ЛАБОРАТОРНАЯ РАБОТА №1.АНАЛИЗ РЫНКА ИНФОРМАЦИОНННЫХ ТОВАРОВ И УСЛУГ
ЭКОНОМИКА ЗАЩИТЫ ИНФОРМАЦИИ
Методические указания
к выполнению лабораторных работ
Специальность 090103 - Организация и технология защиты информации
Санкт-Петербург
Допущено
редакционно-издательским составом СПбГИЭУ в качестве методического издания
Составитель
канд. экон. наук, проф. В.Н. Бугорский
Подготовлено на кафедре
Вычислительных систем и программирования
Отпечатано в авторской редакции с оригинал-макета, представленного составителем
ã СПбГИЭУ, 2012
СОДЕРЖАНИЕ
ОБЩИЕ ПОЛОЖЕНИЯ.. 3
СОДЕРЖАНИЕ ЛАБОРАТОРНЫХ РАБОТ.. 3
ЛАБОРАТОРНАЯ РАБОТА №1. АНАЛИЗ РЫНКА ИНФОРМАЦИОНННЫХ ТОВАРОВ И УСЛУГ. 3
ЛАБОРАТОРНАЯ РАБОТА №2 АНАЛИЗ ЗАТРАТ НА ОБЕСПЕЧЕНИЕ ФУНКЦИОНИРОВАНИЯ ДЕПАРТАМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. 3
ЛАБОРАТОРНАЯ РАБОТА №3 РАЗРАБОТКА НЕКОТОРЫХ РАЗДЕЛОВ БИЗНЕС-ПЛАНА ОРГАНИЗАЦИИ ДЕПАРТАМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. 3
РЕКОМЕНДУЕМАЯ ЛИТЕРАТУРА.. 3
ОБЩИЕ ПОЛОЖЕНИЯ
Дисциплина «Экономика защиты информации» относится к дисциплинам по выбору студента профессионального цикла, связана с дисциплинами учебного плана «Теория информационной безопасности и методология защиты информации», «Информационные технологии», «Менеджмент», «Экономика».
В результате изучения дисциплины студенты должны получить следующие знания, умения и навыки:
· знания о месте информации в структуре общественного производства ее роли как ресурса экономики и фактора производства, об основах обеспечения экономической безопасности государства, общества, личности; об уровнях и объектах экономической безопасности, методах ее обеспечения;
· умения анализировать состояние экономической безопасности организации и правильно определять роль защиты информации в ее обеспечении;
· практические навыки определения расчетным и экспертным методами стоимостных оценок ущерба, наносимого владельцу информации.
ХАРАКТЕРИСТИКА РЫНКА УСЛУГ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Развитие современных информационных технологий, рост зависимости деятельности многих предприятий и учреждений от функционирования информационных систем и постоянное нарастание объемов и сложности информационных потоков привели к тому, что задачи обеспечения информационной безопасности стали требовать использования значительных ресурсов. В частности, финансовые средства, выделяемые на обеспечение информационной безопасности, занимают все большую долю в бюджетах предприятий, а текущее и стратегическое управление защитой информации требует большего внимания не только со стороны специалистов по информационным технологиям, но и со стороны руководителей и собственников предприятий. Зачастую необходимые ресурсы и усилия руководителей в этой сфере оказываются сопоставимыми с теми ресурсами, которые тратятся на осуществление основной деятельности предприятий. Таким образом, сложились предпосылки для формирования рынка различных услуг по обеспечению информационной безопасности, которые (услуги) помогли бы не только повысить эффективность защиты информационных ресурсов, но и оптимизировать издержки предприятий и организаций. Ряд факторов обусловили появление у предприятий потребностей в услугах сторонних фирм, решающих задачи обеспечения информационной безопасности.
