Статья

Название статьи МОДЕЛИРОВАНИЕ ОЦЕНОК ЭФФЕКТИВНОСТИ МЕРОПРИЯТИЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОМПАНИИ ПРИ ВОЗДЕЙСТВИИ СЛУЧАЙНЫХ ФАКТОРОВ ОКРУЖАЮЩЕЙ СРЕДЫ
Автор Е.Н. Ефимов
Рубрика РАЗДЕЛ V. КОНЦЕПТУАЛЬНЫЕ И ПРИКЛАДНЫЕ ВОПРОСЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Месяц, год 05, 2015
Индекс УДК 004.051
DOI
Аннотация На всех этапах жизненного цикла системе защиты информации присущи неопределенность ее свойств в условиях реального воздействия случайных факторов из внешней и внутренней среды. По мере реализации проекта системы неопределенность снижается, но никогда эффективность функционирования не может быть адекватно выражена и описана детерминированными показателями. Тогда к оценке эффективности реализации и функционирования систем защиты информации наилучшим образом применимы вероятностные методы. В соответствии с этими методами уровни гарантий безопасности системы трансформируются в доверительные вероятности соответствующих оценок показателей. В этих условиях данные для оценки эффективности мероприятий по повышению информационной безопасности можно получить с помощью имитационного моделирования. Предложенная методика расчета оценки результата от воздействия проведенных мероприятий по информационной безопасности в компании базируется на моделировании оценок предотвращенных потерь. Значение предотвращенных потерь может быть рассчитано, исходя из вероятности возникновения инцидента информационной безопасности и возможных экономических потерь от него до и после реализации мероприятий по обеспечению информационной безопасности на объекте. Получаемое в результате моделирования суммарное значение предотвращенных потерь по всем инцидентам информационной безопасности позволяет задать и осуществить сценарный расчет возможного эффекта от проведенных мероприятий. Итоговый расчет эффективности мероприятий по повышению информационной безопасности компании может быть выполнен любым из известных методов. В мировой практике для оценки эффективности инвестиций широко применяется стандартный метод анализа затрат и выгод (Cost Benefit Analysis – CBA). Реализация предлагаемого варианта расчета эффективности мероприятий по повышению информационной безопасности выполнена на примере по методике CBA. Основным достоинством предлагаемой методики расчета эффективности мероприятий по повышению информационной безопасности является учет неопределенности реальной действительности с помощью имитационного моделирования. Это позволяет, в определенной степени, повысить достоверность расчетов эффекта.

Скачать в PDF

Ключевые слова Информационная безопасность; эффективность; моделирование; предотвращенные потери; сценарии расчета.
Библиографический список 1. BS 7799-3:2006 Information security management systems – Part 3: Guidelines for information security risk management, 2006.
2. Lyon Gordon F. Security Engineering: A Guide to Building Dependable Distributed Systems. Wiley; 2 edition. April 14, 2008.
3. Баутов А. Эффективность защиты информации // Открытые системы. – 2003. – № 07-08. – Режим доступа: http://www.osp.ru/os/2003/07-08/183282/.
4. Денисов М.Ю., Долженко А.И., Ефимов Е.Н. Когнитивное моделирование оценки эффективности электронных бизнес–отношений предприятия // Вестник Ростовского государственного экономического университета «РИНХ». – 2012. – № 1 (37). – С. 83-90.
5. Ефимов Е.Н. Оценка эффективности электронных бизнес–отношений предприятия // Проблемы федеральной и региональной экономики: ученые записки. – Ростов-на-Дону: Рост. гос. эконом. ун-т (РИНХ), 2011. – Вып. 14. – C. 68-75.
6. Ефимов Е.Н. Инвестиционный анализ проекта информационных технологий в условиях неопределенности // Известия ЮФУ. Технические науки. – 2014. – № 8 (157). – С. 66-74.
7. Ефимов Е.Н. Эффективность ИТ-проектов в системе сбалансированных показателей // Аспирант. – 2015. – № 2. – С. 8-10.
8. Ефимов Е.Н., Ефимова Е.В. Модели и технологии сетевых электронных бизнес–отношений: монография. – Ростов-на-Дону: Изд-во РГЭУ (РИНХ), 2014. – 198 с.
9. Ефимов Е.Н., Лапицкая Г.М. Оценка эффективности ИТ-проектов в рамках Balanced Scorecard // Информационные системы, экономика, управление трудом и производством: Уч. записки. Вып. 15. – Ростов-на-Дону: РГЭУ (РИНХ), 2013. – C. 59-65.
10. Ефимов Е.Н., Лапицкая Г.М. Информационная безопасность и бизнес-процессы компании // Известия ЮФУ. Технические науки. – 2013. – № 12 (149). – C. 253-260.
11. Петухов Г.Б., Якунин В.И. Методологические основы внешнего проектирования целенаправленных процессов и целеустремленных систем. – М.: АСТ, 2006. – 504 с.
12. Brotby Krag, Hinson Gary PRAGMATIC Security Metrics: Applying Metametrics to Information Security. СRC Press. January 8, 2013.
13. Shostack Adam Threat Modeling: Designing for Security. WILEY. February 17, 2014.
14. Горбунов А., Чуменко В. Выбор рациональной структуры средств защиты информации в АСУ. – Режим доступа: http://kiev-security.org.ua/box/2/26.shtml.
15. Javaid Muhammad A. Information Security: How to Ensure Privacy in a Computing Environment. September 6, 2013.
16. Collins Michael S. Network Security Through Data Analysis: Building Situational Awareness. O’REILLY. February 23, 2014.
17. Jacobs Jay, Rudis Bob. Data-Driven Security: Analysis, Visualization and Dashboards. WILEY. February 24, 2014.
18. Андреев Кирилл. Метод оценки экономической эффективности подразделения по защите информации // Information Security/Информационная безопасность”. – 2010. – № 5. – Режим доступа: http://www.itsec.ru/articles2/Oborandteh/metod-ocenki-ekonomicheskoi-effektivnosti-podrazdeleniya-po-zashite-informacii.
19. Хубаев Г.Н. Процессно-статистический подход к учету затрат ресурсов при оценке (калькуляции) себестоимости продукции и услуг: особенности реализации, преимущества // Вопросы экономических наук. – 2008. – № 2. – C. 158-166.
20. Крепков И.М., Ефимов Е.Н., Фоменко Н.М. Анализ и учет рисков продвижения Internet–проектов предприятия // Вестник МЭИ. – 2010. – № 2. – C. 101-107.

Comments are closed.