Оценка экономической эффективности защиты информации малого предприятия на примере ООО Лилия
с помощью метода экспертных оценок
Автор: Бых А. А., Губенко Н. Е.
Источник: Международная конференция Наука и современность: вызовы глобализации
— Киев — 25 мая 2013г. — Часть 1, С. 31–33
Аннотация
В статье с помощью метода экспертных оценок проанализированы угрозы и уязвимости малого предприятия, оценены экономические показатели эффективности защиты информации. Обусловлена необходимость устранения информационных угроз.
Сегодня высшее руководство любой компании при осуществлении управления, по существу имеет дело только с информацией, и на ее основе принимает решения. Информация в настоящее время уже давно стала товаром, который можно покупать и продавать на рынке, иногда за достаточно большие деньги. Как и любой товар, информация имеет свою цену, за которую она покупается и продается, и как любой ценный ресурс подлежит защите.
На сегодняшний день обеспечение информационной безопасности любого предприятия является необходимым условием егоконкурентоспособности и выживания в современных условиях. И эта деятельность требует существенных и обязательных капиталовложений, эффективность которых необходимо уметь адекватно оценивать.
Экономически эффективной является система защиты информации, для которой выполняются следующие условия[3]:
- стоимость защищаемой информации Sи;
- стоимость защищаемого объекта информации Sои;
- стоимость системы защиты информации Sсзи;
- суммарный риск информации Rи;
- суммарный риск объекта информатизации Roи;
- суммарный риск системы защиты информации Rсзи;
- снижение рисков для информационной системы ΔRи + ΔRoи + ΔRсзи
В связи с тем, что многие показатели информационных систем являются качественными, единственным способом проверки степени защищенности информационных систем является метод экспертных оценок[1].
На каждом предприятии существует ряд угроз безопасности (i=0...n )[2], которые характеризуются вероятностями возникновения Pbi; и ущербом Ui;.
Задачей защиты информации является устранение каждой i–й угрозы[1].
Полный ущерб, наносимый незащищенной системе, определяется:
Риск для незащищенной системы информации представляет собой произведение вероятностей возникновения угроз и ущерба в случае их реализации[2]:
Риск же для защищенной системы информации зависит еще и от вероятности устранения i–й угрозы угрозы Pyi;
Экономическая эффективность применения системы защиты информации через риски рассчитывается по формуле:
Коэффициент защищенности системы информации также можно выразить через риски:
Для расчета экономической эффективности коэффициента защищенности нужно провести экспертизу[1]:
- значимости и доступности уязвимостей;
- уровня воздействия каждой угрозы на информационную систему;
- защищенных ресурсов и их стоимости.
В результате аудита информационной системы предприятия ООО Лилия
, занимающегося розничной торговлей, были установлены следующие угрозы информационной безопасности:
- Утечка информации в процессе передачи по линии связи.
- Ввод сотрудниками неверных данных в информационную систему.
- Физическая порча серверов.
- Проникновение посторонних лиц в защищаемое помещение.
- Заражение информационной системы компьютерными вирусами.
Проведенные исследования позволили выявить следующие уязвимости информационной системы организации:
- Отсутствие средств защиты от утечки информации по различным техническим каналам.
- Отсутствие охранной сигнализации в выделенном помещении.
- Неорганизованность работы с паролями.
- Редкое обновление антивирусных баз.
- Использование нелицензионного программного обеспечения.
- Отсутствие инструкций пользователей с конфиденциальной информацией.
- Отсутствие автоматизированной системы контроля и управления доступом.
Таким образом, можно сделать вывод, что анализируемое предприятие облает далеко не полным спектром средств защиты информации. В результате проведенного аудита было выявлено 5 угроз информационной безопасности и 7 уязвимостей информационной системы безопасности. Полученные данные говорят о слабости системы информационной безопасности предприятия.
На основе проведенного анализа по предприятию были получены следующие показатели экономической эффективности системы защиты информации:
Таблица 1 – Показатели экономической эффективности системы защиты информации
Наименование показателя | Значение (тыс. грн.) |
---|---|
Риск для незащищенной системы | 136,833 |
Риск для защищенной системы | 78,3 |
Стоимость ср-в защиты инф. | 158 |
Эконом.эффективность (относит. единица) | 0,37 |
Коэффициенты защищенности | 0,428 |
Система защиты информации оказалась экономически неэффективной, поскольку эффект от вложения средств в систему защиты информации, т. е. снижение риска 136,833 – 78,300 = 58,533 тыс. грн., оказался меньше затрат на его достижение в 157/58,533 = 2,68 раза. Защищенность информационной системы, т. е. вероятность её противодействия любой угрозе составляет 42,8% , т. е. тоже недостаточна, что вызвано не очень высоким уровнем выполнения стандартов информационной безопасности.
Совершенствованиесистемы защиты информации может быть достигнуто при повышении исполнения требований стандартов безопасности в данной организации[4].
Таким образом, предложенный метод оценки экономической эффективности затрат на информационную безопасность является наиболее эффективным при работе с нечеткими категориями.
Для обеспечения наибольшей эффективности предлагается предварительно проводить анализ «авторитета экспертов», при котором обеспечивается принятие решений, основанное на мнении наиболее квалифицированного эксперта.
Список использованной литературы
1. Полянский Д. А., Файман О. И. Экономика защиты информации: учеб.пособие: Изд-во Владимир.гос. ун-та, 2009.
– 592 с.; 283с.
2. Ларина И. Н. Экономика защиты информации: учеб. пособие. –.: МГИУ, 2007.
3. Чепурина М. Н. Курс экономической теории: учебник – 5–ое изд. – Киров: АСА
,
2004. – 832 с., 384 с.
4. Высшая математика для экономистов / Под ред. Н. Ш. Кремера.
– М.: ЮНИТИ. 2004.
5. Цуканова О. А., Смирнов С. Б. Экономика защиты информации / Учебное пособие. – СПб: СПбГУ ИТМО, 2007. – 59 с. – 100 экз.
6. Пиковский А. А., Заводина А. В., Костин К. Н. Введение в финансовый менеджмент: Учебное пособие. – Великий Новгород: Изд–во НовГУ им. Ярослава Мудрого, 2000.
7. Голиков Ю. А. Экономическая эффективность системы защиты информации учеб.–метод. пособие /Новосибирск: СГГА, 2012. – 41 с.