Оценка эффективности средств и методов защиты информации

Облачное хранилище: кадры с видеокамеры, а также данные со всех устройств хранятся удаленно в облаке, размещенном охранными компаниями.Подобные интеграции делают возможными бесконечные комбинации функций, которые предлагают различные охранные компании.Подразделение по защите информационной безопасности можно подразделить на три основные области: техническую, административную и физическую. Технический контроль включает такие меры, как брандмауэры, системы обнаружения вторжений и шифрование. Административный контроль включает политику, процедуры и профессиональную подготовку, которые помогают обеспечить надлежащее использование и защиту информации. Физический контроль включает такие меры, как блокировки, контроль доступа и системы наблюдения, которые защищают физическую среду, где хранится информация. Каждая из этих областей играет важнейшую роль в защите конфиденциальной информации и обеспечении конфиденциальности, целостности и доступности данных.Части ИБСрок реализацииСтоимость, тыс. рубТехническая2 месяца500Административная1 месяц150Физическая1 месяц700Таким образом, затраты на реализацию проекта ИБ составят 1350тыс.руб., без учета разработки модели угроз безопасности и модели нарушителя.2.2Расчёт расходов на разработку моделей нарушителей в организацииНачальная цена контракта за оказание услуг по защите информации в области разработки модели угроз безопасности и модели нарушителя с разработкой акта классификации информационной системы составляет порядка 250 тыс. руб.Предприятия имеющие различную специфику рынка и виды деятельности, должны уделять внимание вероятности возврата инвестиций в случае покупки ПО. После покупки корпоративного ПО показатель ROI поможет сделать верный выбор между продукциями. ROI (ReturnonInvestment) представляет из себя коэффициент по окупаемости инвестиционных вложений. Это инструмент, который использую предприятия при выборе покупке ПО и является одним из важнейших инструментов.Рисунок 7 – Структура и составляющие информационной безопасностиROI выражает отношения выгоды по отношению к возврату инвестиций, то есть к доходу от вложенных средств. Возврат инвестиций (ROI) – отношение измеримой выгоды к вложенным средствам в проект. Если говорят о том, что ROI = 200% это значит, что с каждой вложенной монеты вернулось 3 рубля.Совокупной стоимостью владений (ТСО) называется сумма затрат владельца определенной системы в процессе жизненного цикла.Окупаемость (Payback) является периодом времени, который нужен для прибыли от инвестиций, которые бы смогли покрыть затраты на инвестиции.Формула ROI представляет из себя разность выгоды и затрат, деленные на затраты умноженные на 100%: ROI = (Выгода – Затраты) / Затраты ×100%Источники ROI представляют из себя рисковые снижения в рамке модели угроз, рост эффективности обеспечения ИБ (администрирование, политики), уменьшение бизнес-рисков в ИБ (при соответствии)Рисунок 8 - методика расчета ROI в ИБ на основе модели угроз и рисковИсточниками ROI могут являться снижение рисков в рамках модели угроз, рост эффективности процессов обеспечения информационной безопасности (настройка политик, администрирование) и снижение рисков для бизнеса в аспекте информационной безопасности (при соблюдении соответствующих требований).Глава 3. Практическое обоснование проектных решений и риски проекта.3.1 Практическое обоснование проектных решенийИнформационная безопасность является жизненно важным компонентом любого предприятия. Учитывая растущую угрозу кибератак, необходимо внедрять такие решения, которые помогут защитить конфиденциальные данные и предотвратить несанкционированный доступ. Ниже приведены некоторые практические обоснования конструктивных решений по повышению информационной безопасности на предприятии:- Управление рисками: первым обоснованием для реализации проектных решений по повышению информационной безопасности является управление рисками. Предприятиям необходимо выявлять потенциальные риски и факторы уязвимости и принимать меры по их смягчению. Конструктивные решения могут помочь предприятиям выявлять риски и факторы уязвимости и разрабатывать стратегии их смягчения.- Требования к соблюдению: многие отрасли имеют строгие требования к соблюдению, которые должны соблюдаться предприятиями. Конструктивные решения могут помочь предприятиям выполнить требования и обеспечить их соответствие всем соответствующим нормам и стандартам.- Экономия затрат: внедрение дизайнерских решений, которые улучшают информационную безопасность, могут помочь предприятиям экономить расходы в долгосрочной перспективе. Кибератаки могут привести к значительным финансовым потерям, и внедрение дизайнерских решений может предотвратить потери.