Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов


НазваниеМетодические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов
страница18/18
ТипМетодические рекомендации
filling-form.ru > Туризм > Методические рекомендации
1   ...   10   11   12   13   14   15   16   17   18

Рис. 14.1.  Структура методологии анализа эффективности вложений в проекты по обеспечению информационной безопасности

Анализ затрат, связанных с реализацией проекта, хотя и является относительно более простой задачей, все же может вызвать определенные затруднения. Так же как и для многих других проектов в сфере информационных технологий, анализ затрат на реализацию проектов в сфере информационной безопасности целесообразно осуществлять, опираясь на известную базовую методологию "Total Cost of Ownership" — TCO (Совокупная стоимость владения — ССВ), введенную консалтинговой компанией "Gartner Group" в 1987 году применительно к персональным компьютерам. В целом, эта методика ориентирована на обеспечение полноты анализа издержек (как прямых, так и косвенных), связанных с информационными технологиями и информационными системами, в ситуациях, когда необходимо оценить экономические последствия внедрения и использования таких систем: при оценке эффективности инвестиций, сравнении альтернативных технологий, составлении капитальных и текущих бюджетов и т.п.

В общем случае суммарная величина ССВ включает в себя:

затраты на проектирование информационной системы;

затраты на приобретение аппаратных и программных средств: вычислительная техника, сетевое оборудование, программное обеспечение (с учетом используемых способов лицензирования), а также лизинговые платежи;

затраты на разработку программного обеспечения и его документирование, а также на исправление ошибок в нем и доработку в течение периода эксплуатации;

затраты на текущее администрирование информационных систем (включая оплату услуг сторонних организаций, которым эти функции переданы на аутсорсинг);

затраты на техническую поддержку и сервисное обслуживание;

затраты на расходные материалы;

затраты на телекоммуникационные услуги (доступ в Интернет, выделенные и коммутируемые каналы связи и т.п.);

затраты на обучение пользователей, а также сотрудников ИТ-подразделений и департамента информационной безопасности;

косвенные затраты – издержки предприятия, связанные с потерей времени пользователями в случае сбоев в работе информационных систем.

Также в расчет затрат на повышение уровня информационной безопасности необходимо включить расходы на реорганизацию бизнес-процессов и информационную работу с персоналом: оплата услуг бизнес-консультантов и консультантов по вопросам информационной безопасности, расходы на разработку организационной документации, расходы на проведение аудитов состояния информационной безопасности и т.п. Кроме того, при анализе расходов необходимо также учесть то обстоятельство, что в большинстве случаев внедрение средств защиты информации предполагает появление дополнительных обязанностей у персонала предприятия и необходимость осуществления дополнительных операций при работе с информационными системами. Это обуславливает некоторое снижение производительности труда сотрудников предприятия и, соответственно, может вызвать дополнительные расходы.

Значение ССВ в каждом конкретном случае необходимо определять индивидуально с учетом особенностей проекта, который предстоит реализовать: основной востребованной функциональности, существующей инфраструктуры, количества пользователей и других факторов. В общем виде ССВ для анализа эффективности и целесообразности вложений в реализацию проектов по повышению уровня защищенности информации определяется как сумма всех элементов затрат, скорректированная с учетом фактора времени:

npv(c,d)=\sum\limits_{t=0}^t\frac{\sum\limits_{n=1}^n c_{tn}}{(1+d)^t}

(14.2)

где:

t– предполагаемый жизненный цикл проекта (информационной и/или организационной системы), лет;

n– количество видов затрат, принимаемых в расчет;

c_{nt}– затраты n-ого вида, понесенные в t-ом периоде, руб.

Таким образом, в целом могут быть определены затраты, связанные с реализацией мероприятий по обеспечению информационной безопасности. Однако наибольшую сложность представляет определение положительного эффекта от внедрения средств защиты информации. Как правило, эффект от внедрения информационных систем (ERP-систем, систем автоматизации бухгалтерского и управленческого учета, CAD/CAM-систем и т.п.) определяется тем, что они обеспечивают автоматизацию и ускорение различных бизнес-операций, а это, в свою очередь, позволяет сократить затраты ручного труда, приобрести конкурентные преимущества и, таким образом, повысить общую эффективность хозяйственной деятельности. Однако внедрение средств защиты информации само по себе, как правило, не обеспечивает сокращения затрат (хотя в отдельных случаях может и обеспечить) — достижение положительного эффекта от их использования зависит от множества трудноконтролируемых факторов как внутри предприятия, так и вне его. Более того, как уже было отмечено, реализация мероприятий, связанных с обеспечением информационной безопасности, может привести к дополнительным нагрузкам на персонал предприятия и, соответственно, к снижению производительности труда.

