособности предприятия. В этих условиях эффективность работы предприятия в значительной степени зависит от возможности системы защиты информации предотвратить реализацию угроз. Это особенно актуально для телекоммуникационных операторов, что в значительной степени связанно с особенностями организации технологического процесса и спецификой предоставляемых ими услуг.
Однако, внедрение и обслуживание таких комплексных систем защиты информации требуют значительных средств. Как показывают исследования, в крупных организациях затраты средств на защиту информации достигают 20-30% всего бюджета компании на информационные технологии [1]. В этих условиях актуальной является проблема анализа эффективности и целесообразности вложения средств в реализацию проектов, направленных на обеспечение информационной безопасности. Проблеме их экономической эффективности, по нашему мнению, уделяется недостаточное внимание. Как следствие, многие методологические, методические и практические аспекты проблемы оценки экономической эффективности систем защиты информации до настоящего времени в полной мере не изучены и остаются дискуссионными.
Анализ последних исследований и публикаций. Как показывает анализ, в большинстве работ, посвященных экономическому аспекту проблемы, методы оценки экономической эффективности рассматриваются в контексте функционирования информационных систем на предприятии [2-5]. В этих работах, как правило, анализируются различные существующие общеметодические подходы к оценке эффективности таких систем, как инвестиционным проектам внедрения информационных технологий. При этом вопросы информационной безопасности рассматриваются фрагментарно. Следует отметить, что существующие работы, посвященные непосредственно проблеме экономической эффективности мер по защите информации [6-11] не дают ответа на многие теоретические и практические вопросы. Например, такие как: что является эффектом от функционирования комплексной системы защиты информации; как происходит расчет затрат; каким образом достигается соотношение экономической и технической эффективности. Это свидетельствует о необходимости совершенствования методов оценки экономической эффективности систем защиты информации вообще, и телекоммуникационных предприятий, в частности.
Формирование целей статьи. Целью статьи является анализ существующих методов оценки эффективности систем защиты информации и возможности их применения в телекоммуникационной сфере, с учетом особенностей организации технологического процесса и специфики предоставляемых в этой сфере услуг.
Изложение основного материала исследования. Следует отметить, что в большинстве случаев акцент делается на решении технического аспекта проблемы - создание комплексных систем защиты и оценке их технической эффективности. Так как в таких системах существует две составные части эффективности: техническая и экономическая на ряду с технической эффективностью, которая рассматривается полно, необходимо более полно рассматривать экономическую эффективность комплексных систем защиты информации. Большинство работ, посвященных оценке экономической эффективности, рассматривают не оценку эффективности системы защитыинформации, а оценку эффективности внедрения информационных технологий, что не позволяет применять эти методы для оценки систем защиты информации. Поскольку применение информационных технологий (далее - ИТ) влияет на эффективность производства непосредственно, они влияют на производственном процессе (повышают производительность труда, увеличивают скорость обращения, влияют на принятие управленческих решений и т.д.), а комплексные системы защиты информации участвуют в процессе производства косвенно, создавая условия работы.
Многие работы в области защиты информации рассматривают экономическую эффективность комплексной системы защиты информации как эффективность от внедрения нового ИТ-проекта. Анализ существующей литературы позволил сгруппировать эти методы и представить их в виде схемы на рисунке 1.
Рис. 1. Методы оценки эффективности внедрения ИТ- проекта
Однако, большинство идей заложенных в этих методах могут быть использованы для оценки эффективности комплексной системы защиты информации. При использовании различных вариантов, представленных на рис.1, для расчета эффективности комплексной системы защиты информации возникает ряд сложностей. Так например, финансовые методы оперируют информацией притока и оттока денежных средств на предприятии, что не является показателем эффективности системы защиты. Вероятностные и качественные методы требуют уточнения и совершенствования, поскольку существующие подходы не могут дать количественную оценку эффективности работы системы защиты. Поэтому применение подхода оценки эффективности комплексной системы защиты информации в качестве оценки эффективности самостоятельного ИТ-проекта не отражает эффект от работы комплексной системы защиты информации на предприятии.
Другой подход к оценке экономической эффективности комплексных систем защиты информации состоит в вычислении соотношения эффекта и затрат, также связан с рядом вычислительных и методических сложностей. Проблема состоит в том, что нет единого подхода для расчета затрат, а также отсутствует единое мнение специалистов по вопросу что будет являться эффектом от функционирования комплексной системы защиты информации и как он рассчитывается.
