Современная российская экономика в качестве основной характеристики имеет активное формирование и развитие рыночных отношений и институтов. Ключевую роль в этом процессе играет инновационное предпринимательство. Как показывает мировой опыт, чем больше возможностей для расширения своей деятельности у инновационного бизнеса, тем более высокими являются темпы развития национальной экономики, укрепление позиций государства на мировом конкурентном рынке. В этих условиях весьма значительным фактором является обеспечение благоприятных условий развития инновационного предпринимательства в стране, повышение конкурентоспособности высокотехнологичного бизнеса.
«Конкуренция ведет к лучшему использованию знаний и достижений. Большая часть достигнутых человеческих благ получена именно путем состязания с целью завоевания конкурентных преимуществ. Конкуренция не может функционировать среди людей, лишенных осознания важности защиты инновационного бизнеса».
Нестабильные экономические условия заставляют компании внимательнее относится к вопросам защиты информации, при этом инциденты в сфере информационной безопасности имеют прямое влияние на прибыль компаний.
В этих условиях необходимо по-новому взглянуть на эффективность систем информационной безопасности, связанные с нею риски, определить обязательные действия по защите информации, и необходимые приоритеты дальнейшего развития. Перед руководителями подразделений по ИБ стоят задачи оптимального построения службы информационной безопасности, ее взаимосвязи с другими подразделениями и распределения полномочий, для обеспечения соответствия современным требованиям бизнеса.
Об экономических аспектах информационной безопасности вспоминают обычно раз в год, при формировании сметы расходов на ее обеспечение, и в случаях, когда очередной инцидент в системе ИБ приведет к заметному ущербу для предприятия. Между тем, эти аспекты необходимо учитывать при планировании всех инициатив в области ИБ. Современные методы и решения дают возможность обеспечить очень высокий уровень безопасности, однако и затраты на эти мероприятия могут оказаться весьма значительными - в крупных организациях затраты на защиту информационных систем иногда достигают 20- 30 % ИТ-бюджета. В связи с этим, задача создания эффективной методики определения и оптимизации общей стоимости владения системой ИБ представляется весьма актуальной.
Экономику информационной безопасности следует рассматривать как относительно самостоятельную дисциплину, которая базируется на некоторых общих экономических законах и методах анализа, и нуждается в индивидуальном понимании, развитии специфических подходов к анализу, накоплении специфических статистических данных, формировании устойчивых представлений о факторах, под влиянием которых функционируют информационные системы и средства защиты информации.
Сложность задач экономического анализа практически во всех областях деятельности, обуславливается тем, что многие ключевые параметры экономических моделей невозможно достоверно оценить, т.к. они носят вероятностный характер. Необходимо также учитывать то обстоятельство, что сам по себе такой анализ может оказаться достаточно ресурсоемкой процедурой и потребовать привлечения дополнительных специалистов и сторонних консультантов, а также усилий со стороны различных специалистов, работающих на самом предприятии, – все эти затраты, в конечном счете, должны быть оправданы. Особая сложность анализа информационной безопасности в регионе обуславливается:
- быстрым развитием ИТ, методов и методик, используемых как для защиты, так и для атак;
- невозможностью дать достоверную, достаточно точную оценку стоимости информационных ресурсов, а также оценить последствия различных нарушений в денежном выражении;
- недостаточным осознанием важности информационной безопасности предприятия;
- нехваткой квалифицированных специалистов в области информационной безопасности;
В связи с этим встает резонный вопрос: «Как обеспечить информационную безопасность предприятия, не сталкиваясь с перечисленными выше проблемами?».
Создание программного продукта для автоматизированного анализа информационной безопасности, позволило бы избежать насущных проблем для предприятия - снизив затраты на пользование услугами реальных людей, а также сократить временные издержки.
Наделенный интеллектуальным анализом программный продукт сможет проводить аудит информационной безопасности предприятия, давать рекомендации по устранению уязвимостей с учетом последних обновлений в сфере ИТ, под управлением одного человека. Что поможет избежать больших материальных затрат на содержание целого штата ИБ, либо пользование услугами ИТ-аутсорсинга. Также, программный продукт не будет уступать по опыту специалистам в области ИБ, поскольку будет реализована экспертная БД, используемая для интеллектуального анализа ситуации на предприятии, постоянно пополняющаяся новыми знаниями от экспертов. Постоянная удаленная связь программного продукта с сервером, содержащим экспертную БД, позволит предприятиям своевременно реагировать на изменение в методике защиты информации.
Несмотря на все трудности процесса оценки целесообразности внедрения средств защиты, описанная методология позволяет получать обоснованные оценки и делать формализованные выводы относительно того, насколько оправданными являются вложения в определенные средства защиты информации, а также определить основные приоритеты расходования средств, предусмотренных в бюджете на обеспечение информационной безопасности. При этом достаточно высокий уровень достоверности таких оценок достигается за счет того, что вся работа по проведению оценки и подготовке инвестиционных решений раскладывается на несколько относительно более простых и «прозрачных» задач. В результате общая оценка складывается на основе полученных решений нескольких отдельных задач, каждое из которых может быть проконтролировано и при необходимости дополнительно уточнено. Следовательно, основной проблемы – «подбор квалифицированных и опытных специалистов», не существует. А динамическое обновление БД позволит сохранять безопасность отдельных элементов информационных активов не только в определенные моменты времени, а гарантировать эффективность всей системы защиты информации в среднесрочной, а иногда и в долгосрочной перспективе.
Трусов Александр Николаевич
Иванченко Павел Юрьевич
Ефимочкин Алексей Сергеевич
Комментариев нет:
Отправить комментарий