В связи с этим одним из немногих способов, которые могли бы помочь предприятию определить эффект от осуществления мероприятий в сфере защиты информации, является денежная оценка (хотя бы приблизительная) того ущерба, который может быть нанесен информационным ресурсам предприятия и который может быть предотвращен в результате реализации предлагаемых мероприятий. Таким образом, предполагаемый предотвращенный ущерб (разница между предполагаемым ущербом в случае отказа от реализации мероприятий и ущербом в случае их реализации) будет составлять полученный экономический эффект – дополнительный денежный поток.

Очевидно, что при таком подходе большинство расчетов могут быть только оценочными и носить приблизительный характер. Это связано с тем, что активность злоумышленников, являющихся источниками угроз для информационной безопасности, практически непредсказуема: невозможно достоверно предсказать стратегии нападения, квалификацию нападающих, их конкретные намерения и ресурсы (финансовые, технические, организационные), которые будут задействованы для совершения тех или иных действий, а также намерения в отношении украденной информации (если целью атаки будет похищение конфиденциальных сведений). Соответственно, для осуществления всех необходимых расчетов необходимо сделать множество допущений и экспертных оценок в контексте деятельности данного конкретного предприятия, а также по возможности изучить статистическую информацию, касающуюся атак на информационные ресурсы, аналогичные защищаемым.

Таким образом, экономическая оценка эффективности мер по защите информации предполагает:

оценку существующих угроз для информационных активов, которых коснется реализация защитных мер;

оценку вероятности реализации каждой из выявленных угроз;

экономическую оценку последствий реализации угроз.

Для осуществления такого анализа, как правило, используются следующие базовые понятия.

Оценочная величина единовременных потерь (Single Loss Expectancy, sle_i) – предполагаемая средняя оценочная сумма ущерба в результате одного нарушения информационной безопасности i-го типа. Она может быть определена как произведение общей стоимости защищаемых информационного активов (av) на коэффициент их разрушения вследствие нарушения информационной безопасности (подверженности нападению), который обозначается efi(Exposure Factor).

Количество нарушений информационной безопасности за год (Annualized Rate of Occurrence, aro_i) – оценочная частота, с которой в течение года происходят нарушения информационной безопасности (реализуются угрозы) i-го типа.

Оценочная величина среднегодовых потерь (Annualized Loss Expectancy, ale_i) – суммарный размер потерь от нарушений информационной безопасности (реализации рисков) i-го типа в течение года.

ale_i = sle_i \times aro_i = (av \times efi ) \times aro_i

(14.3)

Непосредственный эффект от реализации мероприятий по повышению уровня информационной безопасности будет проявляться в том, что:

негативные последствия каждого нарушения (каждой реализованной угрозы) после реализации мероприятий (ef_i\') будут меньше, чем были до их реализации: ef_i> EF_i';

частота нарушений информационной безопасности уменьшится после реализации мероприятий aro_i> ARO_i'.

В результате уменьшенная величина ale_i\'будет составлять:

ale_i\' = sle_i \times aro_i = (av і ef_i\' ) \times aro_i\'

(14.4)

Таким образом, суммарный годовой эффект от реализации мероприятия будет определяться как:

r = \bigtriangleup ale_i = ale_i - ale_i\'

(14.5)

Исходя из этого, общий денежный поток от реализации мероприятия определяется по следующей формуле[36]:

npv(r,d)=\sum\limits_{t=0}^t \frac{\sum\limits_{i=1}^i (ale_{it}-ale_{it}\')}{(1+d)^t}

(14.6)

На основе всех этих данных в соответствии с формулой (14.1) может быть определен суммарный эффект от реализации мероприятий в сфере информационной безопасности и продемонстрировано, насколько оправданными и целесообразными являются вложения в те или иные средства защиты информации в условиях конкретного предприятия с учетом всех особенностей его функционирования (а также с учетом принятых допущений и сделанных предположений).

