Автор работы: Пользователь скрыл имя, 12 Января 2013 в 18:25, реферат
Целью данной работы является изучение и исследование вопросов инвестирования в информационную безопасность.
При этом конкретными задачами являются:
1) рассмотрение основных понятий информационной безопасности и ее основных составляющих;
2) рассмотрение теоретических основ инвестирования, а именно: понятия инвестиций, видов инвестиций, понятия инвестиционного проекта и его эффективности;
3) определение понятия инвестиций в информационную безопасность;
4) описание существующих программных продуктов по оценке инвестиций в информационную безопасность.
Второй этап. На втором этапе осуществляется ввод в систему всех видов информации, представляющей ценность для компании. Введенные группы ценной информации должны быть размещены пользователем на ранее указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т.д.). Заключительная фаза - указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз.
Третий этап. На третьем этапе вначале проходит определение всех видов пользовательских групп. Затем определяется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и/или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащих ценную информацию.
Четвертый этап. На четвертом этапе требуется указать, какими средствами защиты информации защищена ценная информация на ресурсах и рабочие места групп пользователей. Также вводится информация о разовых затраты на приобретение всех применяющихся средств защиты информации и ежегодные затраты на их техническую поддержку, а также - ежегодные затраты на сопровождение системы информационной безопасности компании, куда включаются затраты на годовую зарплата персонала, занимающегося вопросами обеспечения ИБ; обучение персонала по информационной безопасности; услуги в области ИБ сторонних компаний; сертификация в области ИБ, и т.д.
Пятый этап. На завершающем этапе пользователь должен ответить на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков. Этот этап необходим для получения достоверных оценок существующих в системе рисков. Применение средств информационной защиты не делает систему защищенной в случае их не адекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса и т.д.
По окончанию ответов на вопросы раздела "Политика безопасности" сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности. [10]
Отчет представляет собой подробный, дающий полную картину возможного ущерба от инцидентов документ, готовый для представления руководству компании:
Отчет по системе состоит из 3 частей.
Первая часть отчета - "Информационные риски ресурсов":
Вторая часть отчета - "Соотношение ущерба и риска":
Третья часть отчета - "Общий вывод о существующих рисках информационной системы":
Итоговая оценка "ГРИФ" основывается на целом наборе параметров, которые определяются защищенностью анализируемого объекта: анализируются как технологические аспекты защищенности согласно стандартам Good Practice, ISO 15408 и прочим, так и вопросы комплексной безопасности согласно стандарту ISO 17799.
Система "ГРИФ" содержит модуль управления рисками, который позволяет проанализировать все причины того значения риска, который получается после обработки алгоритмом занесенных данных. Таким образом, зная причины, пользователь будет обладать всеми данными, необходимыми для реализации контрмер и, соответственно, снижения уровня риска. Благодаря расчету эффективности каждой возможной контрмеры, а также определению значения остаточного риска можно выбрать наиболее оптимальные мероприятия, которые позволят снизить риск до необходимого уровня с наименьшими затратами.
Благодаря расширенному алгоритму "ГРИФ" может проанализировать не только информационные потоки, но и конкретные угрозы и уязвимости системы. При этом можно использовать встроенные в систему базы угроз и уязвимостей, для внедрения которых Digital Security, создатель системы "ГРИФ 2005", специально разработала классификацию угроз. Более того, последние версии системы имеют максимально гибкие настройки, позволяющие настроить проект так, что он полностью соответствовал особенностям конкретной компании. [3, с.125]
Заключение
Инвестирование в
Для планирования и осуществления инвестиционной деятельности особую важность имеет оценка эффективности инвестиционного проекта. При этом значительную роль играет правильный выбор методики такой оценки.
В этой связи в работе поставлены и решены следующие задачи:
-рассмотрены существующие
угрозы информационной
-дано понятие информационной безопасности и раскрыто ее содержание;
-описаны методы и средства защиты информации;
-рассмотрены теоретические
основы инвестирования, а именно:
понятие инвестиций, виды инвестиций,
понятие инвестиционного
-определено понятие
-рассмотрена
Список использованной литературы:
Информация о работе Инвестирование в информационную безопасность