Экономика информационной безопасности предприятия

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Автономная некоммерческая образовательная организация высшего образования Центросоюза Российской Федерации

Российский университет кооперации

Казанский кооперативный институт (филиал)

Кафедра «Инженерно-технические дисциплины и сервис»

Направление 38.0305 «Бизнес-информатика»

КУРСОВАЯ РАБОТА

по дисциплине «Информационная безопасность»

на тему:

Экономика информационной безопасности предприятия

Выполнила Шилова В.Е.

2 курса группы 941

Руководитель: к.э.н.,

доцент Кутепова Л.М.

Казань 2016

СОДЕРЖАНИЕ

Введение

1. Экономические проблемы информационных ресурсов и защиты информации

1.1 Рынок информации

1.2 Экономические проблемы информационных ресурсов

2. Экономическая безопасность

2.1 Роль информации в обеспечении экономической безопасности

предприятия в рыночных условиях

2.2 Прямые и косвенные затраты на защиту информации предприятия

Заключение

Список использованных источников

Приложение

ВВЕДЕНИЕ

В первое десятилетие XXI века значение информации многократно возросло, информация приобрела огромную ценность не только с точки зрения государственной тайны, но и в коммерческом плане. Сокращение времени на проектирование, жесткая конкуренция на рынке IT технологий, многократное увеличение продукции на рынке телекоммуникационных систем и устройств увеличило риск выпуска «неконкурентной» продукции.

Решению этой проблемы экономистами уделяется огромное значение. Предложено большое количество методик и разработок для расчета стоимостных показателей информационной безопасности. При этом, в описаниях угроз ИБ и программных средствах их оценки, широко представленных на рынке зарубежными и отечественными разработчиками, используются классификации и алгоритмы, имеющие, как правило, отраслевой или законодательный "крен" и напрасно не отражающие специфику угроз верхнего уровня ИБ.

Целью данной курсовой работы является изучение экономики информационной безопасности предприятия.

Задачи курсовой работы:

- определение степени значимости (секретности) той или иной информации, исходя из требований законодательных документов и/или решений руководства фирмы;

- установление соответственно определенных весов тем или иным угрозам.

1. Экономические проблемы информационных ресурсов и защиты информации

1.1 Рынок информации

Информация как товар содержит собственную специфику, отличающую ее от иных товаров:

а) она считается одновременно и предметом труда и средством труда, что объединяет ее с этим моментом производства, как земля. Однако она отличается от последней тем, что не обладает природными качествами;

б) принимает и форму продукта труда, и форму услуги. Это обусловлено расширенной трактовкой информационного сектора общественного производства, который структурно включает в себя широкий спектр отраслей, связанных с производством, распределением, хранением, обработкой и конечным использованием информации, а также отраслей, производящих для всех вышеперечисленных средства производства;

в) товарную форму и стоимостную оценку имеет лишь небольшая часть информации, циркулирующей в обществе;

г) информация является объектом персонифицированной собственности, информация как услуга не отчуждается от собственника в актах купли-продажи, что отличает ее от знания, которое не имеет персонифицированного собственника;

д) обладает относительной ценностью. Информация ради информации ценности не имеет. Ценность определяется относительно какой-либо цели, для достижения которой совершается сбор и обработка информации;

е) обладает ценностью не только для отдельного потребителя, но и свойством всеобщей полезности с точки зрения развития человеческого общества в целом. Из мира товаров можно выделить только деньги, обладающие этим же свойством всеобщности, но у них понятие всеобщности связано с эквивалентностью в обмене. Информация же таким свойством обладает в сфере потребления, а отсюда вытекает следующее свойство;

ж) обладает свойством многократного использования. В отличие от других факторов производства, которые также могут использоваться многократно, информация не теряет своих потребительских свойств. Больше того, если производительное использование энергии, сырья, материалов, топлива ведет к их физическому потреблению и увеличению энтропии в природе, то использование целесообразной информации дает совершенно противоположный эффект, способствует умножению и накоплению научных знаний, повышению степени организованности окружающей среды и общественных систем, уменьшению энтропии;

з) с точки зрения интересов фирмы информация является носителем знания о внутренней и внешней среде фирмы, о самой фирме и о ее продуктах труда, превращая внутреннюю и внешнюю среду фирмы в «информационное пространство»;

и) с точки зрения интересов человеческого общества в целом, информация является инструментом интеллектуализации окружающей человека среды, превращая эту среду в «инфосферу»;

к) выступает как кодифицируемое, или как оформленное знание, поскольку процесс его передачи требует специфической, удобной для приобретения и использования.