Решение проблемы расчета затрат на проектирование и функционирование комплексной системы защиты информации в телекоммуникационной сфере было предложено нами в [12]. Поэтому в дальнейшем рассмотрим расчет эффекта.
Проблему расчета эффекта от функционирования комплексной системы защиты информации часто предлагают решать принимая за эффект сумму предотвращенного ущерба. Такой подход рассматривают [11] и [13]. Однако варианты предложенных методов имеют значительные отличия.
В [13] предлагает рассчитывать общую сумму предотвращенного ущерба как суму слагаемых: стоимость потерь от снижения производительности, стоимость восстановления работоспособности автоматизированного узла или сегмента (стоимость замены оборудования и запасных частей, переустановка системы и стоимость повторного ввода информации) и упущенную выгоду от простоя атакованного узла или сегмента.
Данный подход может быть успешно применим для использования при расчете ущерба телекоммуникационного оператора от реализации атаки. Однако, поскольку телекоммуникационный оператор имеет большое количество программных и аппаратных средств, то при применении данного метода необходимо учитывать все взаимосвязи между функционирующим оборудованием и программным обеспечением, так как при осуществлении атаки даже на незначительную составляющую телекоммуникационной сети может вывести из строя всю сеть. Поэтому этот вариант расчета проще осуществить для совершенной атаки и принесенного ущерба после осуществленной атаки, так как сложно предугадать на какое количество оборудования повлияет осуществление атаки, а также не учитывается вероятность ее осуществления.
В [11] показатель ожидаемых потерь рассчитывается с учетом вероятности возникновения потенциальной угрозы:
где - показатель ожидаемых расходов,
- частота возникновения потенциальной угрозы за рассматриваемый период времени,Размещено на http://www.allbest.ru/
- величина потерь.Размещено на http://www.allbest.ru/
Основным недостатком данного подхода является расчет частоты возникновения угрозы. Это происходит в связи с тем, что статистика вероятности появления угроз и реализованных атак на комплексную систему защиты информации накапливается на предприятии с уже функционирующей системой защиты. Таким образом расчет затрудняется если его производить для проектируемой комплексной системы защиты информации.
Одним из походов является оценка экономической эффективности через использование риска [14], где эффективность выражена соотношением стоимости системы защиты информации к разности риска для незащищенной сети и риска для защищенной сети:
где ЭФСЗИ - эффективность системы защиты информации в денежных единицах, информация инсайдер телекоммуникационный сеть
При этом каждая из этих компонент предполагает выявление потерь, связанных с возникновением этой угрозы и их уменьшение. Этот подход является общеметодическим и не имеет механизма расчета, что говорит о невозможности его применения в таком виде в
любой сфере деятельности предприятия.
Выполненный анализ показывает что эти подходы не в полной мере отражают сущность эффекта от функционирования комплексной системы защиты информации и не учитывают особенностей организации технологического процесса и продукции телекоммуникационного оператора, которые состоят в неотделимости процесса потребления от процесса производства, что требует разветвленной единой телекоммуникационной сети, которая позволяет установить связь в масштабах всей страны или определенной территории и в нематериальной форме производимого продукта.
Поэтому эти методы только частично пригодны для использования в телекоммуникационной сфере. Анализ показывает, что из метода в [13] можно взять вероятность наступления события, при этом частота возникновения потенциальной угрозы может быть взята из статистических данных на предприятии, для которого производится расчет, или же на подобных предприятиях либо подобных технологических системах. , метод представленный в [13] не учитывает всех возможных убытков при удачной реализации атаки, такие как потеря собственно имиджа, убытки владельца информации, убытки пользователей сети и требует доработки с учетом технологических особенностей телекоммуникационного предприятия.
При этом каждый из перечисленных методов подразумевает расчет потерь при удачной реализации атаки, но ни в одном из них он не приведен. Именно эта проблема возникает при применении существующих подходов оценки экономической эффективности комплексных систем защиты информации. Поэтому при расчете эффективности функционирования комплексных систем защиты информации мы предлагаем учитывать особенности организации производственного процесса на телекоммуникационном предприятии, что позволит частично использовать перечисленные выше методы с их дальнейшей доработкой и приведет к возможности адекватной оценки эффективности систем комплексной защиты информации.
