Экономическая оценка эффективности используемой системы защиты информации в организации
Зарегистрируйся в два клика и получи неограниченный доступ к материалам,а также промокод на новый заказ в Автор24. Это бесплатно.
Введение
Актуальность темы. В нашем государстве стремительно развивается информационное общество, которое характеризуется высоким уровнем постоянного совершенствования информационных и телекоммуникационных технологий и их интенсивным использованием гражданами, бизнесом и органами государственной власти. На сегодняшний день уровень состояния защищенности информации не в полной мере соответствует потребностям общества и государства вследствие несовершенства правового регулирования в этой сфере, отсутствия четкости при проведении государственной политики в области формирования единого информационного пространства и развития системы массовой информации – все перечисленное влияет на общее состояние информационной безопасности. При этом необходимо учитывать, что в целях решения подобных задач необходимо не только совершенствовать нормативно-правовую базу в этой области, а также усиливать контроль над соблюдением этих мер, но и развивать политику информационной безопасности в организациях. Подобные меры необходимы вследствие того, что в любой государственной или негосударственной структуре имеется ценная информация, которая обладает особыми свойствами: объективностью, достоверностью, полнотой, точностью, актуальностью и полезностью. Такая информация образуется не только в ходе непосредственной деятельности организации, но и в ходе ее взаимодействия с сотрудниками, поставщиками, клиентами и иными структурами, результатом которого чаще всего являются сведения конфиденциального характера. Таким образом, в любой организации возникает обязанность уделять должное внимание обеспечению безопасности ценной информации. Связано это не только с наличием законодательно-нормативной базы, диктующей необходимость защиты информации, и штрафных санкций за ее несоблюдение, но и заинтересованностью самих организаций в сохранении ценных сведений во избежание их утечки, порчи или искажения и, как следствие, финансовых убытков. Сегодня руководство любой организации при осуществлении управления, по существу имеет дело только с информацией, и на ее основе принимает решения. Информация в настоящее время уже давно стала товаром, который можно покупать и продавать на рынке, иногда за достаточно большие деньги. Как и любой товар, информация имеет свою цену, за которую она покупается и продается, и как любой ценный ресурс подлежит защите. Актуальность исследования обусловлена, во-первых, тем, что информация, как в коммерческой, так и в государственной среде может сыграть решающую роль в той или иной ситуации. Другими словами – существует большой процент риска понести убыток при утрате, искажении или порче сведений, свести к минимуму подобные угрозы возможно путем создания защитных механизмов. Во-вторых, на сегодняшний день обеспечение информационной безопасности любой организации является необходимым условием ее конкурентоспособности и выживания в современных условиях. И эта деятельность требует существенных и обязательных капиталовложений, эффективность которых необходимо уметь адекватно оценивать. Таким образом, практическая значимость исследования заключается в создании базы системы защиты безопасности информации, что создает условия для дальнейшего развития и совершенствования ее работы в организации. Объектом исследования выступает система защиты информации. Предмет исследование – экономическая оценка эффективности используемой системы защиты информации. Цель исследования – провести экономическую оценку эффективности используемой системы защиты информации в Управе района и разработать рекомендации по совершенствованию системы защиты информации. Задачи исследования: 1.Провести анализ нормативно-правовых и методических документов в сфере защиты информации. 2. Описать основные параметры экономической оценки эффективности системы защиты информации. 3. Дать характеристику деятельности и установленной системы защиты информации Управы района. 4.Оценить экономические затраты на приобретение и эксплуатацию системы защиты информации Управы района и провести анализ эффективности ее использования. 5.Разработать рекомендации по совершенствованию системы защиты информации и оценить их эффективность. Методы исследования. К общенаучным методам, использованным в ходе написания исследования относится, во-первых, метод описания, с помощью которого были закреплены выявленные опытным путем особенности структуры организации, а также взаимодействия ее структурных подразделений. Во-вторых, был применен аналитический метод, позволивший определить основные требования, предъявляемые законодательством Российской Федерации к защите информации, определить потребности организации в конкретных мерах по обеспечению безопасности такой информации, а также выделить из общего информационного потока организации сведения, которые нуждаются в таких мерах. В-третьих, был применен и метод систематизации организации работ по защите информации, благодаря чему были выделены основные направления по обеспечению ее безопасности. Наряду с указанными методами были применены и методы аналогии и дедукции, которые позволили использовать аккумулированный опыт специалистов в сфере защиты информации в исследовании, направленном на решении частных задач. К специальным методам относится метод диагностики, который использовался в ходе обследования Управы района, а также который в совокупности с общенаучным методом анализа позволил выявить конкретные нужды организации в системе защиты информации. Также использовался метод графического моделирования, который использовался при построении таблиц, рисунков.