В силу этого информация дополнительно обладает воспроизводственными особенностями:

а) в производстве продукции, услуги - защищена от копирования и выступает в различных формах интеллектуальной собственности;

б) в распределении продукции - незащищена и легко может быть скопирована;

в) в обмене - информация сама имеет товарную форму, ценность которой определяется не столько затратами, сколько предпочтениями;

г) в потреблении продуктов и услуг является товаром-спутником, а в ее

собственном потреблении зависит от способности пользователя распорядиться информацией с максимальным эффектом. Как отмечалось в работах зарубежных экспертов 2-3% мирового населения - это граждане супер-индустриального общества. Их специфическое отличие в том, что они уже включились в новый ускоренный темп жизни. Они живут «быстрее», чем окружающие.

Однако нарастающий темп жизни вступает в определенное противоречие со способностью человека к адаптации. Не каждому дано использовать в полной мере все возможности информационных потоков. Носителем закодированной информации могут быть:

- вещество в любой опредмеченной форме;

- энергия;

- процесс;

- явление.

Самая большая проблема, стоящая перед экономической наукой - квантифицировать влияние информации на финансовую жизнь и высказать данный наиважнейший момент в денежных категориях. И нет ни 1-го метода производительного приложения труда, который в то же самое время не был бы приложением информации. Отсюда ученые данного вопроса делают вывод, собственно, что инструменты и машины, будучи овеществленным трудом, считаются в то же время овеществленной информацией.

Так как информация является самым главным и важным фактором производства, в соответствии с этим она переносит свою стоимость на стоимость создаваемого товара, то есть имеет в ее структуре конкретный вес. Наиболее совокупным определением стоимости на сегодняшний день считается объединение полезности и издержек производства товара, как равноправных, и независимых сил.

Произвести информацию это означает понести конкретные издержки на ее добычу, то есть понести затраты на восприятие качеств тех процессов, которые касаются отношений между людьми по поводу более действенного распределения ограниченных ресурсов для удовлетворения большего круга бескрайних потребностей. Вне зависимости от того, воспринял экономический субъект информацию, или же нет - она объективно существует. Вследствие этого сущность процесса производства информации заключается в том, чтобы извлечь из этой объективно существующей «информационной массы» конкретные ее «части», с помощью их восприятия. Как раз затраты на аналогичные вычленение и составляют стоимость информации, если ее рассматривать с позиций издержек производства.

Информация, как один элемент структуры стоимости самой информации, измеряется теми же факторами - трудовыми расходами человека и информацией, а в результате их денежным выражением. Человек попросту не воспримет информацию, не владея другой, важной для ее восприятия информацией - более низкого значения. Таким образом, мы дойдем до такого значения информации, воспринимая которую человек не затрачивает труд - это, к примеру, простая информация об окружающем нас мире, которую человек получает невольно при помощи собственных органов чувств. То есть, здесь уже идет речь о получении экономической информации человеком, а не о ее производстве. А, обрабатывая эту простую информацию при помощи собственных интеллектуальных возможностей, человек воплощает уже в производство информации высочайшего значения, вовлекая в качестве ресурсов труд и информацию.

В соответствии с международным стандартом по информационной безопасности ISO 27001iso17799 стоимость информационного ресурса определяет его собственник. Информация это не материальный объект, который возможно объективно измерить, это скорее свойство материи. Она, в отличие от данных, зависит не от носителя, а от метода обработки информации и всегда хранится в закодированном виде.

Де-юре, стоимость информации не определена ни в одном российском законе. Стоимость государственной информации определяется косвенным путем присвоением грифа секретности для информации различного значения. По степени секретности возможно косвенным образом догадываться о ее стоимости. О реальной стоимости данной грифованой информации мы узнаем редко, только тогда, когда некий шпион передает информацию зарубежной разведке. За это время мы с удивлением узнаем, что информация, переданная шпионами, практически бесценна для государства и может составлять многие миллионы долларов.

Но никаким официальным документом стоимость информации до кражи не определяется. Во время войн, кризисных обстановок цена информации быстро растет, и многие разведчики буквально охотятся в том числе и за незначительной информацией, но которая может принести огромные преимущества в решении конфликта.

Рассмотрим, что же такое есть цена информации? Так как мы уже обращали внимание на то, что информация все более и более становится товаром, все чаще появляется необходимость ее оценки не только с точки зрения количества и качества, но и с точки зрения ее денежного эквивалента.

Информация и знания рассматриваются сейчас как интеллектуальный капитал, новое богатство организации. При энтропическом подходе каждая корпорация имеет свою обобщенную модель делового мира, основанную на информации, которой она обладает - это влияет на доходы и расходы организации. Модель помогает выявить те места и потенциальные возможности, такие как характеристики, которые влияют на качество продукции и на требования покупателя. Как только информация становится более точной, способность компании конкурировать на рынке возрастает.

То есть, информация для компании - это явный актив, достояние, значение. Информация компании в таком случае, как и для любой компании, это имущество, поэтому оно должно иметь денежное измерение, есть и способы измерения:

- упрощенный подход к измерению цены информации. В случае свободного рынка истинная цена информации - та, за которую ее рынок покупает;

- измерение цены информации ценой эквивалентного экономического показателя. То есть, всегда существует промежуток, зазор между построенными принципами и реальностью.

