@ARTICLE{26583204_150394223_2015, author = {Е. Н. Ефимов and Г. М. Лапицкая}, keywords = {, информационная безопасность, эффективность, моделированиепредотвращенные потери}, title = {
Оценка эффективности мероприятий информационной безопасности в условиях неопределенности
}, journal = {Бизнес-информатика}, year = {2015}, number = {1 (31)}, pages = {51-57}, url = {https://bijournal.hse.ru/2015--1 (31)/150394223.html}, publisher = {}, abstract = {Ефимов Евгений Николаевич - доктор экономических наук, профессор кафедры информационных технологий и защиты информации, факультет компьютерных технологий и информационной безопасности, Ростовский государственный экономический университет (РИНХ).Адрес: 344002, г. Ростов-на-Дону, ул. Большая Садовая, д. 69. E-mail: efimov46@mail.ruЛапицкая Галина Мелконовна - кандидат экономических наук, профессор кафедры информационных технологий и защиты информации, факультет компьютерных технологий и информационной безопасности, Ростовский государственный экономический университет (РИНХ).Адрес: 344002, г. Ростов-на-Дону, ул. Большая Садовая, д. 69. E-mail: gmlapickaya@mail.ru На всех этапах жизненного цикла системе защиты информации присущи неопределенность ее свойств в условиях реального воздействия случайных факторов из внешней и внутренней среды. По мере реализации проекта системы неопределенность снижается, но эффективность функционирования никогда не может быть адекватно выражена и описана детерминированными показателями. Тогда к оценке эффективности реализации и функционирования систем защиты информации наилучшим образом применимы вероятностные методы. В соответствии с этими методами уровни гарантий безопасности системы трансформируются в доверительные вероятности соответствующих оценок показателей. В этих условиях данные для оценки эффективности мероприятий по повышению информационной безопасности можно получить с помощью имитационного моделирования. Предложенная методика расчета оценки результата воздействия мероприятий по информационной безопасности в компании базируется на моделировании оценок предотвращенных потерь. Значение предотвращенных потерь может быть рассчитано, исходя из вероятности возникновения инцидента информационной безопасности и возможных экономических потерь от него до и после реализации мероприятий по обеспечению информационной безопасности на объекте. Получаемое в результате моделирования суммарное значение предотвращенных потерь по всем инцидентам информационной безопасности позволяет задать и осуществить сценарный расчет возможного эффекта от проведенных мероприятий. Итоговый расчет эффективности мероприятий по повышению информационной безопасности компании может быть выполнен любым из известных методов. В мировой практике для оценки эффективности ИТ-проектов широко применяется стандартный метод анализа затрат и выгод (Cost Benefit Analysis, CBA). Реализация предлагаемого варианта расчета эффективности мероприятий по повышению информационной безопасности выполнена на примере в методе CBA. Основным достоинством предлагаемой методики расчета эффективности мероприятий по повышению информационной безопасности является учет неопределенности реальной действительности с помощью имитационного моделирования. Это позволяет в определенной степени повысить достоверность расчетов эффекта. }, annote = {Ефимов Евгений Николаевич - доктор экономических наук, профессор кафедры информационных технологий и защиты информации, факультет компьютерных технологий и информационной безопасности, Ростовский государственный экономический университет (РИНХ).Адрес: 344002, г. Ростов-на-Дону, ул. Большая Садовая, д. 69. E-mail: efimov46@mail.ruЛапицкая Галина Мелконовна - кандидат экономических наук, профессор кафедры информационных технологий и защиты информации, факультет компьютерных технологий и информационной безопасности, Ростовский государственный экономический университет (РИНХ).Адрес: 344002, г. Ростов-на-Дону, ул. Большая Садовая, д. 69. E-mail: gmlapickaya@mail.ru На всех этапах жизненного цикла системе защиты информации присущи неопределенность ее свойств в условиях реального воздействия случайных факторов из внешней и внутренней среды. По мере реализации проекта системы неопределенность снижается, но эффективность функционирования никогда не может быть адекватно выражена и описана детерминированными показателями. Тогда к оценке эффективности реализации и функционирования систем защиты информации наилучшим образом применимы вероятностные методы. В соответствии с этими методами уровни гарантий безопасности системы трансформируются в доверительные вероятности соответствующих оценок показателей. В этих условиях данные для оценки эффективности мероприятий по повышению информационной безопасности можно получить с помощью имитационного моделирования. Предложенная методика расчета оценки результата воздействия мероприятий по информационной безопасности в компании базируется на моделировании оценок предотвращенных потерь. Значение предотвращенных потерь может быть рассчитано, исходя из вероятности возникновения инцидента информационной безопасности и возможных экономических потерь от него до и после реализации мероприятий по обеспечению информационной безопасности на объекте. Получаемое в результате моделирования суммарное значение предотвращенных потерь по всем инцидентам информационной безопасности позволяет задать и осуществить сценарный расчет возможного эффекта от проведенных мероприятий. Итоговый расчет эффективности мероприятий по повышению информационной безопасности компании может быть выполнен любым из известных методов. В мировой практике для оценки эффективности ИТ-проектов широко применяется стандартный метод анализа затрат и выгод (Cost Benefit Analysis, CBA). Реализация предлагаемого варианта расчета эффективности мероприятий по повышению информационной безопасности выполнена на примере в методе CBA. Основным достоинством предлагаемой методики расчета эффективности мероприятий по повышению информационной безопасности является учет неопределенности реальной действительности с помощью имитационного моделирования. Это позволяет в определенной степени повысить достоверность расчетов эффекта. } }