Оценка эффективности мероприятий информационной безопасности в условиях неопределенности

Евгений Ефимов; Галина Лапицкая

Евгений Ефимов Ростовский государственный экономический университет (РИНХ). , 344002, г. Ростов-на-Дону, ул. Большая Садовая, д. 69.
Галина Лапицкая Ростовский государственный экономический университет (РИНХ). , 344002, г. Ростов-на-Дону, ул. Большая Садовая, д. 69.

Ключевые слова: информационная безопасность, эффективность, моделирование, предотвращенные потери

Аннотация

Ефимов Евгений Николаевич - доктор экономических наук, профессор кафедры информационных технологий и защиты информации, факультет компьютерных технологий и информационной безопасности, Ростовский государственный экономический университет (РИНХ).
Адрес: 344002, г. Ростов-на-Дону, ул. Большая Садовая, д. 69.
E-mail: efimov46@mail.ru

Лапицкая Галина Мелконовна - кандидат экономических наук, профессор кафедры информационных технологий и защиты информации, факультет компьютерных технологий и информационной безопасности, Ростовский государственный экономический университет (РИНХ).
Адрес: 344002, г. Ростов-на-Дону, ул. Большая Садовая, д. 69.
E-mail: gmlapickaya@mail.ru

На всех этапах жизненного цикла системе защиты информации присущи неопределенность ее свойств в условиях реального воздействия случайных факторов из внешней и внутренней среды. По мере реализации проекта системы неопределенность снижается, но эффективность функционирования никогда не может быть адекватно выражена и описана детерминированными показателями. Тогда к оценке эффективности реализации и функционирования систем защиты информации наилучшим образом применимы вероятностные методы. В соответствии с этими методами уровни гарантий безопасности системы трансформируются в доверительные вероятности соответствующих оценок показателей. В этих условиях данные для оценки эффективности мероприятий по повышению информационной безопасности можно получить с помощью имитационного моделирования.
Предложенная методика расчета оценки результата воздействия мероприятий по информационной безопасности в компании базируется на моделировании оценок предотвращенных потерь. Значение предотвращенных потерь может быть рассчитано, исходя из вероятности возникновения инцидента информационной безопасности и возможных экономических потерь от него до и после реализации мероприятий по обеспечению информационной безопасности на объекте. Получаемое в результате моделирования суммарное значение предотвращенных потерь по всем инцидентам информационной безопасности позволяет задать и осуществить сценарный расчет возможного эффекта от проведенных мероприятий. Итоговый расчет эффективности мероприятий по повышению информационной безопасности компании может быть выполнен любым из известных методов. В мировой практике для оценки эффективности ИТ-проектов широко применяется стандартный метод анализа затрат и выгод (Cost Benefit Analysis, CBA). Реализация предлагаемого варианта расчета эффективности мероприятий по повышению информационной безопасности выполнена на примере в методе CBA.
Основным достоинством предлагаемой методики расчета эффективности мероприятий по повышению информационной безопасности является учет неопределенности реальной действительности с помощью имитационного моделирования. Это позволяет в определенной степени повысить достоверность расчетов эффекта.

Скачивания

Данные скачивания пока не доступны.