1.2 Экономические проблемы информационных ресурсов

В соответствии с действующим Федеральным законом «Об информации, информационных технологиях и защите информации» 2006 года информационные ресурсы предприятия, организации, учреждения, банка, компании и других государственных и негосударственных предпринимательских структур включают в себя отдельные документы и отдельные массивы документов, документы и комплексы документов в информационных системах на любых носителях, в том числе обеспечивающих работу вычислительной и организационной техники.

Информационные ресурсы считаются объектами отношений физических и юридических лиц между собой и государством. В совокупности они составляют информационные ресурсы России и защищаются законом наряду с другими видами ресурсов. Документирование информации считается обязательным условием включения информации в информационные ресурсы.

Документ может быть не только управленческим, но и в текстовой, табличной и анкетной форме. Большие объемы наиболее ценных документов представлены в изобразительной форме: конструкторские документы, картографические, научно-технические, документы на фотографических, магнитных и иных носителях.

По принадлежности, информационные ресурсы могут быть государственными или негосударственными, и, как элемент состава имущества, находиться в собственности граждан, органов государственной власти, исполнительных органов, органов местного самоуправления, государственных учреждений, организаций и предприятий, общественных объединений, предпринимательских структур.

В соответствии с интересами обеспечения государственной безопасности и степенью значения для государства, а также правовыми, экономическими и другими интересами предпринимательских структур информационные ресурсы могут быть:

а) открытыми;

б) ограниченного или запрещенного доступа.

Накопители информационных ресурсов представляют собой пассивные концентраторы этой информации и включают в себя:

- публикации о фирме и ее разработках;

- рекламные издания, выставочные материалы, документацию;

- персонал фирмы и окружающих фирму людей;

- физические поля, волны, излучения, сопровождающие работу вычислительной и другой офисной техники, различных приборов и средств связи и т.п.

Источники содержат информацию как открытого, так и ограниченного доступа. Причем информация того и другого рода находится в едином информационном пространстве и разделить ее без тщательного содержательного анализа часто не представляется возможным. Например, систематизированная совокупность открытой информации может в комплексе содержать сведения ограниченного доступа.

Документация, как источник информации ограниченного доступа может включать:

а) документацию, содержащую сведения ограниченного распространения и представления;

б) комплексы обычной деловой и научно-технической документации, содержащей общеизвестные сведения, организационно-правовые и распорядительные документы;

в) рабочие записи сотрудников, их служебные дневники, личные рабочие планы, переписку по производственным вопросам;

г) личные архивы сотрудников фирмы.

В каждой из указанных групп могут быть:

- документы на традиционных бумажных носителях;

- документы на технических носителях;

- электронные документы, банки электронных документов, изображения документов на экране дисплея.

При выполнении управленческих и производственных действий любая информация всегда распространяется во внешней среде. Тем самым увеличивается число опасных источников разглашения или утечки информации ограниченного доступа, источников, подлежащих учету и контролю.

Каналы распространения информации носят объективный характер, отличаются активностью и включают в себя:

- деловые, управленческие, торговые, научные и другие коммуникативные регламентированные связи;

- информационные сети;

- естественные технические каналы излучения, создания фона.

Канал распространения информации представляет собой путь перемещения сведений из одного источника в другой в санкционированном режиме или в силу объективных закономерностей.

Документированные информационные ресурсы, которые используются предпринимателем в бизнесе и управлении фирмой, являются его собственной или частной информацией, представляющей для него значительную ценность. Эта информация составляет интеллектуальную собственность предпринимателя. Ценность информации может быть стоимостной категорией и характеризовать конкретный размер прибыли при ее использовании или размер убытков при ее утрате. Информация часто становится ценной ввиду ее правового значения для фирмы или развития бизнеса, например: учредительные документы, программы и планы, договоры с партнерами и посредниками и т.д. Ценность может проявляться в ее перспективном научном, техническом или технологическом значении. Обычно выделяется два вида информации, интеллектуально ценной для предпринимателя:

а) техническая, технологическая;

б) деловая.

Ценная информация охраняется нормами права, товарным знаком или защищается включением ее в категорию информации, составляющей коммерческую тайну.

Процесс выявления и регламентации реального состава ценной информации, составляющей коммерческую тайну, является основополагающей частью системы защиты информации на предприятии.

Состав этих сведений фиксируется в особом списке, закрепляющем факт отнесения их к защищаемой информации и определяющем этап конфиденциальности данных, степень их конфиденциальности, список сотрудников компании, которым дано право использовать эти сведения в работе. В основе списка лежит стандартный состав защищаемых сведений компаний предоставленного профиля. Список считается неизменным трудящимся материалом управления компании, служб защищенности и секретной документации. Он представляет собой классифицированный перечень стандартной и определенной ценной информации о проводимых работах, совершаемой продукции, научных и деловых идеях, технологических новшествах. Нельзя ограничивать доступ к информации, которая относится к новой продукции, но не имеющей ценности.