- Управление репутацией: кибератака может повредить репутации предприятия и привести к потере доверия клиентов. Дизайнерские решения могут помочь предотвратить кибератаки и защитить репутацию предприятия.- Конкурентное преимущество: внедряя дизайнерские решения, которые улучшают информационную безопасность, предприятия могут получить конкурентное преимущество над своими конкурентами. Клиенты чаще доверяют предприятиям, которые уделяют приоритетное внимание информационной безопасности, что может привести к увеличению продаж и доходов.В заключении, следует отметить, что внедрение проектных решений для повышения информационной безопасности имеет важное значение для любого предприятия иэти решения могут помочь управлять рисками, соответствовать требованиям соответствия, экономить затраты, защищать репутацию предприятия и получить конкурентное преимущество.Повышение информационной безопасности на предприятии может иметь ряд преимуществ. Во-первых, это может помочь предотвратить нарушения данных, которые могут быть дорогостоящими и нанести ущерб репутации компании. Во-вторых, это может повысить доверие клиентов, поскольку они могут быть уверены, что их личная информация защищена. В-третьих, это может помочь компании соблюдать нормативно-правовые требования, касающиеся конфиденциальности и безопасности данных. В-четвертых, это может повысить осведомленность сотрудников и понимание ими передовой практики в области безопасности, уменьшая вероятность человеческой ошибки, ведущей к нарушению. Наконец, это может помочь компании опережать возникающие угрозы и адаптироваться к новым вызовам безопасности. В целом, повышение информационной безопасности может помочь защитить активы, репутацию и отношения компании с клиентами и заинтересованными сторонами.3.2 Риски проектаСогласно стандартам, определенным в ГОСТ Р 50922-96 для защиты информации, несанкционированный доступ к данным означает акт получения конфиденциальной информации физическим или юридическим лицом без следования юридическим документам или нарушение правил доступа, установленных владельцем или уполномоченным персоналом. В качестве альтернативы, как указано в руководящих принципах ФСТЭК, несанкционированный доступ к информации имеет место в тех случаях, когда кто-либо получает доступ к данным в результате ненадлежащего использования сотрудниками компьютерного оборудования или автоматизированных систем, включая программное обеспечение, микропрограммы и техническую поддержку.Повышение информационной безопасности предприятия - важнейшая задача, к которой необходимо относиться серьезно,однако она не лишена рисков. Риски, связанные с проектом повышения информационной безопасности предприятия, можно разделить на три категории: технические риски, операционные риски и бизнес-риски.К техническим рискам относятся возможность простоя системы, утрата или повреждение данных, нарушения на этапе внедрения, уязвимости безопасности и проблемы совместимости. К оперативным рискам относятся невыполнение целей и задач проекта, задержки в графике осуществления проекта, недостаточная подготовка кадров и отсутствие заинтересованности заинтересованных сторон. Деловые риски включают потенциальный ущерб репутации, финансовые потери и негативное воздействие на доверие клиентов.Для уменьшения этих рисков проектные группы должны осуществлять всеобъемлющий план управления рисками, включающий постоянный мониторинг, регулярные оценки рисков и активные меры по устранению выявленных рисков. Кроме того, крайне важно привлечь к участию в проекте все заинтересованные стороны и организовать соответствующую подготовку для обеспечения того, чтобы все понимали важность информационной безопасности и их роль в ее поддержании. Кроме того, следует разработать планы на случай непредвиденных обстоятельств для устранения возможных сбоев или задержек в осуществлении проекта. Благодаря тщательному планированию и управлению рисками общеорганизационный проект по совершенствованию информационной безопасности может быть успешным и принести значительные выгоды для предприятия.ЗаключениеВ данной работе рассмотрены средства и ПО по защите офиса BridgeQuest и представлены рекомендации к составу и построению системы.Почти все системы безопасности бизнеса необходимо настраивать, чтобы иметь полное покрытие, защищающее все интересы.Бизнес-решение включает передовые технологии, удаленный доступ и беспроводную систему безопасности, которая более доступна по цене, чем другие системы безопасности для бизнеса, представленные на рынке. Высококачественные системы безопасности помогут защитить бизнес, сотрудников и инвентарь от преступлений, потерь и другого.В данной работе определен состав и содержание организационных и технических мер для обеспечения безопасности информации при ее обработке в информационных системах организации BridgeQuest.