Нормативно-правовые и методические документы, регламентирующие процессы защиты информации
Необходимость защиты информации диктуют конституционные основы государства, поэтому любые другие источники обязаны соответствовать высшему нормативному правовому акту Российской Федерации, на основе комплекса которых строится система защиты информаци...
Открыть главуОсновные параметры экономической оценки эффективности системы защиты информации
Прежде чем перейти к описанию параметров и методов экономической оценки эффективности системы защиты информации, следует дать понятие эффективности защиты информации, под которой в ГОСТ Р 50922-2006 понимается «степень соответствия результатов защиты...
Характеристика деятельности и установленной системы защиты информации в Управе района
Управа района является территориальным органом исполнительной власти города, подведомственным Правительству. Оперативное руководство, координацию и контроль за деятельностью управы района осуществляет префект соответствующего административного округа...
Оценка экономической эффективности использования действующей системы защиты информации
С целью установления степени соответствия применяемых в Управе района защитных мер нормативным критериям был проведен анализ результативности системы защиты информации. Результаты аудита являются исходными данными для оценки качества системы защиты и...
Открыть главуВарианты совершенствования системы защиты информации и оценка затрат и результатов по внедрению новых вариантов использования СЗИ
Для совершенствования системы защиты информации в Управе района рекомендуется применять защитные меры и ограничения. 1.Защитные меры Защитные меры обеспечивают информационную безопасность при появлении угрозы, уменьшают уязвимость, ограничивают возде...
Открыть главуЗаключение
Быстрое развитие информационных технологий требует постоянного совершенствования систем защиты информации и анализа экономической эффективности их внедрения. Оценка экономической целесообразности применения мер по обеспечению информационной безопасности является важной задачей, решение которой должно осуществляться на основе комплексного подхода, учитывающего специфику конкретной организации. Методы оценки экономической эффективности системы защиты информации различны. Некоторые наиболее эффективным при работе с нечеткими категориями. В Управе района сформирована определенная политика информационной безопасности, состоящая из совокупности правовых, организационных и инженерно-технических мероприятий (комплексная система безопасности информационных ресурсов), но она требует улучшения. Рекомендовано разработать ряд документов для правового обеспечения безопасности информационных ресурсов. Организационные мероприятия играют важную роль в создании надежного механизма защиты информации и включают оборудование служебных помещений, правильный подбор персонала, строгий пропускной режим, введение новой должности сотрудника по обеспечению безопасности, повышение квалификации сотрудников в области защиты информации. Также рекомендовано создать в Управе района комиссию по безопасности и ввести в штат должность администратор безопасности ИКТ. Инженерно-технические мероприятия включают программно-аппаратные средства защиты информации (совокупность специальных антивирусных, криптографических программ). Набор угроз постоянно меняется и, как правило, известен только частично. Также со временем меняется и окружающая среда, и эти изменения способны повлиять на природу угроз и вероятность их возникновения. Поэтому все защитные меры для снижения риска до приемлемого уровня должны применятся в комплексе, так как ни один из способов обеспечения безопасности информации не является абсолютно надежным.
