Главная Случайная страница


Категории:

ДомЗдоровьеЗоологияИнформатикаИскусствоИскусствоКомпьютерыКулинарияМаркетингМатематикаМедицинаМенеджментОбразованиеПедагогикаПитомцыПрограммированиеПроизводствоПромышленностьПсихологияРазноеРелигияСоциологияСпортСтатистикаТранспортФизикаФилософияФинансыХимияХоббиЭкологияЭкономикаЭлектроника






Методика оценки затрат на ЗИ с использованием весовых коэффициентов

Ввод исходных данных и предварительные вычисления (таблица 1).

 

1. Определяем показатель степени в формуле веса каждой угрозы как отношение величины собственных потерь Dco6i к величине выгод конкурентов Dконi по каждой угрозе.

2. Определяем вес каждой угрозы как показательную функцию вида: вероятность угрозы в степени, равной отношению собственных потерь к выгодам конкурентов по каждой угрозе.

Сущность веса угрозы заключается в следующем: рост потенциальной выгоды конкурента приводит к росту затрат на защиту от данной угрозы в сумме общих затрат на защиту при ее постоянстве.

Определение значимости защиты от каждой угрозы (таблица 2).

3. Определяем сумму собственных потерь Dco6i и выгод конкурентов Dконi, по каждой угрозе и общую сумму по всем угрозам.

4. Определяем относительный вес потерь по каждой угрозе:

Pотнi = (Dcoбi + Dконi) / (сумма Dcoбi + сумма Dконi).

Независимо от числа угроз сумма весов должна быть равна единице.

5. Определяем значимость защиты от каждой угрозы как произведение ее веса (вероятностный аргумент) на относительный вес (денежный вес):

Pзнi = Pвесi * Pотнi

Сущность значимости защиты заключается в том, что ее значение будет давать нам долю отчисления от общей суммы, выделяемую на противодействие каждой угрозе.

Определение величины средств, необходимых и распределяемых на защиту информации от прогнозируемых угроз (таблица 3).

6. Строгих рекомендаций по нормам выделяемой на защиту информации суммы не существует. В разных источниках в качестве финансовых баз, от которых даются относительные величины потерь и отчислений на защиту, приводятся различные балансовые или экономические показатели. Сами коэффициенты потерь и отчислений имеют не нормативный, а констатирующий характер.

Учитывая, что в качестве базы для отчислений на защиту информации принята величина неполученной (потенциальной) прибыли, норму отчисления Dн.от от неполученной прибыли на ЗИ примем равной 0,25, и тогда:

Dн.от = 0,25 сумма Dcoбi .

7. Данная норма отчисления от сберегаемой прибыли предназначена для нейтрализации суммы значимостей всех угроз, следовательно, на предотвращение каждой угрозы должна выделяться часть доли, пропорциональная значимости защиты от этой угрозы:

Dн.от = сумма Pзнi.

Распределение сумм находится как:

Dн.от i = Dн.от * Pзнi / сумма Pзнi.

8. Рассчитываем суммы затрат, необходимые для защиты информации от каждой угрозы.

Итоговый вид указанных таблиц будет примерно следующим:

Задание

Выполнить расчетную работу в соответствии с приведенной выше методикой оценки затрат на ЗИ от различных угроз на основе алгоритма использования весовых коэффициентов.

Расчеты желательно представить как отчет в файле MS Excel. Исходные данные для расчетов возьмите согласно вашему варианту из таблицы ниже:

Параметры Вариант
Р1 0,67 0,53 0,68 0,55 0,63 0,6 0,59 0,57 0,64 0,54
Р2 0,55 0,43 0,54 0,51 0,5 0,54 0,4 0,58 0,52 0,38
РЗ 0,67 0,53 0,68 0,72 0,58 0,56 0,25 0,56 0,59 0,64
Р4 0,55 0,43 0,54 0,25 0,76 0,45 0,55 0,4 0,5 0,6
Р5 0,49 0,56 0,65 0,27 0,39 0,58 0,45 0,65 0,74
Р6 0,57 0,58 0,25 0,56 0,52 0,36 0,62 0,58 0,25 0,61
Dсобi1
Dсобi2
Dсобi3
Dсобi4
Dсобi5
Dсобi6
Dконi1
Dконi2
Dконi3
Dконi4
Dконi5
Dконi6

 

Постановка задачи

Руководством предприятия «ХХХ» за 2008 год проведен анализ угроз информационной безопасности и определены шесть типов комплексных угроз в виде возможных каналов утраты и утечки информации:

1. Физические угрозы, исходящие от персонала и направленные на информационные ресурсы предприятия – I1.

2. Физические угрозы, связанные с отказом оборудования – I2.

3. Локальные программные угрозы, направленные на операционную систему – I3.

4. Удаленные угрозы, направленные на информацию предприятия, обрабатываемую сетевыми службами – I4.

5. Программные угрозы, направленные на каналы связи – I5.

6. Угрозы неумышленных действий персонала, связанных с недостаточной квалификацией – I6.

Руководством предприятия были привлечены эксперты, которые выполнили следующую работу:

1. Провели оценку вероятности реализации каждой угрозы:

− Физические угрозы, исходящие от персонала и направленные на информационные ресурсы предприятия – Р1.

− Физические угрозы, связанные с отказом оборудования – Р2 .

− Локальные программные угрозы, направленные на операционную систему – Р3.

− Удаленные угрозы, направленные на информацию предприятия, обрабатываемую сетевыми службами – Р4.

− Программные угрозы, направленные на каналы связи – Р5.

− Угрозы неумышленных действий персонала, связанных с недостаточной квалификацией – Р6.

Необходимо понимать, что вероятности реализации угроз не отражает величину потерь и не пропорциональны ей. При определении значения вероятности угрозы учитываются возможности конкурентов по ведению деловой разведки.