Выводы и перспективы дальнейших исследований
Проведенный анализ методов оценки эффективности мер по защите информации позволяет сделать вывод, что не существует единого подхода к оценке экономической эффективности комплексной системы защиты информации. А также, что ни один из рассмотренных подходов в полной мере не подходит для оценки систем защиты информации в телекоммуникационной сфере. Поэтому мы предлагаем использовать отдельные элементы проанализированных подходов для формирование оптимального метода оценки эффективности комплексных систем защиты информации для телекоммуникационных предприятий.
В дальнейших исследованиях планируется проведение исследований вариантов расчета ущерба от реализации угроз и ценности информации.
Литература
1. Ажмухамедов И. М. Оценка экономической эффективности мер по обеспечению информационной безопасности / И. М. Ажмухамедов, Т. Б. Ханжина // Вестник Астраханского государственного технического университета. Серия: Экономика. - 2011. - №1. - С. 185-190.
2. Петров В. Ю. Тенденции развития: тренд "Экономика защиты информации" / В. Ю. Петров // Современные проблемы науки и образования. - 2014.
3. Петров В. Ю. Краткий курс основ экономики защиты информации : учеб. пособ. / В. Ю. Петров, С. Б. Смирнов. - СПб. : СПбГУ ИТМО, 2012. - 118 с.
4. Синяк А. А. Анализ методов оценки эффективности затрат в информационную безопасность / А. А. Синяк, Н.Е. Губенко, // Информационные управляющие системы и компьютерный мониторинг (ИУС и КМ 2012). - С. 444-446.
5. Столяров Н В. Определение экономической эффективности защиты информации / Н.В. Столяров // Безопасность для всех. - 2010. - №5.
6. Тардаскіна Т. М. Організаційно-економічні складові інформаційної безпеки телекомунікаційних мереж загального користування: автореф. дис. на здобуття наук ступеня ек. наук: спец. 08.00.04. економіка та управління підприємствами (за видами економічної діяльності) / Т.М. Тардаскіна - Одеса, 2008. - 24с.
7. Гранатуров В.М. Методичний підхід до оцінки витрат на забезпечення інформаційної безпеки телекомунікацій / В.М. Гранатуров, Л. В. Михайлова // Вісник Хмельницького національного університету. - 2014. - №5, Т. 1. - С. 235-239.
8. Ларина И.Е. Экономика защиты информации: учеб. пособ. / И.Е. Ларина. - М.: МГИУ, 2007. - 92с.
Аннотация
АНАЛИЗ СУЩЕСТВУЮЩИХ МЕТОДОВ ОЦЕНКИ ЭФФЕКТИВНОСТИ МЕР ПО ЗАЩИТЕ ИНФОРМАЦИИ - Михайлова Любовь
Стремительное развитие информационных технологий влечет за собой ряд проблем, одной из которых является защита информации. Проблема необходимости защиты информации от внешнего воздействия и действий инсайдеров особенно остро стоит в телекоммуникационной сфере. Над проблемой защищенности передаваемой информации по телекоммуникационным сетям работает большое количество специалистов в различных странах мира. Однако увлечение отдельными решениями в области защиты информации заслоняет еще одну фундаментальную проблему, а именно проблему оценки эффективности комплексной системы защиты Информации. Поэтому целью статьи является анализ существующих методов оценки эффективности систем защиты информации используемых в разных сферах и возможности их применения в телекоммуникационной сфере. В работе проанализированы существующие подходы к оценке эффективности комплексных систем защиты информации.
Ключевые слова: эффект, информационная безопасность, комплексная система защиты информации, затраты, телекоммуникации, риск.
АНАЛІЗ ІСНУЮЧИХ МЕТОДІВ ОЦІНКИ ЕФЕКТИВНОСТІ ЗАХОДІВ ЩОДО ЗАХИСТУ ІНФОРМАЦІЇ - Михайлова Любов
Стрімкий розвиток інформаційних технологій тягне за собою низку проблем, однією з яких є захист інформації. Проблема необхідності захисту інформації від зовнішнього впливу і дій інсайдерів особливо гостро стоїть в телекомунікаційній сфері. Над проблемою захищеності інформації, яка передається по телекомунікаційних мережах працює велика кількість фахівців у різних країнах світу. Проте захоплення окремими рішеннями в галузі захисту інформації заслоняє ще одну фундаментальну проблему, а саме проблему оцінки ефективності комплексної системи захисту інформації. Тому метою статті є аналіз існуючих методів оцінки ефективності систем захисту інформації які використовуються в різних сферах і можливості їх застосування в телекомунікаційній сфері. У роботі проаналізовано існуючі підходи до оцінки ефективності комплексних систем захисту інформації. Показані їх переваги і недоліки. Розглянуто окремі елементи даних підходів, які можуть бути використані для оцінки ефективності комплексних систем захисту інформації в телекомунікаційній сфері.
