Экономическое обоснование управленческих решений по внедрению системы обеспечения информационной безопасности

Актуальность исследования обусловлена наличием следующих факторов: ростом угроз информационной безопасности, принятием ряда нормативных документов и стандартов защиты информации на федеральном уровне и необходимостью приведения в соответствие системы информационной безопасности на предприятиях требованиям указанных документов.
Вместе с тем, большинство предприятий зачастую сталкиваются с проблемами, связанными с затруднениями в определении требований к архитектуре информационной безопасности и определением модели угроз. В таком случае необходимо провести аудит информационной безопасности силами специалистов предприятия или сторонней организации, специализирующейся в области технологий информационной безопасности.
Для получения достоверной информации о состоянии информационной безопасности на предприятии необходимо проводить постоянный мониторинг и анализ системы, в рамках которого производится оценивание состояния системы с использованием различных методов. Усложнение систем менеджмента информационной безопасности приводит к необходимости совершенствования научно-методического аппарата оценивания данных систем. Эффективность мероприятий, связанных со сбором и обработкой информации о системе будет определяться качеством оценок параметров защиты информации к затраченным ресурсам на проведение измерений. Организация проведения измерений, как показывает практика, оказывает существенное влияние на качество оценивания показателей состояния системы. Однако, в большинстве случаев, ресурс, выделяемый для мониторинга и анализа состояния системы информационной безопасности, распределяется на основе имеющегося опыта персонала службы защиты информации, руководств и нормативно – правовых документов ГОСТ с применением общеизвестных методов планирования. В ходе планирования зачастую не учитываются результаты проведенных измерений, полученные на предыдущих этапах проверок.
Цель работы: оценка необходимости внедрения системы информационной безопасности в деятельность предприятий.
Задачи работы:
1. Проведение анализа актуальности внедрения систем информационной безопасности;
2. Проведение анализа проблем информационной безопасности;
3. Оценка вероятности потерь вследствие нарушения требований информационной безопасности;
4. Анализ показателей, определяющих стоимость проекта информационной безопасности;
5. Проведение моделирования системы информационной безопасности методом экспертных оценок;
6. Построение модели аудита системы информационной безопасности.
7. Оценка полученных результатов.
В рамках работы над проектом был проведен анализ экономической составляющей защиты информации. Показано, что проектирование архитектуры защиты информации должно начинаться с оценки стоимости информационных активов, на основании которой проводится выбор проектных решений в области информационной безопасности.
Методы исследования анализ состояния системы информационной безопасности, включенное наблюдение, синтез стандартов в области технологий информационной безопасности, методы сравнения, эксперимента.
Результатами исследования в рамках данного проекта являются: аудит текущего состояния системы защиты информации в типовой организации согласно предложенной методике, рекомендации по совершенствованию системы информационной безопасности на предприятии.
Элементом научной новизны является разработанная методика проведения аудита информационной безопасности с определением узких мест системы и определения задач по модернизации архитектуры защиты информации.

Введение 6
1.Проблемы информационной безопасности современных компаний. Построение комплексной системы защиты информации. 9
1.1 Информационная безопасность компании. Основные понятия 9
1.2 Принципы, цели и задачи комплексной системы защиты информации 13
1.3 Разработка и построение комплексной системы защиты информации 15
2. Обоснование экономической эффективности построения комплексной системы защиты информации 25
2.1. Выбор методики расчёта экономической эффективности 25
2.2 Расчёт показателей экономической эффективности проекта 38
2.3 Внедрение, ввод в действие и обеспечение продуктивного функционирования в ходе эксплуатации КСЗИ 44
Заключение 55
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 59

Основной целью данной работы являлся расчет экономической эффективности в рамках принятия управленческих решений при проектировании системы информационной безопасности.
Все поставленные задачи в рамках данной работы были выполнены.
В данной работе проведен анализ технологии расчета экономической эффективности мер по защите информации на примере анализа типовой информационной системы, на основании полученных результатов даны рекомендации по совершенствованию системы защиты информации.
