TY - JOUR TI -
Оценка эффективности мероприятий информационной безопасности в условиях неопределенности
T2 - Бизнес-информатика IS - Бизнес-информатика KW - информационная безопасность KW - эффективность KW - моделирование KW - предотвращенные потери AB - Ефимов Евгений Николаевич - доктор экономических наук, профессор кафедры информационных технологий и защиты информации, факультет компьютерных технологий и информационной безопасности, Ростовский государственный экономический университет (РИНХ).Адрес: 344002, г. Ростов-на-Дону, ул. Большая Садовая, д. 69. E-mail: efimov46@mail.ruЛапицкая Галина Мелконовна - кандидат экономических наук, профессор кафедры информационных технологий и защиты информации, факультет компьютерных технологий и информационной безопасности, Ростовский государственный экономический университет (РИНХ).Адрес: 344002, г. Ростов-на-Дону, ул. Большая Садовая, д. 69. E-mail: gmlapickaya@mail.ru На всех этапах жизненного цикла системе защиты информации присущи неопределенность ее свойств в условиях реального воздействия случайных факторов из внешней и внутренней среды. По мере реализации проекта системы неопределенность снижается, но эффективность функционирования никогда не может быть адекватно выражена и описана детерминированными показателями. Тогда к оценке эффективности реализации и функционирования систем защиты информации наилучшим образом применимы вероятностные методы. В соответствии с этими методами уровни гарантий безопасности системы трансформируются в доверительные вероятности соответствующих оценок показателей. В этих условиях данные для оценки эффективности мероприятий по повышению информационной безопасности можно получить с помощью имитационного моделирования. Предложенная методика расчета оценки результата воздействия мероприятий по информационной безопасности в компании базируется на моделировании оценок предотвращенных потерь. Значение предотвращенных потерь может быть рассчитано, исходя из вероятности возникновения инцидента информационной безопасности и возможных экономических потерь от него до и после реализации мероприятий по обеспечению информационной безопасности на объекте. Получаемое в результате моделирования суммарное значение предотвращенных потерь по всем инцидентам информационной безопасности позволяет задать и осуществить сценарный расчет возможного эффекта от проведенных мероприятий. Итоговый расчет эффективности мероприятий по повышению информационной безопасности компании может быть выполнен любым из известных методов. В мировой практике для оценки эффективности ИТ-проектов широко применяется стандартный метод анализа затрат и выгод (Cost Benefit Analysis, CBA). Реализация предлагаемого варианта расчета эффективности мероприятий по повышению информационной безопасности выполнена на примере в методе CBA. Основным достоинством предлагаемой методики расчета эффективности мероприятий по повышению информационной безопасности является учет неопределенности реальной действительности с помощью имитационного моделирования. Это позволяет в определенной степени повысить достоверность расчетов эффекта. AU - Е. Н. Ефимов AU - Г. М. Лапицкая UR - https://bijournal.hse.ru/2015--1 (31)/150394223.html PY - 2015 SP - 51-57 VL -