Причиной того, что предприятия оказываются заинтересованными в отказе от самостоятельного выполнения определенных функций и привлечения сторонних специализированных компаний для решения этих задач (в современной практике такой подход принято называть "аутсорсингом"http://www.intuit.ru/department/itmngt/manofis/13/footnote.1.1.htm или "передачей на аутсорсинг"), является возможность повысить эффективность процессов защиты информации, в определенной мере сократить издержки на эти процессы, а также в большей степени сконцентрироваться на управлении основной деятельностью предприятия и не отвлекать ресурсы и время руководителей на решение задач, являющихся по своей сути вторичными и вспомогательными по отношению к основным целям и задачам деятельности предприятия. Более высокая эффективность работы специализированных компаний – поставщиков услуг в сфере информационной безопасности по сравнению с самостоятельным решением этих задач самими предприятиями, как правило, связана с тем, что высокие издержки распределяются между множеством предприятий – клиентов поставщика услуг. Характерными примерами таких расходов, которые, с одной стороны, могут оказаться непозволительными для одного предприятия, но, с другой стороны, могут быть эффективно распределены между несколькими предприятиями, являются:
· найм высококвалифицированных специалистов в относительно узких дисциплинах и областях информационной безопасности (таких как использование криптографических средств, борьба с вирусами, внедрение виртуальных частных сетей и т.п.);
· частое переобучение и повышение квалификации специалистов;
· постоянное отслеживание новых угроз и глубокий качественный анализ текущего состояния информационных технологий и тенденций их развития;
· приобретение специализированных программных и аппаратных средств, необходимых для защиты информации и аудита информационных систем;
· обеспечение круглосуточного дежурства служб реагирования на инциденты.
При всех преимуществах передачи отдельных задач обеспечения безопасности на аутсорсинг этот подход имеет и ряд недостатков, которые в определенной мере могут ограничивать его применение.
· Предприятие, которое пользуется такими услугами, несколько ограничивает себя в возможностях управлять своими затратами и сокращать издержки (накладные расходы) и, таким образом, попадает в определенную зависимость от ценовой политики поставщиков услуг, а также от складывающейся конъюнктуры рынка.
· Сотрудники компании, предоставляющей услуги, получают доступ к наиболее важной информации предприятия-клиента и его информационным системам, что потенциально может быть источником дополнительных рисков для информационной безопасности.
· Возникают дополнительные угрозы информационной безопасности при взаимодействии между компанией-поставщиком и предприятием-клиентом в процессе оказания услуг (например, может быть перехвачена информация при удаленном администрировании информационных систем предприятия-клиента).
Основными услугами, которые могут быть переданы на аутсорсинг (как по отдельности, так и в комплексе), являются:
· услуги по проведению комплексных аудитов состояния информационной безопасности на предприятии;
· услуги по проведению аудитов (инструментальных проверок) устойчивости и надежности отдельных информационных подсистем (сетей, программных и аппаратных платформ и т.п.) и средств защиты информации, используемых предприятием;
· услуги по сертификации информационных систем, производимых программных и аппаратных средств защиты информации;
· консультационные услуги, связанные с формированием стратегии предприятия в сфере информационной безопасности и разработкой политики безопасности;
· услуги по проектированию системы защиты информации;
· консультационные услуги по выбору и адаптации отдельных технологий защиты информации (криптографии, биометрической идентификации и т.п.) применительно к определенным условиям ведения бизнеса;
· услуги по внедрению системы защиты информации, а также внедрению отдельных технических (программных и аппаратных) средств и реализации организационных мероприятий;
· услуги по текущему администрированию, поддержке и сопровождению информационных систем и систем защиты информации;
· услуги по реагированию на инциденты, связанные с нарушениями информационной безопасности;
· услуги по обучению руководителей предприятия, специалистов службы информационной безопасности и ИТ-службы, а также пользователей информационной системы предприятия.
Тем не менее, несмотря на определенные недостатки в развитии рынка услуг по обеспечению информационной безопасности, неоспоримым фактом является то, что многие такие услуги уже представлены на рынке, а основные рыночные и организационные механизмы начинают отрабатываться на практике. При этом одной из рекомендаций при работе с фирмами-поставщиками услуг в сфере информационной безопасности является правило - пользоваться услугами нескольких разных фирм и периодически менять партнеров, обеспечивающих решение тех или иных проблем безопасности.
ХАРАКТЕРИСТИКА ДЕПАРТАМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Департамент информационной безопасности (далее – департамент) предприятия представляет собой самостоятельное структурное подразделение предприятия, непосредственно выполняющее ключевые функции защиты информационных ресурсов.
