Скрыть
Раскрыть

ISSN 1998-0663 (print),
ISSN 2587-8166 (online)

English version: ISSN 2587-814X (print),
ISSN 2587-8158 (online)

Ефимов Е. Н.1, Лапицкая Г. М.2
  • 1 Ростовский государственный экономический университет (РИНХ). , 344002, г. Ростов-на-Дону, ул. Большая Садовая, д. 69.
  • 2 Ростовский государственный экономический университет (РИНХ). , 344002, г. Ростов-на-Дону, ул. Большая Садовая, д. 69.

Оценка эффективности мероприятий информационной безопасности в условиях неопределенности

2015. № 1 (31). С. 51–57 [содержание номера]

Ефимов Евгений Николаевич - доктор экономических наук, профессор кафедры информационных технологий и защиты информации, факультет компьютерных технологий и информационной безопасности, Ростовский государственный экономический университет (РИНХ).
Адрес: 344002, г. Ростов-на-Дону, ул. Большая Садовая, д. 69. 
E-mail: efimov46@mail.ru

Лапицкая Галина Мелконовна - кандидат экономических наук, профессор кафедры информационных технологий и защиты информации, факультет компьютерных технологий и информационной безопасности, Ростовский государственный экономический университет (РИНХ).
Адрес: 344002, г. Ростов-на-Дону, ул. Большая Садовая, д. 69. 
E-mail: gmlapickaya@mail.ru

       На всех этапах жизненного цикла системе защиты информации присущи неопределенность ее свойств в условиях реального воздействия случайных факторов из внешней и внутренней среды.  По мере реализации проекта системы неопределенность снижается, но эффективность функционирования никогда не может быть адекватно выражена и описана детерминированными показателями. Тогда к оценке эффективности реализации и функционирования систем защиты информации наилучшим образом применимы вероятностные методы. В соответствии с этими методами уровни гарантий безопасности системы трансформируются в доверительные вероятности соответствующих оценок показателей. В этих условиях данные для оценки эффективности мероприятий по повышению информационной безопасности можно получить с помощью имитационного моделирования.
      Предложенная методика расчета оценки результата воздействия мероприятий по информационной безопасности в компании базируется на моделировании оценок предотвращенных потерь. Значение предотвращенных потерь может быть рассчитано, исходя из вероятности возникновения инцидента информационной безопасности и возможных экономических потерь от него до и после реализации мероприятий по обеспечению информационной безопасности на объекте. Получаемое в результате моделирования суммарное значение предотвращенных потерь по всем инцидентам информационной безопасности позволяет задать и осуществить сценарный расчет возможного эффекта от проведенных мероприятий. Итоговый расчет эффективности мероприятий по повышению информационной безопасности компании может быть выполнен любым из известных методов. В мировой практике для оценки эффективности ИТ-проектов широко применяется стандартный метод анализа затрат и выгод (Cost Benefit Analysis, CBA). Реализация предлагаемого варианта расчета эффективности мероприятий по повышению информационной безопасности выполнена на примере в методе CBA.
      Основным достоинством предлагаемой методики расчета эффективности мероприятий по повышению информационной безопасности является учет неопределенности реальной действительности с помощью имитационного моделирования. Это позволяет в определенной степени повысить достоверность расчетов эффекта. 

Ключевые слова: информационная безопасность; эффективность; моделирование; предотвращенные потери
 Текст статьи
BiBTeX
RIS
 
 
Rambler's Top100 rss