При заключении любого договора стороны обязаны взять на себя обоюдные письменные обещания по защите конфиденциальной информации другой стороны и документов, приобретенных при переговорах, выполнения критерия договора. Производственная или коммерческая ценность информации, как правило, недолговечна и ориентируется периодом, важным конкуренту для выработки той же идеи или же ее хищения и воспроизводства, а еще периодом до патентования, опубликования и перехода в число общеизвестных.

Документированная информация ограниченного доступа всякий раз принадлежит к 1 из видов тайны - государственной или негосударственной. В соответствии с этим документы делятся на секретные и несекретные. Обязательным признаком секретного документа является наличие в нем сведений, составляющих в соответствии с законодательством государственную тайну. Несекретные документы, включающие сведения, относимые к негосударственной, или содержащие персональные данные граждан, именуются конфиденциальными. Не обращая внимания на то, что конфиденциальность считается синонимом секретности, термин широко применяется исключительно для обозначения информационных ресурсов ограниченного доступа, не отнесенных к государственной тайне.

Конфиденциальность отображает ограничение, которое накладывает собственник информации на доступ к ней иных лиц, т.е. собственник устанавливает правовой режим данной информации в соответствии с законом. Конфиденциальность документов всегда имеет значительный разброс по срокам ограничения свободного доступа к ним персонала фирмы. Следует принимать во внимание, собственно, что основная масса секретных документов впоследствии завершения их выполнения или же работы с ними утрачивает собственную ценность и конфиденциальность. Например, переписка до заключения контракта может иметь гриф конфиденциальности, но после его подписания этот гриф с письменного разрешения первого руководителя фирмы снимается.

Следовательно, конфиденциальные документы характеризуются специфическими особенностями, которые отражают их сущность как носителей информации ограниченного доступа и определяют построение системы защиты этой информации. Все информационные ресурсы предприятия постоянно подвергаются объективным и субъективным угрозам утраты носителя или ценности информации. Под угрозой или опасностью утраты информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица. Для информационных ресурсов ограниченного доступа диапазон угроз, предполагающих утрату информации значительно шире в результате того, что к этим документам проявляется повышенный интерес со стороны различного рода злоумышленников. В отличие от объективного распространения утрата информации влечет за собой незаконный переход конфиденциальных сведений, документов к субъекту, не имеющему права владения, распоряжения ими и использования в своих целях. Обязательным условием успешного осуществления попытки несанкционированного доступа к информационным ресурсам ограниченного доступа является интерес к ним со стороны конкурентов, определенных лиц, служб и организаций. При отсутствии такого интереса угроза информации не возникает даже в том случае, если создались предпосылки для ознакомления с ней постороннего лица.

Следовательно, утрата информационных ресурсов ограниченного доступа может наступить:

- при наличии интереса конкурента, учреждений, фирм или лиц к конкретной информации;

- при возникновении риска угрозы, организованной злоумышленником или при случайно сложившихся обстоятельствах;

- при наличии условий, позволяющих злоумышленнику осуществить необходимые действия и овладеть информацией.

Эти условия могут включать:

- отсутствие системной аналитической и контрольной работы по выявлению и изучению угроз, каналов и степени риска нарушений безопасности информационных ресурсов;

- неэффективную систему защиты информации или отсутствие этой системы;

- непрофессионально организованную технологию обработки и хранения конфиденциальных документов;

- неупорядоченный подбор персонала и текучесть кадров, сложный психологический климат в коллективе;

- отсутствие системы обучения сотрудников правилам защиты информации ограниченного доступа;

- отсутствие контроля со стороны руководства за соблюдением персоналом требований нормативных документов по работе с информационными ресурсами ограниченного доступа;

- бесконтрольное посещение помещений, где происходит работа с информационными ресурсами ограниченного доступа, посторонними лицами.

Следует всегда помнить, что факт документирования резко увеличивает риск угрозы информации. Великие мастера прошлого никогда не записывали секреты своего искусства, а передавали их устно сыну, ученику. Поэтому тайна изготовления многих уникальных предметов того времени так и не раскрыта до наших дней. Угрозы сохранности, целостности и конфиденциальности информационных ресурсов ограниченного доступа практически реализуются через риск образования канала несанкционированного получения кем-то ценной информации и документов.

Этот канал представляет собой совокупность незащищенных или слабо защищенных направлений возможной утраты информационных ресурсов ограниченного доступа, которые злоумышленник использует для получения необходимых сведений. Каждое конкретное предприятие обладает своим набором каналов несанкционированного доступа к информации, что зависит от множества моментов - профиля деятельности, объемов защищаемой информации, профессионального уровня персонала, местоположения здания и т.п.

Функционирование канала несанкционированного доступа к информации обязательно влечет за собой утрату информации, исчезновение носителя информации. Утрата информации характеризуется двумя условиями, информация переходит:

а) непосредственно к заинтересованному лицу конкуренту, злоумышленнику;

б) к случайному, третьему лицу.