Его основными задачами, как правило, являются:
· организация и координация работ по обеспечению комплексной защиты информации на предприятии;
· контроль за выполнением установленных требований и оценка эффективности работы подразделений и персонала предприятия по обеспечению информационной безопасности;
· выполнение отдельных административных и технических функций по обеспечению информационной безопасности, в т.ч.:
- формирование, поддержка и документальное обеспечение политики информационной безопасности на всех уровнях;
- внедрение различных средств защиты информации;
- администрирование отдельных информационных систем.
Состав задач департамента и его внутренняя организационная структура в каждом конкретном случае определяется такими особенностями функционирования предприятия, как:
· значимость информационных ресурсов в работе предприятия и характер существующих угроз;
· отношение руководства и собственников предприятия к вопросам информационной безопасности и их управленческая квалификация;
· функциональность и характер используемых информационных систем, их роль в бизнес-процессах;
· организация работы и структура ИТ-службы;
· финансовое состояние предприятия.
Таким образом, решение о составе и структуре департамента в каждом случае должно быть индивидуальным и учитывающим все основные условия.
На практике департамент является подразделением, либо напрямую подчиняющимся первому лицу предприятия, либо входящим в качестве структурной единицы в службу безопасности предприятия. Сотрудники департамента находятся в административном и функциональном подчинении у руководителя департамента, который несет ответственность за обеспечение информационной безопасности на предприятии. Вывод департаментов информационной безопасности из структуры ИТ-служб на предприятиях является одной из важных современных тенденций в управлении бизнесом, информационными технологиями и информационной безопасностью, т.к., по мнению некоторых специалистов, у этих подразделений имеются некоторые частично взаимопротиворечащие интересы и потому некоторые задачи не могут быть эффективно решены в рамках одного структурного подразделения.
В составе департамента для повышения эффективности работы могут быть выделены самостоятельные группы (отделы), специализирующиеся на выполнении определенных функций:
- отдел (группа, бюро) нормативной (организационной) документации;
- отдел (группа, бюро) администрирования информационных систем;
- отдел (группа, бюро) аудита информационной безопасности;
- отдел (группа, бюро) внедрения информационных систем и систем защиты информации.
Рис. 1. Пример организационной схемы Департамента информационной безопасности предприятия
Отдел нормативной документации решает задачи, связанные с формированием, поддержкой и документальным обеспечением политики информационной безопасности предприятия, и должен, главным образом, включать в себя специалистов по менеджменту и бизнес-анализу, прошедших дополнительную подготовку в сфере управления информационной безопасностью. Также в состав такого отдела могут входить юристы. Аналогичный кадровый состав может быть и у Отдела внутреннего аудита информационной безопасности. При этом к квалификации сотрудников Отдела нормативной документации, как правило, должны предъявляться гораздо более высокие профессиональные требования.
Отдел администрирования информационных систем, а также Отдел внедрения информационных систем и систем защиты информации, как правило, должны включать в себя специалистов по информационным технологиям и средствам защиты информации, имеющих значительный опыт внедрения и эксплуатации корпоративных информационных систем.
Функции, связанные с формированием, поддержкой и документальным обеспечением политики информационной безопасности предприятия, могут включать в себя:
· консультирование руководителей и собственников предприятия по вопросам разработки и совершенствования политики информационной безопасности;
· самостоятельная разработка политики безопасности, ее согласование и представление ее руководству предприятия для утверждения, а также внесение необходимых изменений по мере изменения условий работы предприятия;
· самостоятельная разработка политик безопасности, касающихся отдельных вопросов защиты информации (правил применения телекоммуникационных технологий, требований, обязательных для всех используемых на предприятии персональных компьютеров и т.п.);
· формирование требований и регламента процедур пересмотра политики безопасности, отдельных правил, типовых форм и других документов;
· анализ отдельных договоров и соглашений со сторонними организациями (поставщиками, покупателями, партнерами по проведению НИОКР и т.п.) на предмет соответствия требованиям политики информационной безопасности.
Эффект от централизации функций, связанных с реагированием на инциденты, складывается из нескольких составляющих и предоставляет возможности как для сокращения затрат и повышения уровня защищенности предприятий-клиентов, так и для получения прибыли фирмами-поставщиками таких услуг.