Рассмотрены теоретические основы проведения аудита информационной безопасности. Определен перечень угроз информационной безопасности в типовой технологии, проведена оценка модели нарушителя. Далее проведено рассмотрение теоретических аспектов и математических моделей проведения аудита системы информационной безопасности. Показано, что проведение аудита системы информационной безопасности позволит выявить узкие места в системе защиты информации и дать рекомендации по их устранению.
В практический части работы с использованием метода экспертных оценок проведен выбор оптимальной системы для аудита информационной безопасности. Далее определен перечень основных позиций, подлежащих аудиту информационной безопасности. Для каждой из позиций проведена оценка текущего состояния системы защиты информации и даны рекомендации по ее совершенствованию.
На примере системы антивирусной защиты проведены расчеты эффективности данного сегмента информационной безопасности.
В соответствии с требованиями, предъявляемыми законодательством к данному классу информационных систем необходимо проведения ряда организационных мер по защите персональных данных. Необходимо наличие документационного обеспечения согласно перечню, утвержденному действующим законодательством. Согласно данным требованиям проведен анализ имеющегося документационного обеспечения, а также организационных и технологических мер по защите персональных данных. Показано, что документационное и программно-техническое обеспечение работы с персональными данными соответствует требованиям действующего законодательства. Показано, что типовая информационная система не имеет целостного подхода к защите информационных ресурсов – политики защиты информации на каждом информационном ресурсе уникальны, что увеличивает трудозатраты специалистов на выполнение требований защиты информации, снижая общую защищенность системы.
Проведенные в рамках исследования путем обобщения и развития научно-методического аппарата обеспечения качества оценивания характеристик ПСЗИ в процессе мониторинга и анализа деятельности системы выполнены в рамках решения общей проблемы совершенствования методов оценки ПСЗИ на различных этапах жизнедеятельности.
Исследования показали, что повышение и обеспечение точности и достоверности оценивания ПСЗИ достигается за счет комплексного подхода к задаче оценивания характеристик ПСЗИ.
В диссертации уделено внимание как научной, так и практической направленности с доведением большинства рассматриваемых вопросов до готовых к применению методик. При проведении исследований получены следующие теоретические и практические результаты:
Разработан научно-методический аппарат оптимального распределения ресурсов измерений для повышения качества оценивания ПСЗИ, основанный на впервые применяемом для задач такого класса, математическом аппарате динамического программирования, ранее не применявшийся при анализе ПСЗИ.
Предложенная методика оптимизации планирования измерений атрибутов ПСЗИ позволяет снизить на 10-15% затраты ресурса на проведение измерений, либо повысить качество оценок показателей ПСЗИ.
В ходе выполнения работы обоснованы пути решения задачи повышения качества оценивания ПСЗИ разработан комплексный подход, заключающийся в получении интегрального количественного показателя эффективности ПСЗИ, использовании методологического аппарата расчета интегрированного показателя с применением положений теории планирования эксперимента, получения аналитических моделей процессов функционирования ПСЗИ, на основе регрессионного анализа, применении методики планирования измерений атрибутов ПСЗИ,
Дальнейшие исследования по вопросам решаемой в работе задачи целесообразно проводить в следующих направлениях.
1. Совершенствование и обоснование номенклатуры определяемых характеристик ПСЗИ при формировании системы исходных данных для решения, поставленной в работе научной задачи на примере ИС типовой организации.
2. Повышение качества оценок характеристик ПСЗИ путём обоснования требований к измерительным средствам и комплексам, применяемым при проведении мониторинга и анализа ПСЗИ.
3. Углубленная разработка процедур объединения неоднородных данных о свойствах исследуемой ПСЗИ.
4. Расширение возможностей теоретико-экспериментального метода оценивания характеристик ИБ объектов в различных информационных ситуациях.

