Экономическая и финансовая безопасность фирмы
Необходимо разработать средства и методы обеспечения информационной безопасности предприятия. Целью разработки должно стать обеспечение устойчивого функционирования предприятия, предотвращение угроз его безопасности, защита законных интересов предприятия от противоправных посягательств.
Для этого необходимо: отнести необходимую информацию к категории ограниченного доступа (коммерческой тайне); прогнозировать и своевременно выявлять угрозы безопасности информационным ресурсам, причины и условия, способствующие нанесению финансового, материального и морального ущерба; создать условия функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам; создать механизм и условия оперативного реагирования на угрозы информационной безопасности, эффективного пресечения посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности.
При выполнении работ можно использовать модель построения системы информационной безопасности, изображенную на рисунке 5.1.
|
|
|
Рис. 5.1. Модель построения системы информационной безопасности на ОАО «Завод СТАРТ» |
- естественное воздействие
- управляющее воздействие
Представленная модель информационной безопасности – это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на предприятии и на сохранность информационных ресурсов.
Рассматриваются следующие объективные факторы:
угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;
уязвимости информационной системы или системы контрмер (системы информационной безопасности), влияющие на вероятность реализации угрозы;
риск-фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования (риск в конечном итоге отражает вероятные финансовые потери – прямые или косвенные).
Для построения сбалансированной системы информационной безопасности предполагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для организации на основе заданного критерия. Систему информационной безопасности (контрмеры) предстоит построить таким образом, чтобы достичь заданного уровня риска.
Предлагаемая методика проведения аналитических работ позволяет полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасности, избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков, оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем, обеспечить проведение работ в сжатые сроки, представить обоснование для выбора мер противодействия, оценить эффективность контрмер, сравнить различные варианты контрмер.
При построении модели будут учитываться взаимосвязи между ресурсами. Например, выход из строя какого-либо оборудования может привести к потере данных или выходу из строя другого критически важного элемента системы. Подобные взаимосвязи определяют основу построения модели организации с точки зрения информационной безопасности.
Эта модель, в соответствии с предлагаемой методикой, строится следующим образом: для выделенных ресурсов определяется их ценность, как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т.д. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оцениваются вероятности их реализации.