И хотя с математической точки зрения все расчеты в описанной рамочной модели оценки ROI являются предельно простыми, определение отдельных параметров (прогнозных частот нарушений и размеров потерь, а также предполагаемого срока использования программных и аппаратных средств и организационных моделей) может вызвать значительные затруднения на практике. Проведение таких расчетов, так же как и проведение аудитов информационной безопасности, может потребовать привлечения сторонних консультантов, однако квалификация и профессиональная специализация таких консультантов может существенно отличаться от квалификации консультантов, специализирующихся, например, на проведении аудитов и внедрении технических средств защиты информации. Причем если оценку вероятностей атак, а также оценку того, насколько эти атаки могут быть успешными, предпочтительно доверить внешним консультантам по информационной безопасности, то оценку стоимости информации и экономических последствий утраты контроля над информационными активами, скорее всего, целесообразно осуществлять самим специалистам, работающим на предприятии (экономистам, маркетологам и т.п.), а также привлекать для этого сторонних специалистов из соответствующих сфер деятельности (маркетинга, финансов, торговли и т.п.).

Несмотря на все трудности процесса оценки целесообразности внедрения средств защиты, описанная методология позволяет менеджерам и специалистам по защите информации получать обоснованные оценки и делать формализованные выводы относительно того, насколько оправданными являются вложения в определенные средства защиты информации, а также определить основные приоритеты расходования средств, предусмотренных в бюджете на обеспечение информационной безопасности (если предприятие практикует выделение фиксированных сумм на эти цели). При этом достаточно высокий уровень достоверности таких оценок достигается за счет того, что вся работа по проведению оценки и подготовке инвестиционных решений раскладывается на несколько относительно более простых и "прозрачных" задач, решение каждой из которых может быть закреплено за специалистами в определенной сфере. В результате общая оценка складывается на основе полученных решений нескольких отдельных задач, каждое из которых может быть проконтролировано и при необходимости дополнительно уточнено. В этих условиях общее качество получаемой аналитической оценки и, соответственно, формулируемого решения зависит от квалификации всех экспертов, аналитиков и специалистов, участвующих в работе. А значит, одной из основных задач руководителей предприятия и менеджеров, отвечающих за обеспечение информационной безопасности и принятие решений в этой сфере, является подбор наиболее квалифицированных и опытных специалистов, ибо от качества их работы будет зависеть не просто безопасность отдельных элементов информационных активов в определенные моменты времени, а эффективность всей системы защиты информации в среднесрочной, а иногда и в долгосрочной перспективе.
11. Контрольно-оценочные материалы
Перечень вопросов к зачету
Вопросы к экзамену по курсу “Информационная безопасность предприятия”

  1. Классификация угроз информационной безопасности автоматизированных систем по базовым признакам.

  2. Угроза нарушения конфиденциальности. Особенности и примеры реализации угрозы.

  3. Угроза нарушения целостности данных. Особенности и примеры реализации угрозы.

  4. Угроза отказа служб (угроза отказа в доступе). Особенности и примеры реализации угрозы.

  5. Угроза раскрытия параметров системы. Особенности и примеры реализации угрозы.

  6. Понятие политики безопасности информационных систем. Назначение политики безопасности.

  7. Основные типы политики безопасности доступа к данным. Дискреционные и мандатные политики.

  8. Требования к системам криптографической защиты: криптографические требования, требования надежности, требования по защите от НСД, требования к средствам разработки.

  9. Законодательный уровень обеспечения информационной безопасности. Основные законодательные акты РФ в области защиты информации.

  10. Функции и назначение стандартов информационной безопасности. Примеры стандартов, их роль при проектировании и разработке информационных систем.

  11. Критерии оценки безопасности компьютерных систем («Оранжевая книга»). Структура требований безопасности. Классы защищенности.

  12. Основные положения руководящих документов Гостехкомиссии России. Классификация автоматизированных систем по классам защищенности. Показатели защищенности средств вычислительной техники от несанкционированного доступа.

  13. Единые критерии безопасности информационных технологий. Понятие профиля защиты. Структура профиля защиты.

  14. Единые критерии безопасности информационных технологий. Проект защиты. Требования безопасности (функциональные требования и требования адекватности).

  15. Административный уровень защиты информации. Задачи различных уровней управления в решении задачи обеспечения информационной безопасности.

  16. Процедурный уровень обеспечения безопасности. Авторизация пользователей в информационной системе.

  17. Идентификация и аутентификация при входе в информационную систему. Использование парольных схем. Недостатки парольных схем.

  18. Идентификация и аутентификация пользователей. Применение программно-аппаратных средств аутентификации (смарт-карты, токены).