При этом разграничение функций между предприятием-клиентом и компанией-поставщиком услуг может зависеть от таких факторов, как:
· уровень доверия предприятия-клиента к фирме-поставщику услуг;
· сложившаяся практика оказания таких услуг и наличие у фирмы-поставщика необходимых специалистов с определенным уровнем квалификации;
· состав, характеристики и функциональность информационных систем предприятия-клиента;
· уровень квалификации сотрудников предприятия-клиента (как пользователей информационных систем, так и сотрудников департамента информационной безопасности);
· оценка существующих рисков (вероятности нанесения ущерба);
· оценка (в том числе и субъективная) того, насколько значимым является знание внутренней среды предприятия сотрудниками службы информационной безопасности и их способность "изнутри" координировать действия и решать проблемы в случае каких-либо инцидентов.
Кроме того, в некоторых случаях могут существовать определенные законодательные ограничения на аутсорсинг процессов безопасности (в частности, для государственных предприятий).
При проведении аудитов информационной безопасности помимо факторов, которые обуславливают необходимость проведения именно внешних аудитов, а не внутренних (более высокая квалификация специалистов, право делать заключения о соответствии международным стандартам и т.п.), важным является также и то обстоятельство, что внешние аудиторы, как правило, не заинтересованы в представлении необъективной информации. В случае же, если предприятие захочет создать собственную независимую службу для проведения аудитов информационной безопасности (отдельно от департамента информационной безопасности и других подразделений предприятия), результатом могут оказаться очень большие затраты, тем более что частота проведения таких аудитов, как правило, является не очень большой.
Функции, связанные с внедрением средств защиты информации могут включать в себя:
· анализ современных программных и аппаратных средств защиты информации и связанных с ними методик защиты, а также рынка доступных средств защиты информации, применяемых для различных целей, и подготовка обоснованных предложений по приобретению определенных продуктов у определенных поставщиков;
· анализ закупаемых информационных систем (операционных систем, прикладных программ, телекоммуникационного оборудования, вычислительной техники и т.п.) на предмет их потенциальной надежности и наличия уязвимостей;
· привлечение сторонних экспертов и консультантов для анализа закупаемых и используемых средств защиты информации с точки зрения их надежности, а также с точки зрения целесообразности их применения (внедрения);
· формулирование требований (связанных с обеспечением информационной безопасности) к самостоятельно разрабатываемым программным продуктам или программному обеспечению, создаваемому на заказ сторонними разработчиками;
· участие в проектировании новых информационных систем, а также тестировании вновь разработанных и внедряемых программных продуктов;
· разработку технико-экономического обоснования для проектов внедрения средств защиты информации, а также привлечение для этих целей сторонних аналитиков и консультантов, специализирующихся на вопросах анализа средств защиты информации;
· подготовку обоснованных решений о выборе между самостоятельной разработкой средств защиты информации (например, программных модулей, осуществляющих шифрование данных) и передачей их разработки сторонним компаниям.
Функции, связанные с администрированием информационных систем и систем защиты информации могут включать в себя:
· выполнение некоторых функций по администрированию отдельных информационных систем (баз данных, систем коллективной работы с документами, почтовых систем и т.п.), а также администрирование и конфигурирование систем защиты информации (межсетевых экранов, систем обнаружения вторжений и т.п.);
· определение требуемых типовых настроек и конфигураций рабочих станций (персональных компьютеров), имеющих отношение к информационным системам предприятия (в частности, подключенных к его локальной сети);
· привлечение сторонних организаций для осуществления текущего администрирования информационных систем и систем защиты информации, а также для консультационной и технической поддержки при возникновении инцидентов, связанных с информационной безопасностью (в частности, при осуществлении нападений на информационные системы предприятия);
· установку (в том числе и совместно со специалистами ИТ-подразделения) программных и аппаратных средств защиты информации на рабочие места пользователей и в другие элементы информационных систем;
· консультирование пользователей по возникающим вопросам, связанным с информационной безопасностью, и оперативное разрешение возникающих у них проблем;
· реагирование на различные инциденты, связанные с нарушением информационной безопасности;
· принятие активных встречных мер при обнаружении вторжений в информационную систему (информирование правоохранительных органов, самостоятельный поиск нападающих и т.п.);
· генерирование паролей пользователей информационных систем и обеспечение их сохранности;
· участие в восстановлении работоспособности информационных систем после сбоев и нарушений в работе.