В рамках данной работы решены следующие задачи:-анализ информационной системы;-анализ структурно-функциональных характеристик информационной системы;-анализ угроз безопасности;-описание потенциальных нарушителей;-анализ возможных уязвимостей;-описание способов реализации угроз;-описание последствий от нарушения свойств безопасности информации;-рекомендации по ИБ ИС.В результате выполнения задач сформулированы проблемы компании, выполненанализ предпосылок, проведена диагностика объекта исследованияBridgeQuest, выполненаорганизация реализации проекта, предоставлены практическое обоснование проектных решений и риски проекта.Список использованных источников1. Язов Ю. К., Авсентьев О. С., Рубцова И. О. К вопросу об оценке эффективности защиты информации в системах электронного документооборота //Вопросы кибербезопасности. – 2019. – №. 1 (29). – С. 25-34.2. Николаев В. Н. и др. Оценка эффективности локальной вычислительной сети при решении главной и обеспечивающих задач //Известия Юго-Западного государственного университета. – 2019. – Т. 23. – №. 2. – С. 174-185.3. Сердюк В. Организация и технологии защиты информации: обнаружение и предотвращение информационных атак в автоматизированных систем предприятий. – Litres, 2022.4. Царькова Е. Г. Чем измерить эффективность: методы оценки эффективности систем физической защиты охраняемых объектов УИС //Актуальные вопросы информатизации Федеральной службы исполнения наказаний на современном этапе развития уголовно-исполнительной системы. – 2019. – С. 189-202.5. Лаута О. С. и др. Методика синтеза системы защиты информационнотелекоммуникационной сети в условиях информационного противоборства //Радиолокация, навигация, связь. – 2018. – С. 124-129.6. Щеглов К., Щеглов А. Защита информации: основы теории. Учебник для бакалавриата и магистратуры. – Litres, 2022.7. Скрыпников А. В. и др. Нормирование требований к характеристикам программных систем защиты информации //Вестник Воронежского государственного университета инженерных технологий. – 2018. – Т. 80. – №. 4 (78). – С. 96-110.8. Леньшин А. В., Кравцов Е. В. Функциональный метод обобщенных параметров для оперативной оценки возможностей технических средств разведки //Радиотехнические и телекоммуникационные системы. – 2021. – №. 3 (43). – С. 23-32.9. Язов Ю. К., Авсентьев О. С., Рубцова И. О. К вопросу об оценке эффективности защиты информации в системах электронного документооборота //Вопросы кибербезопасности. – 2019. – №. 1 (29). – С. 25-34.10. Николаев В. Н. и др. Оценка эффективности локальной вычислительной сети при решении главной и обеспечивающих задач //Известия Юго-Западного государственного университета. – 2019. – Т. 23. – №. 2. – С. 174-185.11. Сердюк В. Организация и технологии защиты информации: обнаружение и предотвращение информационных атак в автоматизированных систем предприятий. – Litres, 2022.12. Царькова Е. Г. Чем измерить эффективность: методы оценки эффективности систем физической защиты охраняемых объектов УИС //Актуальные вопросы информатизации Федеральной службы исполнения наказаний на современном этапе развития уголовно-исполнительной системы. – 2019. – С. 189-202.13. Лаута О. С. и др. Методика синтеза системы защиты информационнотелекоммуникационной сети в условиях информационного противоборства //Радиолокация, навигация, связь. – 2018. – С. 124-129.14. Щеглов К., Щеглов А. Защита информации: основы теории. Учебник для бакалавриата и магистратуры. – Litres, 2022.15. Скрыпников А. В. и др. Нормирование требований к характеристикам программных систем защиты информации //Вестник Воронежского государственного университета инженерных технологий. – 2018. – Т. 80. – №. 4 (78). – С. 96-110.16. Леньшин А. В., Кравцов Е. В. Функциональный метод обобщенных параметров для оперативной оценки возможностей технических средств разведки //Радиотехнические и телекоммуникационные системы. – 2021. – №. 3 (43). – С. 23-32.17. Калашников А. О., Сердечный А. Л., Остапенко А. Г. Картографический подход в библиометрическом исследовании отечественных научных школ, сложившихся в области защиты информации и обеспечения информационной безопасности //Информация и безопасность. – 2019. – Т. 22. – №. 4. – С. 455-484.18. Рычаго М. Е., Хорошева А. В. Математические методы оценки эффективности системы охраны исправительного учреждения //Вестник Владимирского юридического института. – 2018. – №. 2. – С. 30-36.19. Петренко С., Симонов С. Управление информационными рисками. – Litres, 2022.20. Маслов О. Н. Электромагнитная безопасность автоматизированных рабочих мест, оснащенных средствами активной защиты информации //Радиотехника и электроника. – 2018. – Т. 63. – №. 2. – С. 182-192.ПриложениеДалее приведены фото, где видно главный вход в бизнес-центр Полтавский и вход со двора в бизнес-центр Полтавский, внутри которого располагается предприятие BridgeQuest.Рисунок 1 – Главный вход в бизнес-центр ПолтавскийРисунок 2 – Вход со двора в бизнес-центр Полтавский