Под третьим лицом в данном случае понимается любое постороннее лицо, получившее информацию во владение в силу обстоятельств или безответственности персонала, не обладающее правом владения ею и, что очень важно, не заинтересованное в этой информации.

Однако от третьего лица информация может легко перейти к злоумышленнику. Переход информации к третьему лицу представляется достаточно частым явлением, и его можно назвать непреднамеренным, стихийным, хотя при этом факт разглашения информации, нарушения ее безопасности имеет место. В отличие от третьего лица злоумышленник или его сообщник целенаправленно охотятся за конкретными информационными ресурсами и преднамеренно, противоправно устанавливают контакт с источником этих ресурсов или преобразуют канал их объективного распространения в канал их разглашения или утечки. Такие каналы всегда являются тайной злоумышленника.

Таким образом, содержание составных частей элементов, методы и средства защиты информационных ресурсов в рамках любой системы защиты должны регулярно изменяться с целью предотвращения их раскрытия заинтересованным лицом. Конкретная система защиты информации всегда является строго конфиденциальной, секретной.

правовой стоимостной информационный безопасность

2. Экономическая безопасность

2.1 Роль информации в обеспечении экономической безопасности предприятия в рыночных условиях

Каждый человек в течение своей жизни, так или иначе, связан с предприятиями. В рамках предприятия повсеместно осуществляется человеческая деятельность. Нет организаций без людей, равно как и нет людей, которым не приходится иметь дело с организациями. Предприятие- сложный организм. В нем переплетаются и уживаются интересы личности и групп, стимулы и ограничения, жесткая технология и инновации, безусловная дисциплина и свободное творчество, нормативные требования и неформальные инициативы. У организаций есть свой облик, своя культура, свои традиции и репутация. Они уверенно развиваются, когда имеют обоснованную стратегию и эффективно используют ресурсы. Они перестраиваются, когда перестают отвечать избранным целям. Они погибают, когда оказываются неспособными выполнять свои задачи.

Каждое общество состоит из множества организаций, с которыми связаны все аспекты и проявления человеческой жизни - общества в целом, экономики, науки, культуры, образования, обороны, личной жизни. Предприятие - это сознательно координируемое социальное образование с определенными границами, функционирующее на относительно постоянной основе, для достижения общей цели или целей. Под словами «сознательно координируемое» понимается управление, под «социальным образованием» - то, что организация состоит из людей или групп лиц, взаимодействующих между собой.

Предприятие имеет определенные границы, которые могут меняться со временем. Члены организации, которые возлагаются определенные обязанности, вносят свой вклад в достижение установленных целей. Преимущество организованных групп состоит в том, что человек, входя в состав коллектива, может более успешно достичь своих целей, чем индивидуально.

Структура организации определяет, каким образом должны быть распределены задачи, кто докладывает и кому, каковы формальные координирующие механизмы и модели взаимодействия. Для нее характерны комплексность, формализация и определенное соотношение централизации и децентрализации. Определение организации предусматривает необходимость формального координирования взаимодействия работников. Комплексность рассматривает степень дифференциации в рамках организации. Она включает уровень специализации или разделение труда, количество уровней в иерархии организации и степень территориального распределения частей организации.

Под формализацией понимаются заранее разработанные и установленные правила и процедуры, определяющие поведение работников. Некоторые организации минимально оперируют стандартными директивами. Другие имеют все типы правил, инструктирующих работников по поводу того, что они могут и чего не могут делать.

Соотношение централизации и децентрализации определяется уровнями, на которых вырабатываются и принимаются правленческие решения в организации. В некоторых организациях процесс принятия решений очень централизован, действия по разрешению проблем предпринимаются высшими руководителями, в других случаях принятие решений децентрализовано, ответственность делегируется вниз по иерархии.

Принятые соотношения централизации и децентрализации определяют характер и тип устанавливаемой организационной структуры управления. Каждая организация имеет свое предназначение - миссию, во имя которой люди объединяются и осуществляют свою деятельность. Осуществляя свое предназначение, организация добивается достижения определенных целей - выживания, роста, доходности. Она выпускает определенную продукцию и оказывает услуги, использует различные технологии и т.д.

Примерная характеристика предназначения организации в обобщенном виде включает:

а) предлагаемые продукты или услуги;

б) место и роль в системе рыночных отношений;

в) цели организации;

г) технологию;

д) философию;

е) внутреннюю концепцию;

ж) внешний образ, имидж.

В настоящее время широко распространено понятие о жизненном цикле организаций как о предсказуемых их изменениях с определенной последовательностью состояний в течение времени. Применяя понятие жизненного цикла, можно видеть: существуют отчетливые этапы, через которые проходят организации, и переходы от одного этапа к другому являются предсказуемыми, а не случайными. Концепции жизненного цикла уделяется большое внимание в литературе по изучению рынков. Жизненный цикл используется, чтобы объяснить, как продукт проходит через этапы рождения или формирования, роста, зрелости и упадка.