  19. Биометрические средства идентификации и аутентификации пользователей.

  20. Аутентификация субъектов в распределенных системах, проблемы и решения. Схема Kerberos.

  21. Аудит в информационных системах. Функции и назначение аудита, его роль в обеспечении информационной безопасности.

  22. Понятие электронной цифровой подписи. Процедуры формирования цифровой подписи.

  23. Законодательный уровень применения цифровой подписи.

  24. Методы несимметричного шифрования. Использование несимметричного шифрования для обеспечения целостности данных.

  25. Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы.

  26. Место информационной безопасности экономических систем в национальной безопасности страны. Концепция информационной безопасности.

  27. Средства обеспечения информационной безопасности в ОС Windows’2000. Разграничение доступа к данным. Групповая политика.

  28. Применение файловой системы NTFS для обеспечения информационной безопасности в Windows NT/2000/XP. Списки контроля доступа к данным (ACL) их роль в разграничении доступа к данным.

  29. Применение средств Windows 2000/XP для предотвращения угроз раскрытия конфиденциальности данных. Шифрование данных. Функции и назначение EFS.

  30. Разграничение доступа к данным в ОС семейства UNIX.

  31. Пользователи и группы в ОС UNIX.

  32. Пользователи и группы в ОС Windows’2000.

  33. Основные этапы разработки защищенной системы: определение политики безопасности, проектирование модели ИС, разработка кода ИС, обеспечение гарантий соответствия реализации заданной политике безопасности.

  34. Причины нарушения безопасности информации при ее обработке криптографическими средствами.

  35. Понятие атаки на систему информационной безопасности. Особенности локальных атак.

  36. Распределенные информационные системы. Удаленные атаки на информационную систему.

  37. Каналы передачи данных. Утечка информации. Атаки на каналы передачи данных.

  38. Физические средства обеспечения информационной безопасности.

  39. Электронная почта. Проблемы обеспечения безопасности почтовых сервисов и их решения.

  40. Вирусы и методы борьбы с ними. Антивирусные программы и пакеты.

  41. Программно-аппаратные защиты информационных ресурсов в Интернет. Межсетевые экраны, их функции и назначения.

  42. Виртуальные частные сети, их функции и назначение.
1   ...   10   11   12   13   14   15   16   17   18

Похожие:

Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов  iconМетодические указания (рекомендации) по организации и проведению...
Внеаудиторная самостоятельная работа студентов – планируемая учебная, учебно-исследовательская, научно-исследовательская работа студентов,...

Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов  iconМетодические рекомендации по выполнению внеаудиторной самостоятельной...
В рекомендациях даются базовые требования по организации самостоятельной работы, технология организации, виды самостоятельной работы,...

Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов  iconМетодические рекомендации по выполнению внеаудиторной самостоятельной...
В рекомендациях даются базовые требования по организации самостоятельной работы, технология организации, виды самостоятельной работы,...

Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов  iconМетодические указания для практических занятий, самостоятельной работы...
Методические указания предназначены для подготовки к практическим занятиям и самостоятельной работы студентов по направлению подготовки...

Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов  iconМетодические указания для практических занятий и самостоятельной...
Методические указания предназначены для подготовки к практическим занятиям и самостоятельной работы студентов по направлению подготовки...

Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов  iconМетодические рекомендации для самостоятельной работы студентов очной...
Методическое пособие предназначено для практических занятий и самостоятельной работы студентов специальностей 110400. 65-«Зоотехния»,...

Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов  iconМетодические рекомендации по организации самостоятельной работы студентов...
Методические рекомендации по организации самостоятельной работы студентов: учебно-метод пособие/В. С. Ширманов, В. Н. Волков, Е....

Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов  iconМетодические рекомендации для студентов 1 курса всех профессии по...
...

Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов  iconМетодические указания для самостоятельной работы по изучению дисциплины...
Дисциплина «Организация охраны и конвоирования в уголовно-исполнительной системе» изучается на установочных лекциях и семинарах под...

Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов  iconМетодические указания для студентов 1 и II курсов дневного и заочного отделений
Методические указания предназначены для студентов I и II курсов экономических специальностей дневного и заочного отделений. Методические...

Вы можете разместить ссылку на наш сайт:


Все бланки и формы на filling-form.ru




При копировании материала укажите ссылку © 2019
контакты
filling-form.ru

Поиск