Ключові слова: ефект, інформаційна безпека, комплексна система захисту інформації, витрати, телекомунікації, ризик.
THE ANALYSIS OF EXISTING METHODOLOGY FOR ASSESSING EFFECTIVENESS OF INFORMATION PROTECTIVE MEASURES - Mykhailova Liubov
The rapid development of information technology involves a number of problems, one of which is information protection. The problem of necessary information protection from external influence and actions of insiders is particularly acute in the telecommunications sector. A large number of specialists worldwide work on the problem of security of information that is transmitted via telecommunications networks. However, the concentration on the individual solutions in the aspect of information security suppresses another essential issue, the problem of assessing effectiveness of the complex system of information protection. Therefore, the aim of the article is the analysis of existing methods of assessing the effectiveness of information protection systems applied in different spheres and their function in the telecommunications sector.The author analyzes the existing methodology for assessing effectiveness of the integrated systems of information protection. There are shown both advantages and disadvantages of each existing approach. The individual elements of theseapproaches that can be used to evaluate the effectiveness of integrated systems of information protection in the telecommunications sector are also discussed.
Keywords: effect, information security, complex system of information protection, cost, telecommunications, risk.
Размещено на Allbest.ru
Подобные документы
Анализ защищенности сетей предприятия на базе АТМ, архитектура объектов защиты в технологии. Модель построения корпоративной системы защиты информации. Методика оценки экономической эффективности использования системы. Методы снижения риска потери данных.
дипломная работа [1,2 M], добавлен 29.06.2012Анализ информации как объекта защиты и изучение требований к защищенности информации. Исследование инженерно-технических мер защиты и разработка системы управления объектом защиты информации. Реализация защиты объекта средствами программы Packet Tracer.
дипломная работа [1,2 M], добавлен 28.04.2012Проблемы защиты информации человеком и обществом. Использование информации. Организация информации. Угроза информации. Вирусы, характеристика и классификация. Проблемы защиты информации в Интернете. Анализ и характеристики способов защиты информации.
реферат [36,5 K], добавлен 17.06.2008Пути несанкционированного доступа, классификация способов и средств защиты информации. Каналы утечки информации. Основные направления защиты информации в СУП. Меры непосредственной защиты ПЭВМ. Анализ защищенности узлов локальной сети "Стройпроект".
дипломная работа [1,4 M], добавлен 05.06.2011Методы защиты речевой информации. Технические средства и системы защиты. Проведение оценки защищенности защищаемого помещения. Установка средств защиты информации, предотвращающих утечку информации по акустическому и виброакустическому каналу связи.
дипломная работа [3,4 M], добавлен 01.08.2015Рассмотрение основных понятий защиты информации в сетях. Изучение видов существующих угроз, некоторых особенностей безопасности компьютерных сетей при реализации программных злоупотреблений. Анализ средств и методов программной защиты информации.
дипломная работа [1,5 M], добавлен 19.06.2015Характеристика понятия и видов угроз информационной безопасности. Классы каналов несанкционированного доступа к конфиденциальной информации. Описание потенциально возможных злоумышленных действий. Методы резервирования данных и маскировки информации.
курсовая работа [45,1 K], добавлен 25.06.2014Проблемы защиты информации в информационных и телекоммуникационных сетях. Изучение угроз информации и способов их воздействия на объекты защиты информации. Концепции информационной безопасности предприятия. Криптографические методы защиты информации.
дипломная работа [255,5 K], добавлен 08.03.2013История возникновения и развития шифрования от древних времен и до наших дней. Анализ современных проблем обеспечения секретности и целостности передаваемых или хранимых данных, наиболее часто используемые криптографические методы защиты информации.
контрольная работа [961,5 K], добавлен 23.04.2013Модель угроз и классификация несанкционированных воздействий. Недостатки существующих и требования к современным средствам защиты. Методика идентификации типа информационного потока. Макет программного комплекса защиты автоматизированных систем.
дипломная работа [1,9 M], добавлен 21.12.2012