Организации имеют некоторые исключительные характеристики, требующие определенной модификации понятия жизненного цикла. Один из вариантов деления жизненного цикла организации на соответствующие временные отрезки предусматривает следующие этапы:

а) предпринимательства;

б) коллективности;

в) формализации и управления;

г) выработки структуры;

д) упадка.

На этом этапе может наступить банкротство. Под несостоятельностью в Федеральном законе понимается неспособность должника удовлетворить требования кредиторов по денежным обязательствам и исполнить обязанность по уплате обязательных платежей. Для обеспечения жизненного цикла организации, необходима всесторонне характеризующая ее информация. Последнюю необходимо рассматривать комплексно и всесторонне, охватывая все процессы производства; факторы конкурентной борьбы, продиктованные рыночными отношениями; компоненты информационных технологий. Для обеспечения безопасности предприятия создаются службы безопасности. Более подробно на функционировании их остановимся в следующем разделе. На основе рассмотренного нами жизненного цикла организации, а также образованием новой экономической реальности в государстве и необходимостью обеспечения экономической безопасности хозяйствующего субъекта перед ним и его службой безопасности.

Необходимо отметить, что выполнение поставленных задач и построение обобщенной системы экономической безопасности на предприятии должно осуществляться на основе соблюдения принципов:

- законности;

- уважения прав и свобод граждан;

- централизованного управления;

- координации и взаимодействия с правоохранительными органами;

- самостоятельности и ответственности за обеспечение безопасности;

- разумной достаточности;

- соответствия внешним и внутренним угрозам безопасности;

- передовой материально-технической оснащенности;

- прогрессирующего стимулирования субъектов системы;

- компетентности;

- конфиденциальности;

- комплексного использования сил и средств.

2.2 Прямые и косвенные затраты на защиту информации предприятии

Как уже отмечалось, безопасность предприятия обеспечивается комплексом мер на всех этапах его жизненного цикла, его информационной системы и в общем случае складывается из стоимости:

- проектных работ;

- закупки и настройки программно-технических средств защиты;

- затрат на обеспечение физической безопасности;

- обучения персонала;

- управления и поддержки системы;

- аудита защиты информации;

- периодической модернизации системы защиты информации и т.д.

Стоимостным показателем экономической эффективности комплексной системы защиты информации будет сумма прямых и косвенных затрат на организацию, эксплуатацию и сопровождение системы защиты информации в течение года.

Он может рассматриваться как ключевой количественный показатель эффективности организации защиты информации в компании, так как позволит не только оценить совокупные затраты на защиту, но управлять этими затратами для достижения требуемого уровня защищенности предприятия. При этом прямые затраты включают как капитальные компоненты затрат, так и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей и др., связанные с поддержкой деятельности организации.

В свою очередь, косвенные затраты отражают влияние комплексной системы безопасности и подсистемы защиты информации на служащих посредством таких измеримых показателей, как простои и «зависания» корпоративной системы защиты информации и комплексной системы безопасности в целом, затраты на операции и поддержку.

Очень часто косвенные затраты играют значительную роль, так как они обычно изначально не отражаются в бюджете на комплексную систему безопасности, а выявляются явно при анализе затрат в последствии, что в конечном счете приводит к росту «скрытых» затрат компании. Рассмотрим, как можно определить прямые и косвенные затраты на комплексную систему безопасности. Предположим, что руководство предприятия проводит работы по внедрению на предприятии комплексной системы защиты информации. Уже определены объекты и цели защиты, угрозы информационной безопасности и меры по противодействию им, приобретены и установлены необходимые средства защиты информации.

Как правило, затраты на информационную безопасность подразделяются на следующие категории:

- затраты на формирование и поддержание звена управления системой защиты информации;

- затраты на контроль, то есть на определение и подтверждение достигнутого уровня защищенности ресурсов предприятия;

- внутренние затраты на ликвидацию последствий нарушения информационной безопасности - затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут;

-внешние затраты на ликвидацию последствий нарушения информационной безопасности - компенсация потерь при нарушениях политики безопасности в случаях, связанных с утечкой информации, потерей имиджа компании, утратой доверия партнеров и потребителей и т.п.;

-затраты на техническое обслуживание системы защиты информации и мероприятия по предотвращению нарушений политики безопасности предприятия.

При этом обычно выделяют единовременные и систематические затраты.

Единовременные, затраты на формирование безопасности предприятия: организационные затраты и затраты на приобретение и установку средств защиты.

Систематические, затраты на эксплуатацию и обслуживание. Классификация затрат условна, так как сбор, классификация и анализ затрат на информационную безопасность - внутренняя деятельность предприятий, и детальная разработка перечня зависят от особенностей конкретной организации.

Главное при определении затрат на систему безопасности -взаимопонимание и согласие по статьям расходов внутри предприятия.