Список литературы
Ажмухамедов И. М. Оценка экономической эффективности мер по обеспечению информационной безопасности / И. М. Ажмухамедов, Т. Б. Ханжина // Вестник АГТУ. Экономика. 2011. № 1. С. 185-190. Андреев К. Метод оценки экономической эффективности подразделения по защите информации [Электронный ресурс]. – Режим доступа: http://lib.itsec.ru/articles2/Oborandteh/metod-ocenki-ekonomicheskoi-effektivnosti-podrazdeleniya-po-zashite-informacii. Бых А. А., Губенко Н. Е. Оценка экономической эффективности защиты информации малого предприятия на примере ООО Лилия с помощью метода экспертных оценок [Электронный ресурс]. – Режим доступа: http://masters.donntu.org/2014/iem/bykh/library/article2.htm. Голиков, Ю.А. Экономическая эффективность системы защиты информации: учеб.-метод. пособие / Ю.А. Голиков, Л.Ю. Сульгина. Новосибирск : СГГА, 2012. 41 с. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. М.: Стандартинформ, 2008. ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. М.: Стандартинформ, 2018. ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. М.: Стандартинформ, 2018. ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. М.: Стандартинформ, 2007. ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. М.: Стандартинформ, 2019. Гражданский кодекс Российской Федерации (часть четвертая) от 18.12.2006 № 230-ФЗ // Собрание законодательства РФ. 2006. № 52 (1 ч.). Ст. 5496. Доктрина информационной безопасности Российской Федерации. Утв. Президентом РФ 09.09.2000 № Пр-1895 // Российская газета. 2000. № 187. Закон РФ от 21.07.1993 № 5485-1 (ред. от 21.12.2013) «О государственной тайне» // Собрание законодательства РФ. 1997. № 41. С. 8220. Закутный А.С., Лопухов А.С. Оценка эффективности и анализ защищенности систем защиты информации [Электронный ресурс]. – Режим доступа: http://sbornik.dstu.education/articles/RU/283.pdf. Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ (ред. от 20.04.2014) // Собрание законодательства РФ. 2002. № 1 (ч. 1). Ст. 1. Охрименко С. А. Экономические аспекты эффективности систем защиты информации / С. А.Охрименко, Г. А. Черней. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» // Собрание законодательства РФ. 2012. № 45. Ст. 6257. Постановление Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» // Собрание законодательства РФ. 2012. № 11. Ст. 1297. Постановление Правительства РФ от 03.03.2012 № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» // Собрание законодательства РФ. 2012. № 7. Ст. 863. Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» // Собрание законодательства РФ. 2008. № 38. Ст. 4320. Стратегия развития информационного общества в Российской Федерации. Утв. Президентом РФ 07.02.2008 № Пр-212 // Российская газета. 2008. № 34. Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ // Собрание законодательства РФ. 2002. № 1 (ч. 1). Ст. 3. Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ // Собрание законодательства РФ. 1996. № 25. Ст. 2954. Указ Президента РФ от 06.03.1997 № 188 (ред. от 23.09.2005) «Об утверждении Перечня сведений конфиденциального характера» // Собрание законодательства РФ. 1997. № 10. Ст. 1127. Конституция Российской Федерации от 12.12.1993 // Собрание законодательства РФ. 2009. № 4. ст. 445. Федеральный закон от 01.04.1996 № 27-ФЗ (ред. от 12.03.2014) «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» // Собрание законодательства РФ. 1996. № 14. Ст. 1401. Федеральный закон от 03.04.1995 № 40-ФЗ (ред. от 21.12.2013) «О Федеральной службе безопасности» // Собрание законодательства РФ. 1995. № 15. Ст. 1269. Федеральный закон от 06.12.2011 № 402-ФЗ (ред. от 28.12.2013) «О бухгалтерском учете» // Собрание законодательства РФ. 2011. № 50. Ст. 7344. Федеральный закон от 15.11.1997 № 143-ФЗ (ред. от 25.11.2013) «Об актах гражданского состояния» // Собрание законодательства РФ. 1997. № 47. Ст. 5340. Федеральный закон от 17.07.1999 № 176-ФЗ (ред. от 06.12.2011) «О почтовой связи» // Собрание законодательства РФ. 1999. № 29. Ст. 3697. Федеральный закон от 22.10.2004 № 125-ФЗ (ред. от 11.02.2013) «Об архивном деле в Российской Федерации» // Собрание законодательства РФ. 2004. № 43. Ст. 4169. Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 05.04.2013) «Об информации, информационных технологиях и о защите информации» // Собрание законодательства РФ. 2006. № 31 (1 ч.). Ст. 3448. Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 23.07.2013) «О персональных данных» // Собрание законодательства РФ. 2006. № 31 (1 ч.). Ст. 3451. Федеральный закон от 27.07.2010 № 224-ФЗ (ред. от 23.07.2013) «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации» // Собрание законодательства РФ. 2010. № 31. Ст. 4193. Федеральный закон от 29.07.2004 № 98-ФЗ (ред. от 11.07.2011) «О коммерческой тайне» // Собрание законодательства РФ. 2004. № 32. Ст. 3283.