Функции, связанные с контролем выполнения требований политики информационной безопасности и проведением аудитов могут включать в себя:
· сбор и анализ сведений о нарушениях различных требований политики безопасности, поступающих из различных источников (в том числе и от администраторов информационных систем) и определение приоритетных направлений контрольной работы;
· проверку организационной документации отдельных подразделений предприятия на предмет соответствия требованиям политики информационной безопасности (в том числе и своевременности внесения всех необходимых изменений в действующие внутренние организационные документы);
· проверку состояния (правильности ведения) текущей хозяйственной и кадровой документации отдельных подразделений предприятия, связанной с обеспечением информационной безопасности (правильности и своевременности заполнения журналов, своевременность оформления обязательств о неразглашении сведений сотрудниками и т.п.);
· проведение комплексных аудитов информационной безопасности на предприятии;
· организацию контрольных проверок защищенности отдельных элементов информационных систем (серверов, сегментов сети и т.п.);
· привлечение сторонних организаций для проведения аудитов информационной безопасности на предприятии, проверок надежности информационных систем.
Кроме перечисленных функций, непосредственно связанных с защитой информационных ресурсов, также большое значение имеет выполнение функций, связанных с охраной имущества предприятия и решением задач, которые связаны с обеспечением безопасности предприятия в более широком смысле.
СОДЕРЖАНИЕ ЛАБОРАТОРНЫХ РАБОТ
№ п/п | Наименование тем дисциплины | Содержание лабораторных работ |
Тема 3. Определение экономической эффективности защиты информации (основные положения) | Лабораторная работа №1. Анализ рынка информационных услуг и продуктов в сфере защиты информации. Лабораторная работа №2. Анализ затрат на обеспечение функционирования департамента информационной безопасности. | |
Тема 4. Оценка экономического эффекта защиты информации. Экономическая эффективность инвестиций в защиту информации | Лабораторная работа №3. Разработка разделов бизнес-плана организации департамента информационной безопасности: · Обоснование экономической целесообразности выбора варианта организационной формы предприятия отдела по защите информации; · Разработка финансового плана в качестве раздела бизнес-плана департамента информационной безопасности и оценка эффективности его работы. |
МАТЕРИАЛЬНО-ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ УЧЕБНОГО ПРОЦЕССА
Проведение работ лабораторного практикума предусматривает использование компьютерных классов с компьютерами не ниже Pentium IV.
Лабораторный практикум по дисциплине предусматривает использование следующих программных средств:
· СУБД Microsoft Access 2010;
· Web-браузер Internet Explorer 7.0;
· Microsoft Visio 2007 и Design IDEF или BPWin, ER Win);
· Microsoft Project 2007;
· MS SQL server 2008.
ЛАБОРАТОРНАЯ РАБОТА №1.АНАЛИЗ РЫНКА ИНФОРМАЦИОНННЫХ ТОВАРОВ И УСЛУГ
Цель работы:
Изучение рынка информационных товаров и услуг, включая услуги в сфере защиты информации. Анализ цен и тарифов на товары и услуги.
Теоретическая часть.
Рынок информационных продуктов и услуг получил значительное развитие, однако на нём в настоящее время наряду с недавно появившимися услугами и продуктами сохраняется большая часть традиционных услуг и продуктов. До середины 60-х годов основными поставщиками на этом рынке выступали службы новостей и агентства прессы, а также информационные службы банков, работающих на коммерческой основе. Кроме того, активно развивались информационные службы академических, профессиональных и научно-технических обществ, государственных учреждений и учебных заведений (работающие преимущественно на некоммерческой основе). Услуги включали новости, распространяемые по телеграфным каналам, информационные издания, распространяемые по подписке (библиографическая, обзорно-аналитическая информация), библиотечное обслуживание и копирование первоисточников (по запросам, межбиблиотечному абонементу и т.п.). В рамках информационного рынка специалисты ЮНЕСКО выделяют три основных сектора:
· информация, – то есть деятельность по подготовке и продаже информации;
· информационные услуги, – то есть деятельность по обработке и распространению информации и защите информации;
· средства обработки информации, – то есть производство оборудования, необходимого для подготовки и распространения информации и всех видов информационных услуг.