2. Оценили собственные потери предприятия (в виде неполученной прибыли) Dco6i при реализации каждой угрозы.

3. Оценили выгоды конкурентов (полученную ими прибыль) Dконi, при успешном осуществлении ими действий, ведущих к реализации угрозы.

Требуется определить величину суммы затрат, которая может быть выделена на защиту информации от всех угроз, и ее распределение на мероприятия по защите от каждой угрозы, в зависимости от собственных потерь и приобретений конкурентов при реализации каждой угрозы.

ОТЧЕТ ПО самостоятельной РАБОТЕ

Цель

Познакомиться с методикой оценки затрат на ЗИ с использованием весовых коэффициентов

.

Выполнил

Студент гр. № ______

ФИО ________________________________________________________

Вариант № _________

Отчет

 

1. Постановка задачи и входные данные вашего варианта.

2. Таблицы с результатами расчетов.

3. Анализ результатов решения.

4. Ваши выводы по текущему состоянию ИБ в организации.

5. Ваши рекомендации по улучшению состояния ИБ в организации.

 

 


Варианты организаций

 

1. Компания имеет 5 представительств, все пять в разных странах (.ua, .ru и тд). Имеет 5 представительств в каждом от 50-100 чел. Головная компания 1000 чел в России. Отдел продаж в региональное представительство, административный отдел и отдел обработки данных. Направление деятельности компании - транснациональные грузовые перевозки.

2. Компания имеет одно представительство в России, которое является компанией, купленной годом ранее, занимающееся разработкой ПО. Головная компания до 500 чел. Представительство - до 300 чел. (Разные бренды). 2 домена – 2 бренда

3. Компания имеет головной офис со штатом 300 чел. Занимается продажей сотовых телефонов. По всей России 2000-3000 представительств – магазинах, есть упр. менеджер (локальный отд. продаж) и тарифный отдел и отд. логистики.

4. Компания – 100 чел. Сфера деятельности аутсорсинг, услуги администрирования различных систем на базе Microsoft. Клиенты в большинстве стран мира. Компания обеспечивает полную поддержку инфраструктуры клиента.

5. Компания состоит из 3-х филиалов на территории РФ. ЦО в Липецке. Численность ЦО 100 чел., в филиалах 20 чел. Занимается производством и разработкой средств аутентификации. Производство в филиалах, ЦО выполняет только административные действия.

6. Компания - холдинг с центральным офисом в г. Липецке. Занимается созданием и разработкой интернет сайтов и в неё входит ещё 4 компании, находящиеся в 4 странах мира. В каждой компании до 50 человек.


Заключение

Современные информационные системы сложны и, значит, опасны уже сами по себе, даже без учета активности злоумышленников. Постоянно обнаруживаются новые уязвимые места в программном обеспечении. Приходится принимать во внимание чрезвычайно широкий спектр аппаратного и программного обеспечения, многочисленные связи между компонентами.

Аудит информационной безопасности является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищённости предприятия от угроз информационной безопасности. Кроме того, результаты аудита используются для формирования стратегии развития системы защиты информации в организации. Необходимо помнить, что аудит безопасности не является однократной процедурой, а должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную пользу и способствовать повышению уровня информационной безопасности компании.

В данном пособии, проанализированы мнения многих авторов, позволяющие сделать вывод, что для достижения удачных решений по защите информации необходимо сочетание правовых, организационных и технических мер. Это сочетание определяется конфиденциальностью защищаемой информации, характером опасности и наличием средств защиты. В общем случае технические меры безопасности составляют незначительную часть от общих мер защиты (правовых и организационных). Однако ни одну из них упускать нельзя. Каждая мера дополняет другую, и недостаток или отсутствие любого способа приведет к нарушению защищенности. Рассмотренные в данном пособии проблемы и методы разрешения их, позволяют сформулировать следующие этапы по созданию системы защиты информации:

- анализ состава и содержания конфиденциальной информации, циркулирующей на конкретном объекте защиты;

- анализ ценности информации для предприятия (организации) с позиций возможного ущерба от ее получения конкурентами;

- оценка уязвимости информации, доступности ее для средств злоумышленника;

- исследование действующей системы защиты информации на предприятии;

- оценка затрат на разработку новой (или совершенствование действующей) системы;

- организация мер защиты информации;

- закрепление персональной ответственности за защиту информации;

- реализация новой технологии защиты информации;

- создание обстановки сознательного отношения к защите информации;

- контроль результатов разработки и прием в эксплуатацию новой системы защиты.

В пособии было выявлено, что независимо от того, насколько хорошо разработаны технические и организационные меры безопасности, они в конце концов основываются на человеческой деятельности, в которой возможны ошибки и злой умысел. Т.е., если отдельный сотрудник обманет доверие, то никакая система безопасности и секретности не сможет предотвратить неправомерное овладение информацией.

В пособии было установлено, что работа по контролю эффективности защиты должна начинаться с определения состава проверяемых мер и средств. Кроме того, организационно-режимные средства и мероприятия должны иметь преимущественное значение по отношению к другим мерам и средствам защиты, поскольку их состав и эффективность оказывают определяющее действие на эффективность защиты от несанкционированного доступа.

При рассмотрении в этом пособии многих источников, можно сделать вывод, что надежная защита информации может быть обеспечена только при применении комплексных мер защиты. В целом организационные и технические меры защиты информации должны составлять единый комплекс. Только в этом случае удается достигнуть требуемого уровня защищенности как самой компьютерной техники, так и информации, находящейся в ней.

Последнее изменение этой страницы: 2016-07-23

lectmania.ru. Все права принадлежат авторам данных материалов. В случае нарушения авторского права напишите нам сюда...