Гулак Н

Гулак Н.К.

Кандидат технических наук, доцент

Безус Ю.В.

Специалист

Национальный авиационный университет г. Киев

АУДИТ РАСХОДОВ НА ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АС КЛАССА 3

В современных условиях информация приобретает все больший вес для функционирования и развития субъектов рыночной экономики. Она является одним из важнейших ресурсов в развитии и выступает в виде новых идей и технологий, коммерческих и инновационных проектов, аналитических разработок, производственных планов и отчетности, поэтому наряду с задачами эффективной обработки и передачи информации, обеспечения надежности защиты информационных ресурсов - одной из главных задач современного бизнеса является управление информационными рисками.

Серьезное внимание к вопросам защиты информационных систем вызывает проблемы оценки уровня безопасности корпоративных информационных систем предприятий и организаций, определение величины денежных средств, которые нужно выделить на решение проблем информационной безопасности, распределения денежных средств между средствами, которые обеспечивают защиту информации, снижение информационных рисков. Чаще всего указанные проблемы решают на интуитивном уровне, без обоснования финансовой целесообразности решений. Ведь руководство предприятий не всегда оценивает важность этого вопроса и располагает информацией о соотношении затрат на обеспечение информационной безопасности и убытков от потери информации. Иногда на информационной безопасности экономят, хотя это зачастую приводит к существенным финансовым и моральным потерям, которые могут быть причиной краха. Одной из проблем информационной безопасности предприятия является ее количественная оценка, а также необходимость обоснования стоимости создания корпоративной системы защиты информации.

Проблеме обеспечения информационной безопасности корпоративных информационных систем все больше уделяют внимания. Это связано с тем, что расходы на предупреждение информационных угроз намного меньше, чем затраты на устранение их последствий.

Целью работы является определение затрат на обеспечение информационной безопасности предприятия на основании математического моделирования.

Функционирование любой организации, и предприятия в частности, сопровождается обработкой и перемещением большого количества информации между определенными структурными подразделениями, каждый из которых решает соответствующие задачи. Информационная система предприятия состоит из комплекса аппаратных и программных средств, которые позволяют автоматизировать процессы его деятельности, то есть каждый из отделов располагает определенное количество средств вычислительной техники, с помощью которых имеющуюся на предприятии в электронном виде информацию хранят, передают и обрабатывают. Связь между подразделениями обеспечивается с помощью корпоративной сети. Информацию в бумажной форме хранят в соответствующих отделах структуры предприятия. Как правило, функционирование корпоративной сети и выход в Интернет обеспечивает многоцелевой сервер.

Предлагаю следующие этапы процесса оценки затрат, необходимых для создания системы защиты информации на предприятии АС класса 3 и осуществления их оптимального распределения между отдельными мерами:

1. Проведение инвентаризации и классификации информационных объектов пред приятия для объединения их в информационные блоки с целью снижения трудоемкости дальнейших вычислений. К одному блоку относят информационные объекты, похожие по виду носителя, структурой, технологией обработки, тематике, видом данных.

2. Составление перечня информационных угроз, актуальных для предприятия. Существует три основные угрозы для информации: угроза целостности, угроза конфиденциальности, угроза доступности. Поскольку уровень информационной угрозы напрямую зависит от мер, направленных на ее предупреждение, и объема выделенных на эти цели денежных средств, то необходимо определить перечень контрмер, которые могут быть применены для защиты информации. Каждому мероприятия по защите информации ставится в соответствие статья финансирования.

3. Определение вида функции зависимости вероятности реализации информационной угрозы от объема денежных средств, выделенных на мероприятия по ее предупреждению.

4. Определение величин потерь, если будет реализовано каждую из информационных угроз, для соответствующего информационного блока. Значение потерь для информационного блока в целом равна сумме потерь по каждому из элементов, информационных объектов этого блока.

5. Определение средней частоты прорывов системы защиты информации за определенный период, то есть количество случаев, когда соответствующая информационная угроза может быть реализована.

6. Нахождение экономически обоснованной количества денежных средств, необходимых для обеспечения информационной безопасности предприятия.

7. Осуществление оптимального распределения денежных средств между отдельными направлениями защиты информации.