Экономические науки/14. Экономическая теория

 

Гранатуров В.М.,

Михайлова Л.В.,

Одесская национальная академия связи им. О.С. Попова

ПРОБЛЕМЫ ОЦЕНКИ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ

СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

 

С развитием информационных технологий и ростом значимости технических средств связи информация подвергается все большему количеству угроз, которые при условии их реализации приводят к материальному ущербу, потере репутации, и как следствие к снижению уровня конкурентоспособности фирмы. В этих условиях эффективность работы предприятия в значительной степени зависит от возможности системы защиты информации предотвратить реализацию угроз. Это особенно актуально для телекоммуникационных операторов, что в значительной степени связанно с особенностями организации технологического процесса и спецификой услуг, предоставляемых операторами связи. Здесь реализация угроз может приводить к срыву производственных процессов в разных сферах деятельности и возникновению чрезвычайных ситуаций разного масштаба со значительными негативными последствиями. Поэтому в последнее время проблеме предупреждения и устранения угроз информационной безопасности телекоммуникаций, совершенствованию систем ее поддержки уделяется повышенное внимание.

Однако следует отметить, что внедрение и обслуживание современных систем защиты информации требуют значительных затрат. В этих условиях актуальной является проблема анализа эффективности и целесообразности вложения средств, направленных на обеспечение информационной безопасности, а так же выбора  оптимального, с технико-экономической точки зрения, варианта системы защиты.  Вместе с тем, как показывает анализ, в существующей литературе по проблеме эффективности средств и систем защиты информации в большинстве случаев акцент делается на решении технического аспекта проблемы – создание комплексных систем защиты и оценке их технической эффективности. При этом существующие немногочисленные работы, посвященные непосредственно экономическому аспекту проблемы не дают ответа на многие теоретические и практические вопросы и не всегда обеспечивают получение адекватных оценок экономической эффективности таких систем.

В докладе проанализированы существующие подходы к оценке экономической эффективности систем защиты информации, имеющиеся в этой сфере проблемы, сформулированы некоторые возможные направления и пути решения этих проблем. 

Показано, что в большинстве работ, посвященных экономическому аспекту проблемы, методы оценки экономической эффективности, как соотношение эффекта и затрат на его достижение, рассматриваются в контексте эффективности внедрения и функционирования информационных систем (информационных технологий) на предприятии, и не могут характеризовать эффективность систем обеспечения их безопасности.

Рассмотрены проблемы определения затрат на обеспечение информационной безопасности и достигаемого эффекта, которые используются для оценки эффективности систем информационной безопасности, а так же для выбора  оптимального, с технико-экономической точки зрения, варианта системы защиты. 

Так, анализ литературных источников по рассматриваемой проблеме показывает, что сегодня при оценке затрат на информационную безопасность исследователи исходят из предпосылки о том, что эти затраты имеют детерминированный характер, поскольку они уже материализованы в конкретные мероприятия, способы и средства защиты. Поэтому акцент сделан на определение их структуры и методы их определения без учета зависимости этих затрат от достигаемого (желаемого) уровня безопасности. Это не позволяет (затрудняет) решение задачи выбора экономически обоснованного уровня информационной безопасности.

В качестве решения проблемы может быть использован, представленный нами в [1], подход к определению затрат на проектирование и функционирование комплексной системы защиты информации в телекоммуникационной сфере в зависимости от конкретного уровня защиты, регламентированного существующими нормативными документами [2,3].  В его основу положена матричная модель процесса организации информационной безопасности, элементами которой являются, определенные этими документами уровни защиты, а так же   функциональные компоненты безопасности и профили защиты, посредством которых достигается выполнение требований к уровню защиты.

В докладе рассмотрены также различные подходы к расчету эффекта от внедрения и функционирования системы защиты информации. Наиболее часто для этой цели предлагают принимать сумму предотвращенного ущерба, которая является случайной величиной. В большинстве случаев  в нее включают стоимость потерь от снижения производительности, стоимость восстановления работоспособности автоматизированного узла или сегмента (стоимость замены оборудования и запасных частей, переустановка системы и стоимость повторного ввода информации) и упущенную выгоду от простоя атакованного узла или сегмента. Большинство из этих методов позволяет лишь осуществлять расчеты ущерба от уже реализованной атаки и практически не пригодны для оценки эффективности систем защиты, осуществляемой на стадии ее разработки и проектирования.

Частично этот недостаток устраняется в [4],  где рассматриваются вопросы оценки информационной безопасности  телекоммуникационных сетей. Здесь ожидаемые потери рассчитывается с учетом вероятности возникновения потенциальной угрозы. Вместе с тем, приходится констатировать, что статистика вероятности появления угроз и реализованных атак на систему защиты информации накапливается на предприятии с уже функционирующей системой защиты. Кроме того,  существующая статистика, если она имеется, не может учитывать новые методы и методики атак, которые постоянно совершенствуются. Таким образом,  практически все подходы не пригодны для адекватной оценки эффективности проектируемой системы защиты информации.

Это свидетельствует о необходимости дальнейшего совершенствования методов оценки экономической эффективности систем защиты информации вообще, и телекоммуникационных сетей, в частности. При этом основное внимание следует уделить методам оценки эффекта, получаемого в результате внедрения таких систем. Рассмотрены некоторые возможные пути решения этой проблемы.

 

Литература:

1.    Гранатуров В.М. Методичний підхід до оцінки витрат на забезпечення інформаційної безпеки телекомунікацій / В.М. Гранатуров, Л. В. Михайлова // Вісник Хмельницького національного університету 2014, №5, Т. 1. - С. 235-239.

2.    НД ТЗИ 2.5-005-99. Классификация автоматизированных систем и стандартные функциональные профили защищенности обрабатываемой информации от несанкционированного доступа. – К.: ДСТСЗИ СБ Украины. – 16 с.

3.    НД ТЗІ 3.7-001-99. Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту в автоматизованій системі. К.: ДСТСЗІ СБ України. – 27 с.

4.                                                                                                                                                                                                Тардаскіна Т. М. Організаційно-економічні складові інформаційної безпеки телекомунікаційних мереж загального користування: автореф. дис. на здобуття наук ступеня ек. наук: спец. 08.00.04. економіка та управління підприємствами (за видами економічної діяльності) / Т.М. Тардаскіна - Одеса, 2008. - 24с.