1. Tardaskina T. M. Orhanizatsiyno-ekonomichni skladovi informatsiynoyi bezpeky telekomunikatsiynykh merezh zahal'noho korystuvannya: avtoref. dys. na zdobuttya nauk stupenya ek. nauk: spets. 08.00.04. ekonomika ta upravlinnya pidpryyemstvamy (za vydamy ekonomichnoyi diyal'nosti) / T.M. Tardaskina - Odesa, 2008. - 24s. 101
2. Hranaturov V.M. Metodychnyy pidkhid do otsinky vytrat na zabezpechennya informatsiynoyi bezpeky telekomunikatsiy / V.M. Hranaturov, L. V. Mykhaylova // Visnyk Khmel'nyts'koho natsional'noho universytetu. - 2014. - №5, T. 1. - S. 235-239.
3. Larina I.E. Ekonomika zashchity informatsii: ucheb. posob. /I.E. Larina. - M.: MHIU, 2007. - 92s.
4. Holikov Yu. A. Ekonomicheskaya ffektivnost' sistemy zashchity informatsii : ucheb. posob. / Yu. A. Holikov, L. Yu. Sul'hina. -N: S•HHA, 2012. - 41 s..
5. Infotecs. Защита для бизнеса. [Электронный ресурс]. – Режим доступа: http://www.infotecs.ru/products/,свободный. Яз.рус. (дата обращения 01.03.2016)
6. Kaspersky Endpoint Security. Антивирус Касперского для бизнеса. [Электронный ресурс]. – Режим доступа: http://www.kaspersky.ru/protect-my-business/, свободный. Яз.рус. (дата обращения 01.03.2017)
7. SecretDisk4. Шифрование данных. [Электронный ресурс]. Режим доступа: http://www.aladdin-rd.ru/catalog/secret_disk/personal/,свободный. Яз.рус. (дата обращения 01.03.2016)
8. Абдикеев Н.М. Информационный менеджмент.- М. : ИНФРА-М¸ 201. – 658с.
9. Аксенов В.В. Аудит системы менеджмента информационной безопасности. Руководство. 2012 г. [Электронный ресурс]. – Режим доступа: http://itsec.by/, свободный. Яз. рус. (дата обращения: 09.09.2013).
10. Алешенков М. Основы национальной безопасности/М.Алешенков /Основы безопасности жизни.-2015.-№11.-С.5-10.
11. Андреев Э. М., Миронов А.В. Социальные проблемы интеллекту-альной уязвимости и информационной безопасности //Социально-гуманитарныезнания.-2011.-№4.-С.169-180.
12. Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А. Обеспечение информационной безопасности бизнеса. – М.: Альпина Паблишерз, 2011. – 338с.
13. Астахов А.М. Искусство управления информационными рисками. – М.: ДМК Пресс, 2010. – 314 с.
14. Аудит информационных систем. Регола-мониторинг. [Электронный ресурс]. URL: http://spb.systematic.ru/about/news/regola-monitoring.htm(дата обращения: 10.12.2015)
15. Брандман Э. М. Глобализация и информационная безопасность общества/Э.М.Брандман //Философия и общество.-2011.-№1.-С.31-41.
16. Брандман Э. М. Цивилизационные императивы и приоритеты информационной безопасности общества/Э.М.Брандман //Философия и общество.-2011.-№3.-С.60-77..-Предпринимательство, с.131-144.
17. Гафнер В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. - Рн/Д: Феникс, 2011. - 324 c.
18. Гашков С.Б., Применко Э.А., Черепнев М.А. Криптографические методы защиты информации. – М.: Академия, 2011. – 304 с.
19. Герасименко В.А., Малюк А.А. Основы защиты информации. - М.: МИФИ, 2012. – 410c.
20. ГрибунинВ.Г.. Комплексная система защиты информации на предприятии. – М.: Академия, 2011. – 416 с.
21. Гришина Н.В. Комплексная система защиты информации на предприятии. – М.: Форум, 2011. – 240 с.
22. Громов Ю.Ю. Информационная безопасность и защита информации: Учебное пособие. - Ст. Оскол: ТНТ, 2011. - 384 c.
23. Доктрина информационной безопасности //Средства массовой информации постсоветской России: Учеб. пособие /Я.Н. Засурский, Е. Л. Вартанова, И.И. Засурский.-М., 2002.-С.262-301.
24. Ефимова Л.Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография. - М.: ЮНИТИ-ДАНА, 2013. - 239 c.