Кроме того, категории затрат должны быть постоянными и не должны дублировать друг друга. Невозможно полностью исключить затраты на безопасность, однако они могут быть приведены к приемлемому уровню.

Некоторые виды затрат на безопасность являются абсолютно необходимыми, а некоторые могут быть существенно уменьшены или исключены. Последние - это те, которые могут исчезнуть при отсутствии нарушений безопасности или сократятся, если количество и разрушающее воздействие нарушений уменьшатся.

При соблюдении безопасности и проведении профилактики нарушений можно исключить или существенно уменьшить следующие затраты:

- на восстановление системы безопасности до соответствия требованиям безопасности;

- на восстановление ресурсов информационной среды предприятия;

- на переделки внутри системы безопасности;

- на юридические споры и выплаты компенсаций;

- на выявление причин нарушения безопасности.

Необходимые затраты - это те, которые необходимы даже если уровень угроз безопасности достаточно низкий. Это затраты на поддержание достигнутого уровня защищенности информационной среды предприятия.

Неизбежные затраты могут включать:

а) обслуживание технических средств защиты;

б) конфиденциальное делопроизводство;

в) функционирование и аудит системы безопасности;

г) минимальный уровень проверок и контроля с привлечением специализированных организаций;

д) обучение персонала методам информационной безопасности.

Однако существуют и другие затраты, которые определить достаточно сложно. В их числе:

а) затраты на проведение дополнительных исследований и разработку новой рыночной стратегии;

б) потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения;

в) затраты, связанные с ликвидацией «узких мест» в снабжении, производстве и сбыте продукции;

г) потери от компрометации производимой предприятием продукции и снижения цен на нее;

д) возникновение трудностей в приобретении оборудования или технологий, в том числе повышение цен на них, ограничение объема поставок.

Перечисленные затраты могут быть вызваны действиями персонала различных отделов, например, проектного, технологического, планово-экономического, юридического, хозяйственного, отдела маркетинга, тарифной политики и ценообразования.

Поскольку сотрудники всех этих отделов вряд ли будут заняты полный рабочий день вопросами внешних потерь, то установление объема затрат необходимо вести с учетом реально затраченного времени. Один из элементов внешних потерь невозможно точно вычислить - это потери, связанные с подрывом имиджа предприятия, снижением доверия потребителя к продукции и услугам предприятия. Именно по этой причине многие корпорации скрывают, что их сервис небезопасен. Корпорации боятся обнародования такой информации даже больше, чем атаки в той или иной форме.

Однако многие предприятия игнорируют эти затраты на основании того, что их нельзя установить с какой-либо степенью точности - они только предположительны. Затраты на предупредительные мероприятия. Эти затраты, вероятно, наиболее сложно оценить, поскольку предупредительные мероприятия проводятся в разных отделах и затрагивают многие службы. Эти затраты могут появляться на всех этапах жизненного цикла ресурсов информационной среды предприятия:

- планирования и организации;

- приобретения и ввода в действие;

- доставки и поддержки;

- мониторинга процессов, составляющих информационную технологию.

В дополнение к этому, большинство затрат данной категории связано с работой персонала службы безопасности. Затраты на предупредительные мероприятия в основном включают заработную плату и накладные расходы. Однако точность их определения в большей степени зависит от точности установления времени, затраченного каждым сотрудником в отдельности. Некоторые предупредительные затраты легко выявить напрямую. Они, в частности, могут включать оплату различных работ сторонних организаций, например:

- обслуживание и настройку программно-технических средств защиты, операционных систем и используемого сетевого оборудования;

- проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, средств вычислительной техники и т.п.;

- доставку конфиденциальной информации;

- консультации;

- курсы обучения.

Источники сведений о рассмотренных затратах. При определении затрат на обеспечение ИБ необходимо помнить, что:

- затраты на приобретение и ввод в действие программно-технических средств могут быть получены из анализа накладных, записей в складской документации и т.п.;

- выплаты персоналу могут быть взяты из ведомостей;

- объемы выплат заработной платы должны быть взяты с учетом реально затраченного времени на проведение работ по обеспечению информационной безопасности если только часть времени сотрудника затрачивается на деятельность по обеспечению информационной безопасности, то целесообразность оценки каждой из составляющих затрат его времени не должна подвергаться сомнению;

- классификация затрат на безопасность и распределение их по элементам должны стать частью повседневной работы внутри предприятия.

ЗАКЛЮЧЕНИЕ

Информация, как один из составных элементов структуры стоимости самой информации, измеряется теми же факторами - трудовыми затратами человека и информацией, а в итоге их денежным выражением.

Человек просто-напросто не воспримет информацию, не обладая другой, необходимой для ее восприятия информацией - более низкого уровня.

Таким образом, мы дойдем до такого уровня информации, воспринимая которую человек не затрачивает труд - это, например, элементарная информация об окружающем нас мире, которую человек получает непроизвольно посредством своих органов чувств. То есть, здесь уже идет речь о получении экономической информации человеком, а не о ее производстве. А, обрабатывая эту элементарную информацию посредством своих умственных способностей, человек осуществляет уже производство информации более высокого уровня, вовлекая в качестве ресурсов труд и собственно саму информацию.

В данной курсовой работе мы изучили экономику информационной безопасности предприятия.

Определили степень значимости (секретности) той или иной информации, исходя из требований законодательных документов и/или решений руководства фирмы. Установили соответствия определенных весов тем или иным угрозам.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. Конституция Российской Федерации от 12 декабря 1993 года (с изм., внесенными Указами Президента РФ от 09.01.1996 №20, от 10.02.1996 №173, от 09.06.2001 №679, от 25.07.2003 №841, Федеральным конституционным законом от 25.03.2004 №1-ФКЗ, Законами РФ о поправках к Конституции РФ от 30.12.2008 №6-ФКЗ, от 30.12.2008 №7-ФКЗ).

2. Федеральный закон от 28.12.2010 №390-ФЗ "О безопасности".

3. Федеральный закон от 21.07.1993 №5485-1 "О государственной тайне" (в ред. Федеральных законов от 06.10.1997 №131-ФЗ, от 30.06.203 №86-ФЗ, от 11.11.2003 №153-ФЗ, от 29.06.2004 №58-ФЗ, от 22.08.2004 №122- ФЗ, от 01.12.2007 №294-ФЗ, от 01.12.2007 №318-ФЗ, от 18.07.2009 №180-ФЗ, от 15.11.2010 №299-ФЗ, от 18.07.2011 №242-ФЗ, от 19.07.2011 №248-ФЗ, от 08.11.2011 №309-ФЗ, с изм., внесенными Постановлением Конституционного Суда РФ от 27.03.1996 №8-П, определениями Конституционного Суда РФ от 10.11.2002 №293-О, от 10.11.2002 №314-О).

4. Федеральный закон от 9.07.2004 №98-ФЗ «О коммерческой тайне» (в ред. Федеральных законов от 02.02.2006 №19-ФЗ, от 18.12.2006 №231-ФЗ, от 24.07.2007 №214-ФЗ, от 11.07.2011 №200-ФЗ).

5. Федеральный закон от 27.07.2006 №149-ФЗ (ред. от 06.04.2011) "Об информации, информационных технологиях и о защите информации" (в ред. Федеральных законов от 27.07.2010 №227-ФЗ, от 06.04.2011 №65-ФЗ).

6. "Доктрина информационной безопасности Российской Федерации" (утв. Президентом РФ 09.09.2000 №Пр-1895).

7. Указ Президента РФ от 12.05.2009 №537 "О Стратегии национальной безопасности Российской Федерации до 2020 года".

8. Указ Президента РФ от 06.03.1997 №188 (ред. от 23.09.2005) "Об утверждении Перечня сведений конфиденциального характера".

9. "Защита информации. Основные термины и определения. ГОСТ Р 50922-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 №373-ст).

10. Баутов А. Эффективность защиты информации - Открытые системы, №07, 2015.

11. Гусев В.С., Демин В.А., Кузин Б.И. Экономика и организация безопасности хозяйствующих субъектов. - СПб.: Питер, 2013.

12. Жигулин Г.П., Швед В.Г. Организация защиты информации в органах власти. Учебное пособие. СПб ГУ ИТМО, 2012.

13. Жигулин Г.П., Романов О.А. Правовая основа информационной безопасности. Учебное пособие. СПб ГУ ИТМО, 2011.

14. Жигулин Г.П. Математическая модель систем защиты информации для нормативного прогнозирования состояния объектов. - Санкт-Петербург: Журнал Информационно-Измерительные и управленческие системы, 2012. -Т. 7. - №4.

15. Жигулин Г.П. Методический подход к прогнозированию информационных атак. - Санкт-Петербург: Журнал Проблемы информационной безопасности. Компьютерная система, 2011. - Т. 2.

16. Жигулин Г.П. Прогнозирование информационных угроз предприятий, организаций, транспорта, нефтегазодобывающего и транспортирующего комплекса на примере прогнозирования стабильности и государства. - Санкт-Петербург: Научный вестник МГТУ ГА, 2014 - №139-1.

17. Жигулин Г.П., Згурский А.С., Корбаинова Е.В. Определение уровня уязвимости и оценка влияния свойств безопасности актива на деятельность центра обработки данных. - Санкт-Петербург: Журнал "Проблемы информационной безопасности. Компьютерные системы", 2011.

18. Баутов А. Эффективность защиты информации - Открытые системы, №07, 2015.

17. Гусев В.С., Демин В.А., Кузин Б.И. Экономика и организация безопасности хозяйствующих субъектов. - СПб.: Питер, 2013.

ПРИЛОЖЕНИЕ

Антиплагиат

Размещено на Allbest.ru

...